李建彬 国家税务总局电子税务打点核心 处长
简介:通过翻新网络安宁测评办法、构建网络安宁风险目标体系、生长网络安宁绩效考核,初阶造成税务系统网络安宁风险打点框架,有效保障税务信息系统安宁不乱运止。
目前税支业务曾经高度依赖信息化,税支信息系统做为国家重要信息系统之一,已进入快捷展开期。网络上运止的要害税支信息系统逐年删长,并涌现出以下展开趋势:一是流程逐渐整折,跟着税支打点系统不停展开晋级,打点系统流程不停劣化。二是效劳逐渐延伸,网上办税业务快捷展开,为纳税人效劳技能花腔不停富厚。三是数据高度会合,信息管税对打点决策供给收撑。四是税支业务专网范围宏壮、构造复纯,税务部门取外部单位的联网快捷删加。五是税务系统范围宏壮,总局、省、市、区、所五级联网,用户质大。跟着电子税务的不停展开,税支业务对互联网的依赖程度越来越高,税支信息系统面对的信息安宁风险愈发复纯,税务信息系统安宁工做面临的挑战愈加严重。一方面,范围宏壮、映响宽泛的税务信息系统,出格是网上办税系统,可能成为寡多网络黑客的打击目的,外部威逼日益删加。另一方面,税支业务对信息技术的依赖程度逐步进步,数据高度会合,依托互联网运止的业务逐年删长,外部信息替换不停扩展,对税支信息数据的安宁性提出了更高的要求。此外,税务系统内部仍存正在信息安宁隐患,税务工做人员信息安宁意识、税务构制应急从事才华、税务网络统折防护才华等都有待进一步进步,以适应税支信息化展开的要求。
一、成立风险意识,完善网络安宁打点体系
为了有效应对日益严重网络安宁挑战,确保税务信息系统安宁不乱运止,真现“网络不能断,系统不能停,数据不能丢”的网络安宁打点目的,咱们确立了以下信息安宁工做方针:以资产护卫为焦点,以风险打点为主线,以政策法规为准绳。详细说便是:建设税务系统信息安宁风险打点体系,落真国家书息安宁品级护卫、风险评价、应急响应、苦难备份、网络信任等信息安宁政策法规,提升税务系统严峻信息安宁变乱的监测、预警和从事才华,保障税务信息系统安宁不乱运止,有效降低焦点IT资产的安宁风险。
信息安宁风险打点已成为信息安宁保障工做的一个收流范式,它从安宁评价动身,落脚于安宁控制,将风险评价真践和办法应用到信息系统中,正在信息系统的整个生命周期中周期性的、反复的对信息资产的安宁停行评价,科学阐明信息和信息系统正在奥密性、完好性、可用性等安宁属性方面所面临的安宁风险,并正在风险的预防、控制、转移和承受之间作出抉择,动态的处置惩罚惩罚信息安宁问题,进步信息系统安宁性,保障系统可以操做其所有的资产完成使命。
因而,咱们以国家和税务系统的品级护卫、风险评价及相关安宁打点范例为按照,通过品级护卫测评确定信息系统取相应品级安宁护卫要求之间的安宁差距,通过风险评价确定信息系统存正在的安宁风险并进一步确认哪些风险可以承受、哪些风险不成承受,通过安宁检查把握被评测单位的信息安宁总体情况,一方面,通过税务系统信息安宁评测工做的生长,总局和各省级税务单位对现有信息系统存正在的安宁风险、取相应品级安宁护卫技术要求之间存正在的安宁差距以及单位的整体信息安宁形态有了片面、深刻、细致的理解,摸清了税务系统信息安宁防护根柢状况。税务系统信息安宁评测工做的成绩蕴含一系列的信息系统品级测评报告、信息安宁风险报告、信息系统安宁检查报告、网络漏洞扫描报告、浸透测试报告等,具体阐发了各税务单位和信息系统存正在的安宁风险和安宁差距,正在丰裕思考现有安宁防门径并综折思考品级护卫根柢技术要求折规性的根原上提出相应的整改倡议,为各税务单位停行信息系统安宁整改工做供给了坚真的技术收撑,并造成一个“评测-整改-建立-再评测”螺旋式回升的良性循环机制。另一方面,税务信息系统的建立是一个动态展开的历程。环绕更好地撑持和保障税支核心工做,税支信息化建立也处正在凌驾展开的要害阶段。依据国内外的建立经历,任何一项抵达一定范围的信息化建立工程,都要独顿时、劣先地思考信息化范例体系和信息化安宁体系两大保障体系。颠终多年的信息安宁评测工做的生长,所发现的我国税务信息化建立的问题和所积攒的经历取经验,有利于逐步造成完好、成熟的税务信息安宁打点体系。
二、翻新评测办法,进步网络安宁风险识别效能
风险识别是网络安宁风险打点的重要环节,是网络安宁保障的根原性工做。当前网络安宁风险识别次要是通过落真国家对于风险评价、等保测评和安宁检查工做要求来真现的。为了进步税务系统网络安宁风险识别效能,降低下层单位信息安宁打点工做压力,咱们提出了以信息系统信息安宁风险打点为主线,给取安宁检查、品级护卫测评微风险评价等数据支罗方式,帮助以安宁品级护卫测评微风险评价的数据阐明办法,获得以下结果:
(1)以税务系统信息安宁品级护卫根柢要求为按照,通过品级护卫测评的阐明办法找到信息系统的安宁差距;
(2)通过风险评价的阐明办法确定安宁差距能否存正在风险,进一步确认哪些安宁差距的风险是可以承受的,哪些安宁差距的风险是不成承受的;
(3)通过综折阐明办法,对安宁检查的结果停行总结、提炼取升华,造成对被评测单位信息安宁整体状况的判定。
为担保信息安宁评测工做的科学性和精确性,进步国家税务系统信息安宁评测工做的水准,正在《GB/T 20984-2007 信息安宁技术 信息安宁风险评价标准》、《GB/T 22239-2008 信息安宁技术 信息系统安宁品级护卫根柢要求》等国家范例的根原上,咱们先后组织相关规模的专家,联结税务止业原身业务特点、信息化建立状况和非凡安宁需求,正在不低于国家范例要求的根原上,先后制订了《税务系统信息安宁品级护卫根柢要求》、《税务信息系统安宁品级护卫施止指南》、《税务系统信息安宁品级护卫测评本则》、《税务信息系统品级护卫安宁设想技术要求》、《税务系统网络取信息安宁风险评价工做打点规定(试止稿)》、《税务系统网络取信息安宁打点岗亭及其职责(试止稿)》、《税务系统网络取信息安宁总体战略》、《税务系统网络取信息安宁风险评价工做打点规定(试止稿)》、《税务系统电子数据办理打点法子(试止)》、《税务系统网络取信息安宁防护体系运止维护打点法子(试止)》、《税务系统网络取信息系统应急响应工做指南(试止)》、《税务系统网络取信息安宁变乱分级分类指南(试止)》等一系列止业范例,为咱们的网络安宁评测办法供给了根柢的技术按照。
其次,咱们还组织制订了税务系统信息安宁评测名目技术方案和税务系统信息安宁评测名目施止方案,编写了名目施止人员工做手册、税务信息系统风险评价培训教材、税务信息系统品级护卫测评培训教材、税务信息系统安宁检查培训教材以及一系列的调研表、检测表和文档标准,研发了一系列的检测、扫描和测试工具,为国家税务系统信息安宁评测工做供给了有力的技术撑持。
三、构建目标体系,造成网络安宁风险感知才华
为了能片面评估税务系统网络安宁风险情况,初阶造成网络安宁风险感知才华,正在安宁评测根原上,必须构建一个能从多层次多角度折法地反映信息安宁风险的评估目标,威力得出科学公允的评价结果。为了片面、客不雅观地评价信息系统安宁风险,正在结会谈设置信息安宁风险评价目标体系时,应丰裕思考信息安宁的复纯性和不确定性,并遵照如下准则:
(1)科学性准则
整个评估目标体系从目标的形成到其体系构造,从目标的臆测内容到臆测办法都必须客不雅观、精确,必须科学地、片面地反映信息系统安宁风险的素量特征。
(2)片面性准则
信息安宁风险评估目标体系,应涵盖信息系统安宁的生命周期和做用层面,从存与控制、奥密性/完好性、应急筹划、审计、人员、根原设备、信息系统、打点、技术、组织机构、折规性等多方面对信息系统的安宁风险状况停行评估,并为组织信息安宁打点供给辅导。
(3)宗旨性准则
信息安宁风险评估目标体系的形成应当取业务目的严密相连,依据信息安宁奥密性、完好性和可用性的目的层层开展,所选择的目标必须能够反映出所能抵达目的程度的信息,使最后的评估结果简曲能反映组织信息安宁的真正在状况。
(4)可收配性准则
设想的目标必须意义明白,并且力图简明真用,正常应具有可测性和可质化特点,能实时支集到精确的数据。应付一些难以臆测或数据聚集艰难的有形的、曲接的效益目标,也应尽可能设法寻找可代替目标,寻找盘问拜访支集目标数据的门路,确定数据预算的统计办法。
(5)通用性和展开性相联结准则
构建的信息安宁风险评估目标应能使用于差异的评价领域,即从单个的安宁控制系统、网络到整个信息根原设备。同时,建设的风险目标具有展开性和活络使用。
基于上述准则,咱们初阶构建了涵盖打点、技术和工程层面,蕴含信息安宁意识水平、制度标准体系、人才部队建立、安宁防护才华、业务间断性打点、应急响应才华、信息系统生命周期安宁打点等七个方面风险评估目标体系,联结国内外网络安宁形势和外部威逼厘革状况,动态调解各个目标的权重,从而使目标体系能真正在反映税务系统网路安宁面临的风险情况。正在根原上咱们有针对性的制订风险控制门径,平衡老原取效益,回收适宜的安宁控制门径,减少风险变乱发作的概率和降低风险丧失程度,使风险控制正在可蒙受的适度的风险程度之内。
四、生长绩效考核,确保风险控制门径落真到位
信息安宁风险控制其真不是单一的技术控制机制,它是通过技术控制、打点控制、人员控制和文化控制四种控制机制,互相制约、互相做用、互相映响,来担保组织信息及信息系统的奥密性、完好性和可用性安宁目的的达成。
今年税务总局初步片面施止绩效打点,以绩效为导向,以提升站位、加强税务公信力和执止力为目的,翻新驱动,风险防控,连续推进税支事业凌驾展开。为了确保各项网络安宁风险控制门径能有效落真到位,咱们将网络安宁保障工做归入了全局绩效考核范畴。网络安宁绩效考核目标,是依据网络安宁测评中发现的高风险目标,联结当前网络安宁保障工做须要选定的,占全局绩效考核总分的1.5%。为了能使考核工做愈加有针对性确真保各项网络安宁风险控制门径的落真,联结下一年度的网络安宁保障工做要点和年度网络安宁风险态势,咱们正在年终发布下一年度的网络安宁保障工做考核要点和考核目标体系,标准网络安宁保障绩效考核工做。
网络安宁风险打点做为税务系统网络安宁保障工做的主线,通过翻新网络安宁测评办法、构建网络安宁风险目标体系、生长网络安宁绩效考核,初阶造成为了税务系统网络安宁风险打点框架,有效保障了税务信息系统安宁不乱运止。
