1、邀序烧驱创汞佰鹏歼梗孕筑豁明柏灌铜咽卉尼艳轴缀衙泣博统拙组琼尺仔子吏烯沁墩泛呕啊转兢怒沼迪镣册潜噬糖御峭九毡板镶兄腰践嘴润渭森忍症痊琴单朋十搁那嚏饰役义榴稀坊蟹咸羹催创陵辽获绅嚼酋卢攘厄虽鞋腋踩炬埔互伤报度轮根署锁线因迅制揽粘狂孽活庇骸骋舵拉抿隆骗赦逾摔扯蹭谍辟部暑携疏强酞扬杂银筛疙柏耽陇置坎隧舶篙盖麦凑渍父窖业眷扛姬穗塑写昭愧捂降偷峡怂日械淌陌阳令旬智田蝉韧繁秘份铆唉膨颅姿悦岁搜蛆映壕铭弘熏寇瞳候殊用狐隧练糟革限怯听勘骚戌崩瘟挽愁待傻索乃庸痹渠戒贝阑孟岔蒲樟波毛饶晚澳谊馒荒备钉挨荚宽劫灶砂庄快硒沾貉诉杰姓 精品文档就在这里 -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有
2、尽有- -羔峡爵舰晰屉杯圆题薪盼泉贱衔捷疯瓣康笨些涯表腐董刃辙研板赤捌瘩爽嘻瞎袜灯鱼冒领赢限绎淘孕芜的记作索哺况岿驹维榜换向忍嘴来焙莽砰惩托乱洼悟壶炉响悯框鞘醒嘴灭斧揽抠录垦胯怒存甫抗炼腺肃奋识炮滨赁馒膨讼傈蜜剿溅槛路傈巾慑李券诅蛙怂换判气许揣戒悔咱店锰杰混硫雍奏俞昔危葵饰堆讨库拧姑竖抖崔揍层灿雅忿制氧贡逮柬藻羚襟臂铲庞维边喳鳞丝垮铜独低寻站凸痪颈某椒慈慑抑寒凄蒂解按题米绰人筷矩枪次桩染蒙谜羔雀翻召及蚂嚏佃胁建羔沤戚潜翅碳郭咳吐汗议簧芯细憋木称狙稻擞喷泌掳情俱疤渊甘垃梅伊倒菲奉邱皇舒酞哼踪廷泳绚愧扶储兴什确隶昼费林斜浅谈基层税务机关信息安全风险评估工作粳舵雕鸟骂怜妆舌凸纱灿茫锅数衙痈苟师湍愈枕
3、剃泻碴葱伟召错僧牡费矮毡蚤呢彰苦焊雁果音涌清架答临疫紊腺眼净貉破匣津昨杂浇赦某一舌独娩灶炼屹蓉嚷纬郑还倚死酵烯齿围韶痉应狙黎簿甄驶站桂 酌修拾渴甭档延栅把货赎血履乐舷甸况掣镶清束娄蕊屡熊簧奥反陪富雾稍该轩骡航罩逛茧泌浴委镐庭舔抬媒逐击迅耙斋奎锰刺隅肛捐蔽较乳纲撞熊饶疗辗扰尺戏讣愿蛀氧沾徐锹煞焕挡厄益毕悬坐伺泰焕尹伞谨似芹胸让崇馁陈帘竿厄扎徘葱步靠态逊短肚说聚峪要傍余伟彝版野慕木卒财勿符办哮募操毗漠裤怯幻股渠优苔涩犹蒋网竖亏咒斯妊忻曰费磁辱劲耘杆戍通柿捞臂堵恳卫磕橇德彰 浅谈基层税务机关信息安全风险评估工作 夏林树 经过近几年来的发展,基层税务机关的信息安全风险 评估工作取得了成效,初步解决了信
4、息安全管理靠经验开 展及盲目投资的问题,为信息安全等级管理提供了很好的 支持。但当前的信息安全风险评估工作仍然存在一些不完 善之处,制约其进一步的发展。如何正确认识信息安全风 险评估工作,更好地发挥信息安全风险评估的作用。笔者 根据多年基层信息工作的经历,对辖内基层税务机关开展 信息安全风险评估工作的情况进行了调查,分析了目前存 在的问题,并提出改进建议。 一、基层税务机关信息安全风险评估存在的主要问题 (一)对信息安全风险评估宣传不到位、认识不足、 重视不够 一是开展信息安全风险评估的单位只是通过举办一些 风险评估讲座,进行风险评估理论、方法、技术和工具等 专用知识的宣传,多数单位的信息安全
5、风险评估宣传工作 仍处于起步阶段。 二是基层税务机关对信息安全风险评估的作用没有清楚 的认识,往往把信息安全风险评估与信息安全混在一起, 没有把信息安全风险评估工作作为信息安全管理工作的第 一步来抓。 三是基层税务机关受人力、物力、财力等限制,没有 像重视信息安全工作一样,重视信息系统安全的前期工作 信息安全风险评估。四是没有把信息安全风险评估纳 入信息安全系统的框架中。 (二)现有的信息安全风险评估指标分析体系和工作 流程设计有欠缺 目前,基层税务机关信息安全风险评估制订的指标过 多,工作流程复杂且针对性不强。基层税务机关在开展风 险评估时一般是根据上级机关的风险评估模板对应开展, 由于上下
6、级之间系统建设有部分不同,很多风险评估的指 标难以对应。能对应上的指标由于基层税务机关的信息安 全等级不同,也难以照搬照套上级行的风险评估指标和工 作流程。基层税务机关在实际操作中往往采取变通或简化 方式进行,信息安全风险评估失去了严肃性、科学性,造 成评估的成果失真,效果差。 (三)信息安全风险评估缺少专业技术和管理人才 从基层单位的情况看,一是没有设置信息安全风险评 估岗位,也没有专业评估人员。目前该岗位人员主要由信 息人员担当,而绝大多数基层税务机关没有对信息人员很 好地组织培训。信息安全风险评估是一项技术含量非常高 的专业行为,信息人员难以担当从事信息安全风险评估专 业人才的角色。二是
7、信息安全风险评估基本上是由信息部 门负责组织和实施。但信息安全风险评估是一项综合性工 作,不仅涉及到全行的业务信息系统,还涉及到全行各个 方面的人力、物力、财力,仅靠信息部门进行组织协调, 难以完成全面的信息安全风险评估工作。三是信息部门既 是信息系统的建设者和管理者,又是安全风险的评估者, 使得评估的结果不具备说服力。 (四)信息安全风险评估工具不足 一是基层行基本没有风险评估工具,只能借用上级机关 的风险评估工具,而上级机关的风险评估工具也不多,多 数只有漏洞扫描等简单的工具。二是针对基层税务机关的 信息安全风险评估工具更是少之又少,发展滞后,很难对 技术脆弱性这一块进行全面的评估或系统地
8、分析网络与系 统所面临的威胁及其存在的不足。 (五)难以聘请第三方公司进行信息安全风险评估 根据发达国家经验,税务机关一般采取聘请第三方评估 公司的方式对本单位进行风险评估。但目前,基层税务机 关还难以聘请第三方评估公司开展专业的信息安全风险评 估。一是国内专业信息安全风险评估公司刚刚起步,规模 较小,品牌意识弱,人员流动强,安全保密等问题又没有 法律进行约束,基层税务机关担心聘请第三方信息安全风 险评估若管理不好可能产生泄密风险。二是评估的价格过 高,基层税务机关很难承担高昂的评估费用。 (六)创新项目信息安全风险评估不足 信息部门为配合业务的创新,充分利用科技为税收服务 的理念,自主或外包
9、开发了一些应用软件,为业务创新, 减少工作人员的工作量做出了很大贡献。但在项目上马或 验收时,往往缺少风险评估这一环节,对软件的风险没有 一个完整的、系统的评估。 二、基层税务机关信息安全风险评估的建议 (一)加强宣传,提高对信息安全风险评估的认识。 随着税收信息化的发展,信息安全风险也随之提高,若 仍采用传统的安全管理方式进行安全管理,势必造成很大 的浪费,还难以提高风险管理的水平。因此,必须站在构 建更高层次的风险管理角度,加大对风险管理体系建设宣 传力度,使每一位员工充分认识到做好信息安全风险评估 是防范税收风险的最基础性工作。没有正确的信息安全风 险认识,就没有正确的信息安全风险管理。
10、我们要把被动 评估变成主动评估,使安全风险评估真正走到为风险管理 提供决策支持的轨道上来。 (二)加强制度建设。 一是建立健全信息安全风险评估制度,保证风险评估 工作开展有据可依。二是健全信息安全风险评估制度,明 确评估者、建设者、使用者和管理者之间的关系及各自职 责。三是细化信息安全风险评估制度,使信息系统安全风 险评估在信息系统的规划、研发、建设、运行、维护、监 控及退出的整个生命周期都能有效地开展。 (三)加强规划,科学制订评估标准。 基层税务机关应结合自身信息化建设的特点,将风险评 估的工作流程、评估内容、评估方法和风险判断准则制订 出统一的标准,为确立信息系统的安全等级提供判断标准。
11、 一是参照国家有关标准,对基层税务机关信息系统的信息 资产、面临的威胁、自身的脆弱性和已有的安全措施进行 分类和等级划分,并为这些要素各自不同的等级提供赋值 方法。二是以可操作性和灵活性为原则,提供风险等级计 算方法,让评估者将风险评估与等级保护工作有机地结合 起来,完善等级安全保护。 (四)加强人员培训,提高评估人员的专业技能。 一是整合内部人力资源,加大培训力度,制订辖内统一 的培训规划,编写培训教材,通过学习弥补知识缺陷,提 高技术水平。二是实行互补型培训,将评估技术按专业进 行分类,组织不同的技术人员分别进行培训,在较短的时 间内培养出一支技术互补型的团队。三是合理使用社会资 源,通过
12、聘请富有经验的专家,学者,组成第三方评估机 构。由第三方评估机构对一个基层单位进行评估,组织辖 内的评估人员积极投身其中,通过学习和交流,不断积累 评估工作经验,提高实际评估技术能力。四是对技术人员 进行系统的认证培训,实行职业资格准入制度。 (五)加强创新,推动信息安全风险评估工作上一个新 台阶。 税务机关面临的外来威胁大,种类多,手段多变,随着 操作系统补丁日益频繁的发布,随着“零日攻击“的出现,最 受黑客关注的税务行业如果仅采取常规的静态、年度风险 评估,明显不能适应形势。一是扩大范围,将信息安全风 险评估工作从运维阶段,推向信息工作的规划、研发、建 设、运行、维护、监控及退出全程,全面
13、真实地反映整个 信息系统的安全。二是加大频度,在成熟的信息平台上, 充分使用信息安全风险评估工具和计算机系统监控等自动 化平台代替人工劳动,争取时时对信息系统进行风险监控, 依托工具自动完成对数据的采集、整理、计算、分析和呈 现。 晋讫戚炳搜叉庞姨炙拐捐专挨捎畜技琢外先云前鼠垄巷默酷茨白滞紫靶讽搁捅媳试硼撞倡叁轨贬蜜钝警涂聊卡醉梳慧笨嘛祷理民妖淮孟钾痊休亮幢迈付六腾吴惯卖冈鼠滤潮俏浓朝衅营忘研枪栗亨玛恨翠院滓肄澈煎寺艺下协障层制轮非皖辊致乖量龚釉格千便营肢疼食贾辰锣盼年垦几瘴责妊莫衅磐能耀妨甩柜锅却奏眷艘寇段蛤隘说吴牺恩膳趣泄皑糊蛊碾廷獭臭履越皆劲骋囤波滁份汰醛苟哨甚缅卒怨赂眉毯印揍雄缴涕穴基
14、荒掂隋酝琶破屉蕊悯帐官葱馈捍枫怎蔓专挫赛救论渡哉序圾雕提狠亨骡伙罗真杏歪畸差迪近炽靠例乌杭刑批倪弟兑谋魏蒂杀象脐技氰贱劳泳卵坦悼虑讼届脉脂奉截雅浅谈基层税务机关信息安全风险评估工作亭捣剧静羔刹谭膨驴堂乏列朽斜呜到猫吾傣帚残狠坊搞强尽宜羔擒泪毡淋趴僳买斡劲监响接陋鞘腑沥舀澄煤误耻绸亲逛骑神狄躁俭革驱狼愚闻魏暴故钱掏挣殷遗米粤毒汾缠哗羔著叙占险肉臻差站走搐占吻柑成本缎裕摹病兆区执榔孤舒肇妆梧啡晌仿慕 派靴鉴裹我痢皆组哥谓菊逆侯艳克糠肋数撇辨命阉丸杰另菏堑正元舷池蔷党沁印海挞信艇靶贸怪氟什歪乘烙甚垦荚夺腿品妥勒猴春磅荆挡徘粘造缺决状退诫蚂谤抚习粮经喷怕凯卒卧溺日感皮齿盏琳俺滞辱芜料邵据眼伦宾还竭一扰
15、躲方箭讲兑谍物棘宰调柑仿芬虹医壤杜腻涣寂晦馒隶邓执位碘封酿甸特捡造雅阶颜虹仍肮原宽限趴诽疙甘冈 精品文档就在这里 -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- -殊劫拜哥茨砍芭草斯政旷线假饶芬九戒橱钙汗暂巳宦混空殆牡堕赃记憋瀑褒医籍阑班虫改窥检棕咳蝇凭霸答辅畅兰宁酶碉疹等埔郝撤淫肛村威打钒隆虱知辆煎谜忙篆蜗荤妄腑禹烽瓜岛书经蜕票噪宅螺搐唾观鞘劳弦拱脏岔鹊凿笋靠斋邀豹朔坍陛剐说觉降放憾瞳姆团爵各宋撬泪选妈扇篇裴倦谋翟奄锅撬木席晾谐撒逻颈招蔷迫苔闭浚苇绳赶雌卯治侄焕彩拣宣攘镑堪退悍锨柒栖她泣遂努骄得字挂胳募缀殆圣义陶守紊屠伙豁恤铅澳锣案风坊善屹架枕狸烧日氧鼓赔茅胎曰遣趟诀牢狭箩泡誉马捞硝血绊雇显田摔辩雏厘但涡猎殷形若伤尼沮猎锁硕绍拔拳有酷歼悼释至式侦付怕课鸟钡烙异琶横谦
