稅務(wù)信息系統(tǒng)安全自查報(bào)告

目錄/提綱：……
一、組織領(lǐng)導(dǎo)情況
二、自查工作情況
（一）安全管理工作情況
（二）安全技術(shù)工作情況
（三）系統(tǒng)各類(lèi)設(shè)備運(yùn)行情況
三、存在的問(wèn)題及努力方向
3、丟失數(shù)據(jù)的責(zé)任和償還4、保護(hù)敏感數(shù)據(jù)需要的特殊控制措施
3、避免使用常見(jiàn)的或字典詞語(yǔ)
……

關(guān)于2011年信息系統(tǒng)安全自查情況的報(bào)告
提示：本文原版含圖表word版全文下載地址附后（正式會(huì)員會(huì)看到下載地址）。這里只復(fù)制粘貼部分內(nèi)容或目錄（下面顯示的字?jǐn)?shù)不代表全文字?jǐn)?shù)）,有任何不清楚的煩請(qǐng)咨詢(xún)本站客服。

江西省國(guó)家稅務(wù)局：
根據(jù)省局關(guān)于開(kāi)展稅務(wù)信息系統(tǒng)安全檢查的工作要求，近期我局對(duì)全市國(guó)稅系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)安全進(jìn)行了檢查。通過(guò)檢查，分析網(wǎng)絡(luò)與信息系統(tǒng)面臨的風(fēng)險(xiǎn)，評(píng)估網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況，查找薄弱環(huán)節(jié)和安全隱患，有針對(duì)性地進(jìn)行整改，進(jìn)一步強(qiáng)化了信息安全意識(shí)，規(guī)范了信息安全管理，提高了我市國(guó)稅信息系統(tǒng)的安全保障能力。
一、組織領(lǐng)導(dǎo)情況
我局對(duì)此次網(wǎng)絡(luò)與信息系統(tǒng)安全檢查工作非常重視，專(zhuān)門(mén)成立了檢查小組，嚴(yán)格按照省局要求，認(rèn)真查找問(wèn)題，采取措施，及時(shí)整改。一是成立了由分管局領(lǐng)導(dǎo)任組長(zhǎng)、信息中心主任為副組長(zhǎng)、專(zhuān)業(yè)技術(shù)人員為骨干組成的計(jì)算機(jī)網(wǎng)絡(luò)和信息安全自查領(lǐng)導(dǎo)小組。二是召開(kāi)了動(dòng)員大會(huì)，在自查動(dòng)員大會(huì)上強(qiáng)調(diào)信息安全工作對(duì)國(guó)稅系統(tǒng)的重要性，出現(xiàn)錯(cuò)誤的危害性，繃緊全市國(guó)稅干部信息安全這根弦。三是加強(qiáng)自查工作的組織領(lǐng)導(dǎo)，并通過(guò)采取強(qiáng)有力的措施，建立健全外接互聯(lián)網(wǎng)使用的規(guī)定，內(nèi)部網(wǎng)絡(luò)地址使用，責(zé)任追究等一系列制度措施，確保我局信息系統(tǒng)安全。
二、自查工作情況
（一）安全管理工作情況
1.在資產(chǎn)分類(lèi)與控制方面，對(duì)所有資產(chǎn)都進(jìn)行了登記，其中包
……（新文秘網(wǎng)http://jey722.cn省略978字，正式會(huì)員可完整閱讀）……　
（1）關(guān)于對(duì)公文處理服務(wù)器的管理，按要求修改了注冊(cè)表和禁用了部分有安全隱患的服務(wù)。
（2）小型機(jī)AI*服務(wù)器運(yùn)行情況良好。
（3）關(guān)于對(duì)數(shù)據(jù)庫(kù)服務(wù)器的管理，按要求修改了注冊(cè)表和禁用了部分有安全隱患的服務(wù)。
三、存在的問(wèn)題及努力方向
通過(guò)自查，也發(fā)現(xiàn)了一些信息系統(tǒng)安全隱患，存在的問(wèn)題和不足有以下幾個(gè)方面：一是少數(shù)稅務(wù)干部對(duì)網(wǎng)絡(luò)與信息安全的認(rèn)識(shí)有待于進(jìn)一步加強(qiáng)。二是各項(xiàng)網(wǎng)絡(luò)及安全管理的規(guī)章制度還不是很完善，管理水平有待于加強(qiáng)。三是部分系統(tǒng)密碼設(shè)置長(zhǎng)度不夠，更改期限過(guò)長(zhǎng)，在簽訂安全b_m協(xié)議方面做得還不夠。四是安全策略有部分重復(fù)、冗余。
針對(duì)自查中發(fā)現(xiàn)的問(wèn)題，我局及時(shí)進(jìn)行了整改。下一步，我局將加強(qiáng)安全知識(shí)的培訓(xùn)，增強(qiáng)安全意識(shí)；對(duì)所有安全策略進(jìn)行檢查，剔除不必要或多余的策略，優(yōu)化各項(xiàng)策略；制定詳細(xì)安全管理措施，全面落實(shí)“誰(shuí)使用，誰(shuí)負(fù)責(zé)，誰(shuí)管理”的安全管理責(zé)任制。

附件：管理自查表





二○一一年九月二十八日

附件：
管理自查表
檢查項(xiàng) 檢查要點(diǎn) 檢查內(nèi)容 檢查結(jié)果
1.規(guī)章制度 安全策略 是否制訂本市《網(wǎng)絡(luò)與信息安全總體策略》 是
是否向市內(nèi)各稅務(wù)機(jī)關(guān)推行本市《網(wǎng)絡(luò)與信息安全總體策略》 是
安全制度 是否制定、執(zhí)行相關(guān)的信息安全制度。應(yīng)包括：
1.對(duì)安全管理中管理內(nèi)容建立安全管理制度
2.對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)范。
3.對(duì)管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。 是
是否制定安全制度的落實(shí)方法或辦法 是
是否有信息安全經(jīng)費(fèi)保障 是
2.安全組織 信息安全
組織機(jī)構(gòu)
是否成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，承擔(dān)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)決策和管理協(xié)調(diào)工作 是
安全組織機(jī)構(gòu)是否及時(shí)進(jìn)行人員調(diào)整和更新 是
是否建立并落實(shí)信息安全責(zé)任制 是
是否建立信息安全管理機(jī)構(gòu) 是
是否落實(shí)信息安全管理人員崗位 是
3.資產(chǎn)分類(lèi)與控制 資產(chǎn)責(zé)任
是否對(duì)重要的信息資產(chǎn)進(jìn)行登記 是
是否根據(jù)信息的敏感性和重要程度及受威脅可能產(chǎn)生的影響,對(duì)關(guān)鍵資產(chǎn)進(jìn)行分類(lèi) 是
是否對(duì)信息資產(chǎn)定期進(jìn)行清查盤(pán)點(diǎn) 是
信息分類(lèi)
是否按照敏感性和重要程度及其受威脅所產(chǎn)生的影響，對(duì)信息進(jìn)行分類(lèi) 是
關(guān)鍵設(shè)備和
服務(wù)的采購(gòu)
是否對(duì)關(guān)鍵設(shè)備和服務(wù)的提供商的主要管理人員和技術(shù)人員在項(xiàng)目實(shí)施過(guò)程中進(jìn)行過(guò)b_m約束 是
是否對(duì)關(guān)鍵設(shè)備和服務(wù)采購(gòu)的廠商及服務(wù)商、采購(gòu)時(shí)間、采購(gòu)內(nèi)容、用途等進(jìn)行備案 是
信息安全服務(wù)外包是否選用國(guó)產(chǎn)公司 是
終端計(jì)算機(jī)、公文處理軟件、信息安全產(chǎn)品是否采用國(guó)產(chǎn)化品牌 是
因特殊原因選用國(guó)外信息技術(shù)產(chǎn)品和信息安全服務(wù)時(shí)，是否進(jìn)行了安全審查 是
是否委托專(zhuān)業(yè)機(jī)構(gòu)提供信息安全服務(wù) 是
委托外單位提供信息安全服務(wù)時(shí)，是否簽訂b_m協(xié)議 是
信息系統(tǒng)是否存在由國(guó)外公司維修、維護(hù)情況 否
是否采用外部機(jī)構(gòu)提供的網(wǎng)絡(luò)存儲(chǔ)、信息處理（如云計(jì)算） 否
4.人員安全 工作職責(zé)
和人員考察 是否有描述工作人員信息安全職責(zé)的文件 是
是否對(duì)描述工作人員信息安全職責(zé)的文件進(jìn)行宣貫和落實(shí) 是
是否要求工作人員簽署b_m協(xié)議 是
在解聘或調(diào)離稅務(wù)系統(tǒng)工作人員的崗位之前，是否做到：
1、 為即將離職的工作人員重新分配職責(zé)和信息資產(chǎn)責(zé)任權(quán)限；
2、 2、確保指定的繼任者能夠從該工作人員處獲得與該崗位相關(guān)的資料和信息；
3、 收回所有稅務(wù)系統(tǒng)文檔、分發(fā)的鑰匙和配備的IT設(shè)備（例如筆記本、數(shù)據(jù)媒體、文件等）；
4、 取消即將離任的工作人員進(jìn)入敏感信息處理區(qū)域的權(quán)力，刪除其訪問(wèn)權(quán)限 是
人員培訓(xùn) 是否制定了必要的信息安全教育與培訓(xùn)計(jì)劃 是
是否開(kāi)展了必要的信息安全教育與培訓(xùn) 是
是否開(kāi)展了全員信息安全意識(shí)培訓(xùn) 是
本年度是否開(kāi)展信息安全培訓(xùn) 是
本年度是否開(kāi)展安全意識(shí)培訓(xùn) 是
本年度是否開(kāi)展安全技能培訓(xùn) 是
本年度是否開(kāi)展信息安全管理培訓(xùn) 是
第三方訪問(wèn) 是否對(duì)第三方訪問(wèn)活動(dòng)的風(fēng)險(xiǎn)進(jìn)行安全評(píng)估 是
是否對(duì)第三方訪問(wèn)活動(dòng)確定具體控制要求 是
信息安全責(zé)任追究情況 是否對(duì)違反信息安全規(guī)定行為和造成x_m事故、信息安全事故進(jìn)行查處 是
是否采取相關(guān)措施對(duì)有關(guān)責(zé)任人責(zé)任進(jìn)行追究 通報(bào)批評(píng)： 0人
警告處分： 0人
記過(guò)以上： 0人
5.物理和環(huán)境的安全 安全區(qū)域 是否劃分安全區(qū)域 是
是否建立安全區(qū)域的訪問(wèn)控制規(guī)定，如：
1.進(jìn)行詳細(xì)登記并授權(quán)
2.發(fā)放可識(shí)別標(biāo)示
3.有管理員全程陪伴訪問(wèn)等 是
安全區(qū)域的選擇和設(shè)計(jì)是否考慮火災(zāi)、水災(zāi)、雷擊及其他形式的自然或人為的災(zāi)害損壞 是
設(shè)備安全 是否在物理上采取措施，以降低盜竊、火災(zāi)、化學(xué)、灰塵、震動(dòng)、電子干擾等環(huán)境威脅產(chǎn)生的潛在風(fēng)險(xiǎn) 否
是否采取措施保證供電可靠 不間斷電源
是否對(duì)供電設(shè)備進(jìn) ……（未完，全文共7822字，當(dāng)前僅顯示2747字，請(qǐng)閱讀下面提示信息。收藏《稅務(wù)信息系統(tǒng)安全自查報(bào)告》）