目前稅收業(yè)務(wù)已經(jīng)高度依賴信息化����,稅收信息系統(tǒng)作為國家重要信息系統(tǒng)之一��,已進(jìn)入快速發(fā)展期。
李建彬
國家稅務(wù)總局電子稅務(wù)管理中心 處長
網(wǎng)絡(luò)上運(yùn)行的關(guān)鍵稅收信息系統(tǒng)逐年增多��,并呈現(xiàn)出以下發(fā)展趨勢:
一是流程逐漸整合,隨著稅收管理系統(tǒng)不斷發(fā)展升級����,管理系統(tǒng)流程不斷優(yōu)化��。
二是服務(wù)逐漸延伸����,網(wǎng)上辦稅業(yè)務(wù)快速發(fā)展�,為納稅人服務(wù)手段不斷豐富����。
三是數(shù)據(jù)高度集中����,信息管稅對管理決策提供支撐�����。
四是稅收業(yè)務(wù)專網(wǎng)規(guī)模龐大�����、結(jié)構(gòu)復(fù)雜,稅務(wù)部門與外部單位的聯(lián)網(wǎng)快速增長。
五是稅務(wù)系統(tǒng)規(guī)模龐大���,總局、省����、市���、區(qū)��、所五級聯(lián)網(wǎng)�,用戶量大���。
隨著電子稅務(wù)的不斷發(fā)展���,稅收業(yè)務(wù)對互聯(lián)網(wǎng)的依賴程度越來越高���,稅收信息系統(tǒng)安全風(fēng)險愈發(fā)復(fù)雜���。一方面,規(guī)模龐大��、影響廣泛的稅務(wù)信息系統(tǒng)���,特別是網(wǎng)上辦稅系統(tǒng),可能成為眾多網(wǎng)絡(luò)黑客的攻擊目標(biāo)�����,外部威脅日益增長。另一方面�,稅收業(yè)務(wù)對信息技術(shù)的依賴程度逐步提高,數(shù)據(jù)高度集中��,依托互聯(lián)網(wǎng)運(yùn)行的業(yè)務(wù)逐年增多��,外部信息交換不斷擴(kuò)展,對稅收信息數(shù)據(jù)的安全性提出了更高的要求�����。
稅務(wù)系統(tǒng)內(nèi)部仍存在信息安全隱患���,稅務(wù)工作人員信息安全意識��、稅務(wù)機(jī)關(guān)應(yīng)急處置能力���、稅務(wù)網(wǎng)絡(luò)統(tǒng)合防護(hù)能力等都有待進(jìn)一步提高��,以適應(yīng)稅收信息化發(fā)展的要求。
一����、樹立風(fēng)險意識���,完善網(wǎng)絡(luò)安全管理體系
為了有效應(yīng)對日益嚴(yán)峻網(wǎng)絡(luò)安全挑戰(zhàn),確保稅務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行����,實(shí)現(xiàn)“網(wǎng)絡(luò)不能斷�,系統(tǒng)不能停,數(shù)據(jù)不能丟”的網(wǎng)絡(luò)安全管理目標(biāo)�����,我們確立了以下信息安全工作方針:以資產(chǎn)保護(hù)為核心��,以風(fēng)險管理為主線�����,以政策法規(guī)為準(zhǔn)繩���。
建立稅務(wù)系統(tǒng)信息安全風(fēng)險管理體系�����,落實(shí)國家信息安全等級保護(hù)��、風(fēng)險評估�、應(yīng)急響應(yīng)、災(zāi)難備份����、網(wǎng)絡(luò)信任等信息安全政策法規(guī),提升稅務(wù)系統(tǒng)重大信息安全事件的監(jiān)測����、預(yù)警和處置能力,保障稅務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行�,有效降低核心IT資產(chǎn)的安全風(fēng)險���。
信息安全風(fēng)險管理已成為信息安全保障工作的一個主流范式,它從安全評估出發(fā)�����,落腳于安全控制���,將風(fēng)險評估理論和方法運(yùn)用到信息系統(tǒng)中���,在信息系統(tǒng)的整個生命周期中周期性的、反復(fù)的對信息資產(chǎn)的安全進(jìn)行評估��,科學(xué)分析信息和信息系統(tǒng)在機(jī)密性��、完整性、可用性等安全屬性方面所面臨的安全風(fēng)險,并在風(fēng)險的預(yù)防���、控制��、轉(zhuǎn)移和接受之間做出抉擇���,動態(tài)的解決信息安全問題,提高信息系統(tǒng)安全性��,保障系統(tǒng)可以利用其所有的資產(chǎn)完成使命。
因此�����,我們以國家和稅務(wù)系統(tǒng)的等級保護(hù)�、風(fēng)險評估及相關(guān)安全管理標(biāo)準(zhǔn)為依據(jù),通過等級保護(hù)測評確定信息系統(tǒng)與相應(yīng)等級安全保護(hù)要求之間的安全差距,通過風(fēng)險評估確定信息系統(tǒng)存在的安全風(fēng)險并進(jìn)一步確認(rèn)哪些風(fēng)險可以接受���、哪些風(fēng)險不可接受,通過安全檢查掌握被評測單位的信息安全總體狀況�����,一方面�,通過稅務(wù)系統(tǒng)信息安全評測工作的開展,總局和各省級稅務(wù)單位對現(xiàn)有信息系統(tǒng)存在的安全風(fēng)險����、與相應(yīng)等級安全保護(hù)技術(shù)要求之間存在的安全差距以及單位的整體信息安全狀態(tài)有了全面�、深入、細(xì)致的了解�����,摸清了稅務(wù)系統(tǒng)信息安全防護(hù)基本情況。稅務(wù)系統(tǒng)信息安全評測工作的成果包括一系列的信息系統(tǒng)等級測評報(bào)告�����、信息安全風(fēng)險報(bào)告、信息系統(tǒng)安全檢查報(bào)告��、網(wǎng)絡(luò)漏洞掃描報(bào)告����、滲透測試報(bào)告等,詳細(xì)剖析了各稅務(wù)單位和信息系統(tǒng)存在的安全風(fēng)險和安全差距����,在充分考慮現(xiàn)有安全防措施并綜合考慮等級保護(hù)基本技術(shù)要求合規(guī)性的基礎(chǔ)上提出相應(yīng)的整改建議,為各稅務(wù)單位進(jìn)行信息系統(tǒng)安全整改工作提供了堅(jiān)實(shí)的技術(shù)支撐�,并形成一個“評測-整改-建設(shè)-再評測”螺旋式上升的良性循環(huán)機(jī)制。另一方面���,稅務(wù)信息系統(tǒng)的建設(shè)是一個動態(tài)發(fā)展的過程�。圍繞更好地支持和保障稅收中心工作�,稅收信息化建設(shè)也處在跨越發(fā)展的關(guān)鍵階段��。
二���、創(chuàng)新評測方法,提高網(wǎng)絡(luò)安全風(fēng)險識別效能
為了提高稅務(wù)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險識別效能�,降低基層單位信息安全管理工作壓力,我們提出了以信息系統(tǒng)信息安全風(fēng)險管理為主線�����,采用安全檢查����、等級保護(hù)測評和風(fēng)險評估等數(shù)據(jù)采集方式,輔助以安全等級保護(hù)測評和風(fēng)險評估的數(shù)據(jù)分析方法���,得到以下結(jié)果:
(1)以稅務(wù)系統(tǒng)信息安全等級保護(hù)基本要求為依據(jù)�,通過等級保護(hù)測評的分析方法找到信息系統(tǒng)的安全差距;
(2)通過風(fēng)險評估的分析方法確定安全差距是否存在風(fēng)險�,進(jìn)一步確認(rèn)哪些安全差距的風(fēng)險是可以接受的,哪些安全差距的風(fēng)險是不可接受的;
(3)通過綜合分析方法,對安全檢查的結(jié)果進(jìn)行總結(jié)�����、提煉與升華��,形成對被評測單位信息安全整體情況的判定����。
為保證信息安全評測工作的科學(xué)性和準(zhǔn)確性,提高國家稅務(wù)系統(tǒng)信息安全評測工作的水準(zhǔn)���,在《GB/T 20984-2007 信息安全技術(shù)
信息安全風(fēng)險評估規(guī)范》����、《GB/T 22239-2008 信息安全技術(shù)
信息系統(tǒng)安全等級保護(hù)基本要求》等國家標(biāo)準(zhǔn)的基礎(chǔ)上��,我們先后組織相關(guān)領(lǐng)域的專家���,結(jié)合稅務(wù)行業(yè)自身業(yè)務(wù)特點(diǎn)�、信息化建設(shè)情況和特殊安全需求����,在不低于國家標(biāo)準(zhǔn)要求的基礎(chǔ)上��,先后制定了《稅務(wù)系統(tǒng)信息安全等級保護(hù)基本要求》�、《稅務(wù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》��、《稅務(wù)系統(tǒng)信息安全等級保護(hù)測評準(zhǔn)則》��、《稅務(wù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》�、《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險評估工作管理規(guī)定(試行稿)》、《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)(試行稿)》��、《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全總體策略》�����、《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險評估工作管理規(guī)定(試行稿)》�����、《稅務(wù)系統(tǒng)電子數(shù)據(jù)處理管理辦法(試行)》���、《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全防護(hù)體系運(yùn)行維護(hù)管理辦法(試行)》、《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急響應(yīng)工作指南(試行)》�����、《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全事件分級分類指南(試行)》等一系列行業(yè)標(biāo)準(zhǔn),為我們的網(wǎng)絡(luò)安全評測方法提供了基本的技術(shù)依據(jù)��。
其次�����,我們還組織制定了稅務(wù)系統(tǒng)信息安全評測項(xiàng)目技術(shù)方案和稅務(wù)系統(tǒng)信息安全評測項(xiàng)目實(shí)施方案�����,編寫了項(xiàng)目實(shí)施人員工作手冊�、稅務(wù)信息系統(tǒng)風(fēng)險評估培訓(xùn)教材、稅務(wù)信息系統(tǒng)等級保護(hù)測評培訓(xùn)教材�、稅務(wù)信息系統(tǒng)安全檢查培訓(xùn)教材以及一系列的調(diào)研表、檢測表和文檔規(guī)范�����,研發(fā)了一系列的檢測�����、掃描和測試工具�����,為國家稅務(wù)系統(tǒng)信息安全評測工作提供了有力的技術(shù)支持。
三���、構(gòu)建指標(biāo)體系�,形成網(wǎng)絡(luò)安全風(fēng)險感知能力
為了能全面評價稅務(wù)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險狀況��,初步形成網(wǎng)絡(luò)安全風(fēng)險感知能力����,在安全評測基礎(chǔ)上,必須構(gòu)建一個能從多層次多角度合理地反映信息安全風(fēng)險的評價指標(biāo)��,才能得出科學(xué)公正的評估結(jié)果���。信息安全應(yīng)遵循如下原則:
(1)科學(xué)性原則
整個評價指標(biāo)體系從指標(biāo)的構(gòu)成到其體系結(jié)構(gòu)����,從指標(biāo)的測度內(nèi)容到測度方法都必須客觀��、準(zhǔn)確�����,必須科學(xué)地�����、全面地反映信息系統(tǒng)安全風(fēng)險的本質(zhì)特征�。
(2)目的性原則
信息安全風(fēng)險評價指標(biāo)體系的構(gòu)成應(yīng)該與業(yè)務(wù)目標(biāo)緊密相連,根據(jù)信息安全機(jī)密性��、完整性和可用性的目標(biāo)層層展開��,所選擇的指標(biāo)必須能夠反映出所能達(dá)到目標(biāo)程度的信息���,使最后的評價結(jié)果確實(shí)能反映組織信息安全的真實(shí)情況���。
(3)全面性原則
信息安全風(fēng)險評價指標(biāo)體系,應(yīng)涵蓋信息系統(tǒng)安全的生命周期和作用層面�����,從存取控制��、機(jī)密性/完整性���、應(yīng)急計(jì)劃�����、審計(jì)��、人員���、基礎(chǔ)設(shè)施����、信息系統(tǒng)���、管理��、技術(shù)���、組織機(jī)構(gòu)、合規(guī)性等多方面對信息系統(tǒng)的安全風(fēng)險情況進(jìn)行評價���,并為組織信息安全管理提供指導(dǎo)�����。
(4)可操作性原則
設(shè)計(jì)的指標(biāo)必須意義明確,并且力求簡明實(shí)用��,一般應(yīng)具有可測性和可量化特點(diǎn),能及時搜集到準(zhǔn)確的數(shù)據(jù)����。對于一些難以測度或數(shù)據(jù)收集困難的無形的、間接的效益指標(biāo)����,也應(yīng)盡可能設(shè)法尋找可替代指標(biāo),尋找調(diào)查搜集指標(biāo)數(shù)據(jù)的途徑��,確定數(shù)據(jù)估算的統(tǒng)計(jì)方法���。
(5)通用性和發(fā)展性相結(jié)合原則
構(gòu)建的信息安全風(fēng)險評價指標(biāo)應(yīng)能應(yīng)用于不同的評估范圍�����,即從單個的安全控制系統(tǒng)����、網(wǎng)絡(luò)到整個信息基礎(chǔ)設(shè)施����。同時,建立的風(fēng)險指標(biāo)具有發(fā)展性和靈活應(yīng)用。
我們初步構(gòu)建了涵蓋管理����、技術(shù)和工程層面,包括信息安全意識水平�、制度規(guī)范體系、人才隊(duì)伍建設(shè)��、安全防護(hù)能力��、業(yè)務(wù)連續(xù)性管理�����、應(yīng)急響應(yīng)能力�、信息系統(tǒng)生命周期安全管理等七個方面風(fēng)險評價指標(biāo)體系,結(jié)合國內(nèi)外網(wǎng)絡(luò)安全形勢和外部威脅變化情況����,動態(tài)調(diào)整各個指標(biāo)的權(quán)重,從而使指標(biāo)體系能真實(shí)反映稅務(wù)系統(tǒng)網(wǎng)路安全面臨的風(fēng)險狀況����。
四、開展績效考核�����,確保風(fēng)險控制措施落實(shí)到位
今年稅務(wù)總局開始全面實(shí)施績效管理����,以績效為導(dǎo)向,以提升站位���、增強(qiáng)稅務(wù)公信力和執(zhí)行力為目標(biāo)���,創(chuàng)新驅(qū)動,風(fēng)險防控����,持續(xù)推進(jìn)稅收事業(yè)跨越發(fā)展。為了確保各項(xiàng)網(wǎng)絡(luò)安全風(fēng)險控制措施能有效落實(shí)到位����,我們將網(wǎng)絡(luò)安全保障工作納入了全局績效考核范疇。網(wǎng)絡(luò)安全績效考核指標(biāo)��,是根據(jù)網(wǎng)絡(luò)安全測評中發(fā)現(xiàn)的高風(fēng)險指標(biāo)����,結(jié)合當(dāng)前網(wǎng)絡(luò)安全保障工作需要選定的,占全局績效考核總分的1.5%。為了能使考核工作更加有針對性的確保各項(xiàng)網(wǎng)絡(luò)安全風(fēng)險控制措施的落實(shí)��,結(jié)合下一年度的網(wǎng)絡(luò)安全保障工作要點(diǎn)和年度網(wǎng)絡(luò)安全風(fēng)險態(tài)勢����,我們在年末發(fā)布下一年度的網(wǎng)絡(luò)安全保障工作考核要點(diǎn)和考核指標(biāo)體系,規(guī)范網(wǎng)絡(luò)安全保障績效考核工作����。
網(wǎng)絡(luò)安全風(fēng)險管理作為稅務(wù)系統(tǒng)網(wǎng)絡(luò)安全保障工作的主線,通過創(chuàng)新網(wǎng)絡(luò)安全測評方法��、構(gòu)建網(wǎng)絡(luò)安全風(fēng)險指標(biāo)體系����、開展網(wǎng)絡(luò)安全績效考核,初步形成了稅務(wù)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險管理框架���,有效保障了稅務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行��。
為更好的為公眾說明安全知識的重要性����,本站引用了部分來源于網(wǎng)絡(luò)的圖片插圖���,無任何商業(yè)性目的�����。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第六條“為介紹�、評論某一作品或者說明某一問題���,在向公眾提供的作品中適當(dāng)引用已經(jīng)發(fā)表的作品”之規(guī)定�����。如果權(quán)利人認(rèn)為受到影響����,請與我方聯(lián)系�����,我方核實(shí)后立即刪除�。
