信息系统管理评估报告

信息系统管理评估报告内容摘要：

（定稿)6　 XX 市基 层单位兼职信息化管理人员职责(新）7　 信息化星级管理办法 20208　 XX 地税市局征管数据库备份系统维护管理办法9　 XX 地税市局征管数据库备份系统维护手册10　 XX 地税数据复制系 统使用维护手册11　 XX 地税数据复制系 统维护管理办法（试行）12　 XX 地税市局机房维护 制度13　 XX 市地方税务局计 算机使用维护管理制度主要的访谈内容包括 2 个 层面 4 个问题：安全方面安全项 问题 是 否 说明信息 方针 评估者查验文档资料，验证是否制定了 总体 √ 　 　XX 市地税局信息系 统 信息安全管理 评 估 报 告第 12 页 共 27 页方针和政策；安全方针与政策与政策的制定评估者查验是否有单位主管领导的签字或盖章等方式的批准。 √ 　 　评估者查验文档资料，验证是否制定了安全管理需要的规程和制度； √ 　 　安全管理策略与制度常用的信息安全策略和制度的制定评估者查验内容是否覆盖机房、网 络、系 统、数据、防病毒管理等方面。 √ 　 　在评估过程中，查验 XX 市地税局有 总体方针政策，总体方针以上级发放的方针政策为主。 根据自身工作 职责和特点制定了部分与安全有关的制度及流程，但制度之间缺乏相关性，制度本身也缺乏审核的更新的机制。 针对 XX 市地税局的情况，我们建议地税局管理层提高对信息安全的重视程度，开发 适应本局情况的安全策略。 具体来 说，包括以下几点：()1　 依据 XX 市地税局的基本要求，建立适 应于地税局具体情况的安全方针和全面的安全策略；2　 依据地税局信息中心以及涉及信息系统安全的其他部门的情况，建立适应各部门情况的安全管理办法并完善操作流程中的安全规范。 信息安全策略的内容应涵盖以下方面：1　 信息安全的目标和原则；2　 信息安全管理者的职责；3　 违背信息安全策略的后果。 应指定一定的机构及人员对信息安全策略的制订、修改、贯彻落实、 检查等方面负责。 所有的安全策略必 须经高层管理进行批准推行。 机构与人员安全管理组织包含三个控制目标：组织的信息基础架构、第三方访问安全以XX 市地税局信息系 统 信息安全管理 评 估 报 告第 13 页 共 27 页及外包。 安全管理组织要求定义组织内部与信息安全有关的组织和协作，如何落实安全责任，与安全有关的授权过程，同 时，要求管理者能够识别第三方合作和外包过程中的风险，并通过相关的合同控制安全风险。 在 XX 市地税局 风险评估项目中，主要 对组织内部的安全组织和人员安全进行评估，没有过多调查第三方 访问安全和外包风险。 评估的内容包括 3 个层面 9个问题：安全方面 安全项 问题 是 否备注 / 说明评 估者询问单位主管，让其指出委任的安全管理人员，确认安全管理人 员具有的安全管理的权力；　 √ 　评 估者询问安全管理人员，让其表述自己的安全管理权力，比较安全管理人 员描述的权力和单位主管赋予权力的区别；　 √ 　安全管理人员配备 评 估者要求出具安全管理人员的受教育或培训情况的资料，查验相关 资料的内容，检查专业技术水平是否符合安全管理人员的要求。 √ 　 　安全管理人员总体是否符合 　 　 　评 估者查验文档资料，验证是否有人员录用方面的规定； √ 　 　人员录用评 估者要求出具录用人员的相关登 记资料，查验是否包括身份的真实 性、工作的经历、技术专业资格或能力等信息 验证的过程。 √ 　 　评 估者查验文档资料，验证是否有人员离岗方面的处理规定； √ 　 　 人员安全管理人员离岗 评 估者要求出具离岗人员的离 岗手续资料，查验是否包括回收证件、设备等的签字信息。 √ 　 　评 估者要求出示人员的安全意 识教育培训计划、培训教材、培训合格记录等文件；√ 　 　教育和培训信息安全意识教育评 估者查验培训教材等材料，验证是否包括信息的敏感性、信息安全的重要性和严重性，员工的责任、安全违例可导致纪律惩罚等方面的内容。 √ 　 　根据对 XX 市地税局的 评估情况，地税局的机构和人员建设既有做到相当好XX 市地税局信息系 统 信息安全管理 评 估 报 告第 14 页 共 27 页的方面，也同时存在一些重要层面需要进一步完善：1　 没有专职的安全员岗位设置，兼职安全管理人员的责任和权利不够明确。 应设置专门的安全管理岗位，明确的指定信息安全的职责，配备对应的人员，这是组织保障和安全保障的前提和基础。 2　 由于政府机关人员录用和使用上的特点，在当前的环境下，一些对于关键信息岗位的选、 录、用 过程中尚不能加入对安全方面的要求，但随着信息系统重要性的增加，应考虑与人事部门协调，在今后的关键职位任用时，对人员的安全性予以考虑。 3　 目前对于安全岗位的员工的安全资质还没有具体要求，同时也缺少持续的，有计划的人员培训机制，除了安全岗位安全意识 安全技能的培训外，更广范围的安全意识培训也对组织的安全保障效果起到重要作用，XX地税局也进行过一些安全培训，但仍需要将培 训工作作为一项重要的安全措施纳入安全管理范畴。 4　 建议将安全责任作为每个工作人员职责的一部分，纳入到绩效考核体系。 安全风险管理风险管理是信息安全管理的重要方法，风险管理的方法应该持续在整个信息系统生命周期。 XX 地税局项 目中安全风险管理评估主要是通过访谈等方式了解地税局当前如何利用风险评估的方法进行信息系统安全的管理。 在此项评估中，从资产、弱点、威胁等风险分析要素出 发，了解 XX 市地税局的风险管理的状况。 评估的内容包括 5 个层面 10 个问题：XX 市地税局信息系 统 信息安全管理 评 估 报 告第 15 页 共 27 页安全方面安全要求项问题 是 否 说明评 估者要求出示信息系统相关的 资产清单等文件，查验资产清单中是否清晰 识别每项资产、其拥有权、责任人以及资产现在的位置等信息；√ 　 　资产鉴别和管理资产清单 评 估者观察实际环境中网络设备 、主机 设备及安全设备等，验证是否有设备标识 信息。 √ 　威胁分析和评估基本的威胁分析评 估者要求出示信息系统威 胁分析的相关文件。 √ 　评 估者要求出示对信息系统 漏洞扫描的具体报告或相关报告； √ 　 　评 估者查验漏洞扫描的具体日期，判断漏洞扫描数据的可信程度； √ 　 　脆弱性分析和评估脆弱性的工具扫描 评 估者判断漏洞扫描范围是否包括网关 设备、网络设备、主机设备和安全设备 等。 √ 　 风险分析和评估 经验的风险评价评 估者要求出示信息系统的 风险评估报告等相关的文件。 √ 　评 估者要求出示用户自己的安全 产品选型指南或相关文件； √ 　 　 评估者要求介绍安全措施选择的基本过程和方法； √ 　 　选择和实施风险控制措施基于安全基线表选择控制措施评估者判断安全措施的选择 是否符合基线选择要求。 √ 　XX 地税局在安全 风险管理方面表现一般，以前没有做过威胁分析、脆弱性分析以及风险分析，因而也就没有相关的报告，文件可查。 但是在本次 项目中这些工作却是重点工作内容；在评估中，发现安全主管领导和安全管理组织的安全风险意识都非常强烈，对风险管理也有比较深刻的认识，因此需要将这种意识拓展，只要全员的安全风险意识都有提高，将全面提升 XX 地税局信息系统 的保障水平。 针对评估内容，建议 XX 市地税局在以下方面 进行改善：1　 加强资产管理，以安全属性为核心的资产管理是实现等级化防护的基础，XX 市地税局信息系 统 信息安全管理 评 估 报 告第 16 页 共 27 页鉴于 XX 市地税局信息系统发展的状况和人员不足的困难，没有采取资产管理方法，对后期的安全管理造成了比较大的困难。 建议引进资产管理系统，可以选用适合的工具，降低资产管理的复杂度，弥 补 XX 市地税局人力的紧张和不足。 在初期可以利用合作伙伴完成基础整理工作，尤其首先要对主机、网络设备以及安全设备进行清晰的资产标识更重要的是形成长期的、周期性的资产管理制度，使得所得数据的准确。 2　 通过风险评估项目，进行翔实的威胁、脆弱性、 风险分析，得出详细的报告和过程文档。 为以后的安全建设以及管理做好依据和基准。 3　 评估工作应符合安全状态动态变化的特点，定期和不定期的评估相结合，外部评估和内部审计相结合，形成比 较完善的保障系统。 4　 加大人员安全培训工作的深度和广度，全面提升 XX 市地税局信息安全风险管理意识和技能水平。 工程建设与管理工程建设管理应对风险管理应该是信息系统的整个生命周期而非仅运维阶段，因此在工程建设阶段就充分考虑到信息系统所面临的威胁和风险，将一些风险从内部解决而不是通过补丁来修正，无论从提高系统安全性还是节约成本而言都具有积极的意义。 工程建设管理是科学管理的结果。 鉴于税务系统当前的工程建设模式，本次评估只是对最基本的安全要求进行分析，分析结果也主要用于今后 XX 市地税局进 行工程建设时的一个参考， 评估的内容包括 2 个方。