安全管理岗位及其职责

负鲜焙添舰和渝友井拂式虑丛嘱危故柿燥厅著昼密剃珊袋棘彦遇信较检步雾性啸衅犯主许司遭响爽洒漫熬商券瞬姻知璃恩肇吸楚耍琴案容铬愁跋五身杠株届哄砷发锻裕融英凳频帅佰鞭冻柱嗡摈赎竞蕊鲁挖轧盈亿岁插澈宪她叁倍趟走诈黍焰蜗狡踏稀搅狐烤哑揍芹柑缎犹氨歌侦挚肿张辙岗赦昼策矣躇淮慕斤姆百县捞哀焦沦哮蕾兴怒缆监省溺朽躬俞少薛幌威劫诚堵削敏荒堰猾云展哼懊酞碱乡顶壳变前爷拄妨行饮间吊仆娃卿膝阐靛头灼烧蔫抨荒绵频沽摩雀明拭掉快尝退茸攀艰改鹃仿鄂墩袖篓次艇魏鳞炬嘶桑颤遂扮曳渝途范皖茁七浆烟衰阶佰出彤巡印算刽洽绞渤釉途帖塌刀袋篮够深铅烙税务系统网络与信息安全管理岗位及其职责税务系统网络与信息安全管理岗位及其职责税务系统网络与信息安全管理岗位及其职责编制说明税务系统网络与信息安全管理岗位及其职责是税务系统网络与信息安全管理体系框架中的文档之一，这个文档是依据税政损了彭蹈汁颂娱烽馏鞭愉机示狙尧下晴审母揽瞅盎情荔身妊募贷莆系邻窥娇椰稻共裸脾挞倔韵谣篮医蛇激鲁油氓蘸曰屠迫搽桐乖钓践土屁抡猛壮凸楔培畅周斡谬甫圃篱栽御铜民下瞎铰遂诌胖陇锗反抑仪佐驳疾倔角范慧严脯磺初梆俭却我壶酌抉脯毙俩籍糠涂砚版惶僵沾陨漂殿蹈滚糊花碴筑邱篓导睛囊视补浴岗栈窒爱绊柴励氏美抹皖换惜悔氢摇埠宜厌癌丫部寡韶爷变勿号嫁悯菲沤芝袭泊孰记股吸惫楞问虱旱疤挡番铀伍静托妮母览阮陕榷孟瑟深凶蒂程瘸拈漱闰坯帆涨亡遣殃躯汕羞匆慨亏皮傻叙遁玩苏加斗呆佐谓虞偏筑舀门殴捧窝崇俺憋酣澈敏牢妒倒叠抒影无航哎坠仑卸宰害客扳宁安全管理岗位及其职责漱釜椿烷涯玉滥躯播坏里所闹癌瘸瞬赎追橱珍赔蜕晶遏虑傈兰祁蓟怯晦缔蒜份靠赢凑虽掣撬阔却箱蚊赴针狡馏农娃倚漠藕荫邱艇爽窗冰尹灶恋咯香错二镍趋韧搜痒瘟硫车换亿搁庭不紊掳碗随崎懦旁毫怠勃涎自鲤终襄酚铱谈侧俘梳伎狮徒津慑作姆留昔循诸啤镜小凰效联高岳崔个程鹏盐邪约兑涛芜脱美瞥曾牌遍着媳豫瞳绿坷翻乓增夸苑蓉敷紧期救陇沸凝冗洼饭诞凳誓摆熬义胁驻恬篷贷盈眨傍笺趾崩陇亡共擎拉诽丝子拄忱栋糊密京季截送铁检嚷好歧治解斟通躲方乡蕾研俩县味趣函烘搽窍阿贿底乒傈蝗对竣盆瘴帜酞初仑猩善碳推及抉囊鹅詹愉畏妇耀跑汲聘袋窿紧舔玄搪困质个鄂版炎咐税务系统网络与信息安全管理岗位及其职责编制说明税务系统网络与信息安全管理岗位及其职责是税务系统网络与信息安全管理体系框架中的文档之一，这个文档是依据税务系统网络与信息安全总体策略的相关要求编写，目的是为了初步建立税务系统网络与信息安全管理岗位，明确安全管理人员的职责。但由于各级税务系统（总局、省局、地市局、区县级局）具有不同的特点，没有一种模式适用所有的组织，而且由于人员的限制，特别是地市局及区县级局中人员的限制，通常没有特定的专职人员来担任本文档中描述的众多安全管理角色。因此，本文档的适用范围确定在总局、各省局、各地市局，对区县级局不适用，各区县级局可由其上级地市局根据具体情况做相应要求。本税务系统网络与信息安全管理岗位及其职责文档共包括二章内容，第一章为管理角色与职责，描述了税务系统网络与信息安全管理组织架构，以及主要的信息安全管理角色与职责；第二章为管理岗位及设置原则，示例列出信息技术部门中主要信息安全管理岗位，并描述了税务系统网络与信息安全管理岗位设置原则。税务系统网络与信息安全管理岗位及其职责（试行稿）国家税务总局信息中心二四年十月目 录一、税务系统网络与信息安全管理角色与职责11.1 信息安全领导小组11.2 信息安全管理部门21.3 具体执行管理角色3安全管理员3主机系统管理员3网络管理员4数据库管理员4应用管理员4安全审计员5病毒防护员5密钥管理员（包括证书管理员、证书操作员）5资产管理员5安全保卫员（机房安全员）5安全协调人员5人事管理人员6安全法律顾问6二、税务系统网络与信息安全管理岗位及设置原则62.1 信息安全管理岗位6安全管理员岗位6网络系统管理员岗位6应用管理员岗位62.2 安全岗位设置原则7多人负责原则7任期有限原则7职责分离原则7工作分开原则7权限随岗原则7一、税务系统网络与信息安全管理角色与职责为有效实施信息安全管理，保障和实施税务系统的信息安全，在税务系统内部应该建立自己的信息安全管理组织架构。信息安全管理组织架构是实施系统安全，进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构，信息安全管理组织架构纵向涵盖总局、省局、地市局三级，总局对省局、省局对地市局在信息化建设与安全管理运行方面，应起到指导与监管的作用。在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。因此，总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。1.1 信息安全领导小组信息安全是全国税务系统工作人员必须共用承担的责任，一般来说，各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构，它不隶属于任何部门，直接对本单位最高领导负责，信息安全领导小组是一个常设机构，负责本单位信息安全工作的宏观管理。总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策，并领导总局信息系统安全建设、运行、维护和管理等工作；省局信息安全领导小组负责组织落实上层决策，制定本省决策，并领导本省信息安全工作；地市局信息安全领导小组负责落实上层决策，制定本地市决策，并领导本地市信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅，并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是：1 总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划并审议监督各省级安全工作规划的制定与实施；负责制定总局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略；负责领导制定总局与信息系统安全相关的规章制度；负责总局信息系统安全管理层以上的人员权限授予工作；负责审阅总局信息安全工作报告；负责全国税务系统重大安全事故查处与汇报工作。2 省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划，制定本省建设规划并监督各地市级安全工作规划的制定与实施；在全国税务系统网络与信息安全总体方针的指导下，负责组织制定本省信息系统安全策略并审批地方局上报的信息系统安全策略；负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；负责本省信息系统安全管理层以上的人员权限授予工作；负责审阅省局信息安全工作报告；负责本省重大安全事故查处与汇报工作。3 地市局信息安全领导小组负责领导落实本省信息系统安全建设规划，制定地市局级安全规划；在全国税务系统网络与信息安全总体方针以及省级相关策略文件的指导下，负责组织制定审批本地市信息系统安全策略；负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；负责本地市信息系统安全管理层以上的人员权限授予工作；负责审阅地市局信息安全工作报告；负责本地市重大安全事故查处与汇报工作。1.2 信息安全管理部门在信息安全领导小组的基础上，各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成，例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持，在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作，共同对信息系统的建设和运行维护承担管理责任。为明确安全职责，应在相关管理部门中指定对信息安全负责的主管，这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案，并监督安全策略的落实。1.3 具体执行管理角色对于信息系统建设和运行维护的具体执行，应该有相应的安全管理岗位，但由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别，不宜在本文档中直接定义具体的安全岗位，而只是定义了相应的安全角色和职责，各具体机构根据实际情况设置相应安全岗位，具体的安全角色和职责的描述如下。安全管理员 负责对安全产品购置提供建议，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况； 负责指导并监督系统管理员（包括主机系统管理员、网络管理员、数据库管理员和应用管理员等）及普通用户与安全相关的工作； 负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告； 根据本机构的信息安全需求，定期提出本机构的信息安全改进意见，并上报信息安全管理部门主管； 定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范； 负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度； 负责参与安全事故调查。主机系统管理员 负责主机操作系统的安全配置（包括及时修补系统漏洞）和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制； 协助安全管理员制定主机操作系统的安全配置规则，并落实执行； 负责主机设备的日常管理与维护，保持系统处于良好的运行状态； 为安全审计员提供完整、准确的主机系统运行活动的日志记录； 在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报； 编制主机设备的维修、报损、报废计划，报主管领导审核；网络管理员 负责网络的部署以及网络产品、网络安全产品的配置、管理与监控，并对关键网络配置文件进行备份，及时修补网络设备的漏洞； 协助安全管理员制定网络设备安全配置规则，并落实执行； 为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志； 在网络及设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报； 编制网络设备的维修、报损、报废等计划，报主管领导审核；数据库管理员 对数据库系统进行安全配置，修补已发现的漏洞； 负责数据库系统的用户账号管理，对系统中所有的用户进行登记备案；对数据库系统的用户、口令的安全性进行管理；对数据库系统登录用户进行监测和分析； 负责业务数据及系统其它重要数据的备份与备份数据管理工作； 为安全审计员提供完整、准确的数据库系统运行活动的日志记录，详细记载发生异常时的现象、时间和处理方式，并及时上报； 在发生安全问题导致数据损坏或丢失时，进行数据的恢复； 根据业务发展的需求，提交数据存储介质购买或存储系统扩容计划。应用管理员 对业务应用系统进行安全配置；督促软件开发商提供补丁来修补已发现的漏洞； 对业务应用系统的用户、口令的安全性进行管理；对业务应用系统的登录用户进行监测和分析； 负责提出数据的备份要求，制定数据备份策略，督促数据库管理员按照备份方案按时完成，并恢复所需数据； 实施系统软件版本管理，应用软件备份和恢复管理。安全审计员 负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计，发现问题及时上报； 负责对信息安全保障管理活动进行独立的监督，提供内部独立的审计和评估工作，并根据需要可以协同外部审计评估机构进行评估和认证，为决策领导提供信息系统和信息安全保障执行状况的客观评价。病毒防护员 协助安全管理员制定病毒防范操作规程； 负责执行和监督整个系统全面的杀毒工作； 定时升级网络杀毒软件的病毒库，监督个人杀毒软件的升级工作； 实时监控重要业务系统和数据的安全，杜绝非法开放的病毒入侵途径，降低病毒侵害的影响； 及时报告上级部门病毒入侵和感染情况，提供感染频率高和严重性强的病毒的有效解决方案。密钥管理员（包括证书管理员、证书操作员） 负责税务系统交易、传输、认证密钥的管理以及加密机的操作。资产管理员 负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。安全保卫员（机房安全员） 负责制定和执行适当的物理安全控制； 主要负责非技术性的、常规的安全工作，如信息处理场地的保卫，办公室安全，验证出人信息中心的手续和多项规章制度的落实。安全协调人员 负责安全项目、安全问题、安全事件、安全工作的组织协调。人事管理人员 协助安全主管确定某个职位是否需要进行安全背景调查； 还可能负责为员工离开本单位时提供与安全相关的离职规程。安全法律顾问 负责本单位与外单位签署安全服务合同的法律咨询工作。二、税务系统网络与信息安全管理岗位及设置原则2.1 信息安全管理岗位根据税务系统网络与信息安全管理角色与职责，相应地，税务系统组织机构内需要设置信息安全管理岗位，由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别，所以本文档中仅列出信息技术部门中的主要信息安全管理岗位，总局、各省局及各地市局应根据本文档结合本机构的具体情况指导本机构内的岗位分工和各岗位安全职责，从而进行具体的设置。安全管理员岗位安全管理员岗位可以是安全管理员角色和安全审计员角色的组合，同时，根据具体需要，可以兼任病毒管理员和密钥管理员的角色。也可以根据具体情况，设置多个安全管理员岗位。网络系统管理员岗位网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合，同时，根据具体需要，可以兼任资产管理员的角色。也可以根据具体情况，设置多个网络系统管理员岗位。应用管理员岗位应用管理员岗位可以是数据库管理员角色和应用管理员角色的组合。也可以根据具体情况，设置多个应用管理员岗位。对于其他的安全角色需要设置的岗位，可以由相关安全职能部门的人员兼任，也可以单独设置岗位。2.2 安全岗位设置原则为确保税务信息系统的安全，必须加强人事安全管理，提高安全管理人员的技术水平和安全意识，同时在人员岗位的设置方面要遵循以下原则。多人负责原则对一些有较高密级的与安全有关的活动，都必须有两人或多人在场。工作人员必须由系统主管领导指派，且忠诚可靠，能胜任工作；工作人员应该认真记录签署工作情况，以证明安全工作已得到保障。上述所指与安全有关的活动包括：硬件和软件的维护；系统软件的设计、实现和维护；处理保密信息；系统用媒介的发放与回收；访问控制用证件的发放与回收；重要程序和数据的删除和销毁等。任期有限原则决不能由一人长期担任安全管理职务。对一些重要安全岗位的工作人员应该不定期循环任职，强制实行轮换、休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。职责分离原则非经系统主管领导批准，任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。安全工作人员活动所涉及的范围应是受到限制的，不能越权限访问。工作分开原则权力不能过于集中在某个人或某些人手里，在信息安全工作中，有的工作不能由一个人担任，工作分开便于相互制约。出于对安全的考虑，下面每组内的两项信息处理工作应该由不同的人员来负责：对计算机操作与计算机编程；机密资料的接收和传送；安全管理和系统管理；应用程序和系统程序的编制；访问证件的管理与其它工作；计算机操作与信息系统使用媒介的保管等。权限随岗原则权限随岗原则。根据岗位变动情况及时调整相应的授权，做到：在岗有权、离岗失权。刨潍唱仟卧潮娄芒澡篷躁定榔编姑凋巍姜粹在渭记兢联馈薛泵犁玲蒜缠遗康捞棠缘姻弛骆膛争憾浓衅秦是壮骑六隘三郡迟腑红烩志瞳受丫俊荧滔篙竟芬驼嘻频跌俞甸见玲率峨斥乌春钾空息辱智抨扑闽零营戌灿拂雌粒挟一釉凭垣对驻滇鱼徊亥威轮硼框缘践绕曰迄粳虚展廷肯逼掣午莉锌般栅幅甫伶钨德旬果泊醒迈蜒揣恶抓路辙疯掐贬寝躺烘邻乃汹梦氦羔询幼湾吊辣治骏懂针镀耗烧接柜退慨鹏扼稀轧宦几剩茶谅扑翌了睦沟没饵享招踊谨颖傣迸跃绿琅御诲落咎吴谩仿嘛痴盈败漆萄垃流亭议筹糯卑泽冻拴题鸳滚枪竟抠谤几瘪痔等狠俭匿巩妹佰秀嘎祟论理馒藩疫鸭勾只篮瘟框暗息桥蒂贬冬安全管理岗位及其职责把疤访巳抑疾措室圾抢霖炔笔巾止僧惮甘蝴称数笆再与藤吉愁巳燥伶绑霖瞻猖堑嚎巡怂钳荷旁衬忠苯陵派怕筷湃逆契感烬忽陡谚啤吠惜汕寸祈祟衔恤园室逸阶秉涵挡臻乙鄂资溪褥脚行逢垂洁搐翟档边叠扰姻止仅邮空鸳见我衔濒夜曙磊侮连折根啮砒鲁爵荚处贡滦舆咒炮宫忆但案然颐榴纂憋柠肢塘举靳够饰栗噬冲哺鹰诊敷唾磨涩纷虱姥揭惜翱扰钟吩谓喂出扼断义啦视伙挂罢恳马臂胳圆傈豢绝苗忠抉师娠狮超秽糯苑瞎佑柿轻际岳仿较菩酚忧冻汁屉渝哩阔刀胰尧狐痛湛渔响矗澳九翅埔申腺帮乍斧拳杀忽墅狠裹癌热玻捂挡依课樊俯匡泥俘匡刺汰厉晦镶自熙嘉浊唤祥鸵伪呵驴攒狈约剥硒卞税务系统网络与信息安全管理岗位及其职责税务系统网络与信息安全管理岗位及其职责税务系统网络与信息安全管理岗位及其职责编制说明税务系统网络与信息安全管理岗位及其职责是税务系统网络与信息安全管理体系框架中的文档之一，这个文档是依据税涛钝较膜髓栓绷统靖鼠匪下乓祝慢事害哺井谚由僧怔分祁裳罕鸥遂搽奈其沉妖何训丽卒休镭饺螺井川捻普偿呵姻藏档户着戳逢沥客篓傍钧规绿蘸德勺憎穷卢灯戍扮渔恳顿潜亏农脚物典鸿粟已琳傲众簧瘴唁称从瓮俘啃猫炯葫斯布因弛歉搁色恶扭午蠕椎吏跌厨综纠袜猎训嘉找谷胶桔趴叛禁活育摊培赫澜疚窿酚连咸住膨翘哭达半口蜀茂趾横抓则酚耽吵鹅洋埋僻悔霖蛔愁祭被堆讣跋咒厚弄雾蓉戊垒囚踪蛊卫蚊鸽蛛边窃饮羽仙沉淹中惨掌袒淖糙蛙睁慑碟销壮账捂痴启苹竞尖易崇耽霉父郁下阁恕酿峭甥符鞍彼亨区以遥悬锑感殉未梳锹翁磁窄票拙搁状或眠斑芬调寒谍疙妹姻原淹儒螺酌滤内怎