论文部分内容阅读
摘要:信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所运用的方法体系。本文立足于本省税收信息化工作实际,依据国家标准规范和财税行业相关要求,对信息安全管理状况进行了调研分析,并对开展体系化建设实践提出初步构想。
关键词:信息安全管理体系;信息资产;业务连续性;风险评估
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02
当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。
本省地税部门信息安全现状及面临形势
(一)取得的成绩
多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:
1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。
2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。
3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。
4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。
5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。
(二)存在的不足
通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:
1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。
2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分網络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。
3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。
(三)面临的形势
随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。
提高税务信息安全保障能力的有效途径
国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。
信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。
税务信息安全管理体系建设实践
税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。
(一)基本定位
1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;
2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;
3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平; 4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;
5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。
(二)设计原则
1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。
2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。
3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目標,也是信息安全管理体系的根本目标。
4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。
5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。
(三)总体架构
在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:
第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。
第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。
第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。
第四层,流程细则,是各单位按照相关标准规范的指导,根据自身的实际情况,对实施过程的具体流程和操作细则进行定义的文件。
第五层,记录表单,是内部工作人员,在具体实施的过程中,根据流程细则的规定,所产生的记录、说明和表单等文件。
关键词:信息安全管理体系;信息资产;业务连续性;风险评估
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02
当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。
本省地税部门信息安全现状及面临形势
(一)取得的成绩
多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:
1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。
2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。
3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。
4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。
5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。
(二)存在的不足
通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:
1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。
2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分網络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。
3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。
(三)面临的形势
随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。
提高税务信息安全保障能力的有效途径
国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。
信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。
税务信息安全管理体系建设实践
税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。
(一)基本定位
1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;
2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;
3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平; 4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;
5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。
(二)设计原则
1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。
2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。
3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目標,也是信息安全管理体系的根本目标。
4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。
5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。
(三)总体架构
在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:
第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。
第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。
第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。
第四层,流程细则,是各单位按照相关标准规范的指导,根据自身的实际情况,对实施过程的具体流程和操作细则进行定义的文件。
第五层,记录表单,是内部工作人员,在具体实施的过程中,根据流程细则的规定,所产生的记录、说明和表单等文件。