稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全標準規(guī)范信息安全管理體系框架

稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全標準規(guī)范信息安全管理體系框架------------------------------作者期系”兩辦發(fā)畫號文對國家信息安全保障工作提出了具體的意見，為了落實黨和國實保障稅務(wù)系統(tǒng)的信息安全問題，總局領(lǐng)導(dǎo)指示近兩年稅務(wù)系統(tǒng)信息安全保障的重要工作內(nèi)容之命周期中各階段對于信息生命周期的安全管理制度。在制定稅國家信息安全管理部門制定的國家信息安全的特征。所提出的稅務(wù)系統(tǒng)信息安全稅務(wù)系統(tǒng)信息安全管理體系分為三個層次：安全策略市程序與管理制度市過程安全總體方案屬于第一個層次，程序與管理制該框架內(nèi)每個層次的具體會大廈白蟻預(yù)防工程承包合同合同簽訂版稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全標準規(guī)范之信息安全管理體系框架(征求意見稿) 大廈白蟻預(yù)防工程承包合同合同簽訂版版本控制分發(fā)控制大廈白蟻預(yù)防工程承包合同岔合同簽訂版第章管理體系建設(shè)綜述冒 大廈白蟻預(yù)防工程承包合同岔合同簽訂版?信息系統(tǒng)生命周期：信息系統(tǒng)典型的生命周期模型分為計劃組織、開發(fā)采購、實施交付、運行維護、廢棄五個階段，信息系統(tǒng)安全管理需要貫穿信?信息系統(tǒng)安全管理的支撐和指導(dǎo)：信息系統(tǒng)安全策略和信息安全風險管理是所有信息系統(tǒng)安全保障管理活動的支撐基礎(chǔ)，指導(dǎo)信息系統(tǒng)所有安全管?信息系統(tǒng)安全管理基礎(chǔ)，信息安全管理組織體系、資產(chǎn)管理、人事安全和物理安全是信息系統(tǒng)全生命周期內(nèi)安全管理的基石，是保障信息系統(tǒng)安全?信息系統(tǒng)生命周期安全管理實踐：信息系統(tǒng)生命周期管理實踐將信息安全管理同信息系統(tǒng)生命周期相結(jié)合，通過在信息系統(tǒng)生命周期的不同階段進行不同的信息系統(tǒng)安全保障管理實踐。變更控制和符合性則貫穿于信息系信息安全管理體系就是就是在信息安全生命周期管理模型的指導(dǎo)下，將信息系統(tǒng)全生命周期內(nèi)的管理實踐建立體系化的文檔框架。信息安全管理體系就是將組織、制度和人員這三個方面的問題通過文檔的方式表達出來并明確責一般來說，信息安全管理體系包含三個層次：安全策略市程序與管理制度市過程控制文件。為保證信息安全建設(shè)的統(tǒng)籌規(guī)劃，全面防范，重點突出，正確執(zhí)行，動態(tài)改進，建立以策略為核心的信息安全管理體系十分重要。信息安全策略是一切信息安全保障活動的基礎(chǔ)和出發(fā)點，指導(dǎo)全機構(gòu)組織信息安全保障體系的開發(fā)和實施，為信息安全建設(shè)和實施指明方向，通過定理體系運作過程中還需要制定一系列第三層過程控制文件幫助紀錄并明確過程實施步驟、內(nèi)容、結(jié)果，并通過實施手冊和指南定義具體操作內(nèi)容和步驟，大廈白蟻預(yù)防工程承包合同岔合同簽訂版大廈白蟻預(yù)防工程承包合同合同簽訂版第章應(yīng)制定的具體文件稅：級文件：《稅務(wù)系統(tǒng)信息安全組織崗位與職責分配》歸類劃分。 級文件包括操作指導(dǎo)書(指南類)，以及系統(tǒng)運行過程中各類控制、記理相關(guān)文件可以根據(jù)具 信息安全保障策略、《稅務(wù)系統(tǒng)信息安全總體策略》(級)進行定義，是一切信息安全活動的出發(fā)點和核心。具體定義稅務(wù)系統(tǒng)信息安全保障的總目標、總原則、范圍和對象，同時應(yīng)聲明自身的地位和作用。組織體系建設(shè)方面：應(yīng)設(shè)置的安全管理角色，并結(jié)合稅務(wù)系統(tǒng)的特點，依據(jù)安全管理角色設(shè)置信息在信息化建設(shè)與業(yè)務(wù)上有聯(lián)系的外部機構(gòu)，并明確其應(yīng)承擔的與安全相關(guān)的具大廈白蟻預(yù)防工程承包合同合同簽訂版適用對象：稅務(wù)系統(tǒng)內(nèi)相關(guān)的所有員工，包括管理和維護部門信息安全保障制度、程序體系建設(shè)依據(jù)信息安全總體策略的內(nèi)容，對稅務(wù)系統(tǒng)信息安全保障的各項工作制定將管理職責落實到人。．《稅務(wù)系統(tǒng)信息安全風險評估工作管理制度》(級制度類)息安全風險評估工作是信息安全保障的基礎(chǔ)性工作。稅務(wù)系統(tǒng)信息安全風險評估工作必須在全系統(tǒng)落實，本制度從總局、省局、地市等幾個層次對稅務(wù)系統(tǒng)．《系統(tǒng)內(nèi)部信息安全保障人事管理制度》(級制度類)．《第三方工作人員人事管理規(guī)定》度，包括外部參觀人員以及合作開發(fā)人員在確保網(wǎng)絡(luò)與信息安．《安全培訓(xùn)與考核管理規(guī)定》(級制度類)大廈白蟻預(yù)防工程承包合同合同簽訂版或者可以訪問稅務(wù)系統(tǒng)的信息的人員提供恰當教育培訓(xùn)的管理制度。并對衡工作績效，制定考核辦法。．《稅務(wù)系統(tǒng)信息安全保障規(guī)劃》(級計劃類)目的與作用：對稅務(wù)系統(tǒng)信息安全保障制定長期和短期規(guī)劃，信息安全管理和業(yè)務(wù)流程負責人在建立信息安全規(guī)劃時，應(yīng)考慮風險評估結(jié)果，包括業(yè)務(wù)、環(huán)境、技術(shù)和人力資源風險。信息安全保障規(guī)劃需要考慮和充分解決稅務(wù)系統(tǒng)業(yè)務(wù)模式、稅務(wù)系統(tǒng)的地理分布性、費用、法律和規(guī)范要求、第三方或市所作選擇的效益應(yīng)清晰地標識出來。信息安全長期和短期規(guī)劃還應(yīng)包括執(zhí)行標志和目標。短期規(guī)劃應(yīng)根據(jù)長期規(guī)劃分階段落實，包括人力、資源等。面．《軟件自主開發(fā)和維護過程管理要求》(級制度類)安全需求，包括軟件代碼的版本控制，應(yīng)用開發(fā)人員與測試人員以及業(yè)務(wù)管理．《外包軟件開發(fā)和維護過程管理要求》(級制度類)．《軟件工程文檔管理制度》(級制度類)大廈白蟻預(yù)防工程承包合同合同簽訂版．《資產(chǎn)描述及分類》(級)．《信息資產(chǎn)標注和處理規(guī)定》(級制度類)．《其它系統(tǒng)資產(chǎn)標注和安全管理制度》(級制度類)適用對象管理部門．《新設(shè)備采購規(guī)程》(級程序類)．《資產(chǎn)報廢處理流程》(級程序類)．《資產(chǎn)使用安全管理規(guī)定》特別是存儲介質(zhì)等的使用(級制度目的與作用：對于信息資產(chǎn)(特別是筆記本、移動存儲介質(zhì)等)應(yīng)當根據(jù)．《系統(tǒng)機房安全管理制度》(級制度類)大廈白蟻預(yù)防工程承包合同合同簽訂版．《第三方來訪人員接待管理辦法》(級制度類)．《密鑰管理制度》(級制度類)．《系統(tǒng)內(nèi)服務(wù)器、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備日常維護管理制度》(．《業(yè)務(wù)系統(tǒng)日常維護管理制度》(級制度類)．《數(shù)據(jù)庫及其它應(yīng)用軟件日常維護管理制度》(級制度類)．《系統(tǒng)數(shù)據(jù)日常備份和管理制度》(級制度類)．《系統(tǒng)病毒防治管理制度》(級制度類)大廈白蟻預(yù)防工程承包合同合同簽訂版．《網(wǎng)絡(luò)監(jiān)測與事件匯報制度》(級制度類)．《網(wǎng)站信息發(fā)布與安全管理規(guī)定》(級制度類)．《辦公網(wǎng)安全管理規(guī)定》(級制度類)．《與其他外部單位工作聯(lián)系管理規(guī)定》．《安全事故處理流程》(級程序類)．《高敏感設(shè)備安全管理規(guī)定》(級制度類)．《訪問控制權(quán)限分配與授權(quán)規(guī)程》(級程序類)．《權(quán)限管理實施規(guī)定》(級制度類)大廈白蟻預(yù)防工程承包合同合同簽訂版．《系統(tǒng)生命周期內(nèi)變更控制管理規(guī)定》(級制度類)統(tǒng)結(jié)構(gòu)、業(yè)務(wù)方面的變更應(yīng)當采用一套規(guī)范的流程進行控制，如變更風險評估、變更結(jié)果通告適用對象：所有員工．《業(yè)務(wù)持續(xù)性計劃》(級計劃類)適用對象：業(yè)務(wù)部門與管理部門．《應(yīng)急響應(yīng)制度》(級制度類)．《災(zāi)難恢復(fù)制度》(級制度類)．《安全審計管理制度》(級制度類)大廈白蟻預(yù)防工程承包合同合同簽訂版．《安全審計實施規(guī)程》(級程序類)信息安全保障指南建設(shè)．《風險評估指南》(級操作指導(dǎo)書)．《系統(tǒng)安裝操作指南》(級操作指導(dǎo)書)．《系統(tǒng)安全配置操作指南》(級操作指導(dǎo)書)．《日常備份與恢復(fù)操作指南》(級操作指導(dǎo)書)信息安全管理體系運行中第三層文件．《崗位授權(quán)任務(wù)書》(級體系運行控制文件