《稅務系統網路與資訊保安風險評估指南》編制說明

2021-08-08 19:40:55 字數 3265 閱讀 3865

編制說明

稅務系統網路與資訊保安風險評估指南就是為了對全國稅務系統的資訊保安風險評估工作提供實施的指導,從而統一全國稅務系統風險評估工作的實施辦法和工作流程,產生相同格式的工作成果,確保各地稅務系統網路與資訊保安風險評估工作結果的可比性。

稅務系統網路與資訊保安風險評估指南對稅務系統網路與資訊保安風險評估的過程、關鍵點以及工作成果等方面提出了具體的實施方法和產生的文件類別和內容。

稅務系統網路與資訊保安風險評估的內容包括:資產分析,漏洞、脆弱性及弱點評估,威脅評估,影響與可能性分析和系統分析等方面。風險評估過程分為三個階段:

確定資產的威脅概況,確定基礎設施風險和制定安全策略及計畫。

本風險評估指南規定了風險評估專案組織、跟進工作等。限定了風險評估的前提和分工。

本風險評估指南共提供了六個附錄,附錄a為術語表,對本指南內的專業術語進行解釋,附錄b為調查問卷,對稅務系統網路與資訊保安風險評估的調查問卷種類和內容進行規定,附錄c為交付文件範例,確定了稅務系統網路與資訊保安風險評估工作需完成的工作文件,附錄d資產分類清單,對稅務系統內的資產進行了分類,附錄e資產脆弱性清單列舉了各類資產可能存在的脆弱性,附錄f為資產威脅清單,列舉了資產所面臨的威脅。

稅務系統網路與資訊保安風險評估指南

(試行稿)

國家稅務總局資訊中心

二〇〇四年十月

目錄1 前言 1

1.1 關於本文件 1

1.2 目標讀者 1

1.3 文件結構 1

1.3.1 相關標準 2

1.3.2 參考文獻 2

1.4 關於術語與縮略語的約定 3

2 風險評估概述 4

2.1 基本概念 4

2.2 意義與作用 5

2.3 過程概述 5

2.4 工具 5

2.4.1 調查問卷 5

2.4.2 遠端漏洞掃瞄工具 6

2.4.3 人工審計檢查列表 6

2.4.4 安全風險評估資訊庫 6

2.5 成功的關鍵因素 6

2.6 收益 6

2.7 面臨的挑戰 7

3 風險評估內容 8

3.1 資產分析 8

3.1.1 資產定義 8

3.1.2 資產類別 8

3.1.3 資產評估 9

3.1.4 資產評估的目的 9

3.1.5 資產的重要性 9

3.1.6 資產級別 10

3.1.7 評估例項 11

3.2 漏洞/脆弱性/弱點評估 11

3.2.1 弱點評估的目的 11

3.2.2 弱點評估的內容 11

3.2.3 弱點評估手段 12

3.3 威脅評估 13

3.3.1 威脅定義 13

3.3.2 威脅分類 14

3.3.3 威脅屬性 14

3.3.4 威脅的獲取方法 15

3.3.5 威脅評估手段 16

3.3.6 威脅評估例項 16

3.4 影響與可能性分析 16

3.5 系統分析 17

3.5.1 系統結構及邊界 17

3.5.2 資訊的敏感度評估 17

3.6 調查問卷的結構 18

3.6.1 調查系統控制 18

3.6.2 系統確認 18

3.6.3 目的和評估者資訊 18

3.6.4 資訊的決定性 19

3.7 利用問卷調查結果 19

3.7.1 調查問卷分析 19

3.7.2 行動計畫 19

3.8 綜合風險分析 19

3.8.1 風險分析矩陣 20

3.8.2 風險評估層面 21

3.8.3 風險評估例項 21

3.8.4 iso 17799十個域 21

3.9 可交付的文件 22

3.9.1 資訊網路 22

3.9.2 文件一覽 23

4 風險評估過程 24

4.1 評估過程 24

4.1.1 階段1:提取基於資產的威脅概況 24

4.1.2 階段2:確定基礎設施漏洞 25

4.1.3 階段3:制訂安全策略和計畫 25

4.2 各階段的一般過程 25

4.2.1 調查與分析 25

4.2.2 資料/資訊收集與處理 25

4.2.3 撰寫評估報告 25

4.3 風險控制 26

4.3.1 風險控制的方式 26

4.3.2 風險控制措施舉例: 26

4.4 風險評估專案 27

4.4.1 計畫 27

4.4.2 監控與執行 27

5 風險評估人員組織 30

5.1 評估方人員組織 30

5.2 被評估方人員組織 31

6 風險評估的跟進工作 33

6.1 跟進的重要性 33

6.2 有效的,合格的建議 33

6.3 委託事項 33

6.3.1 安全評估人員 33

6.3.2 工作人員 33

6.3.3 管理層 34

6.4 監督與跟進 34

6.4.1 建立監督與跟進機制 34

6.4.2 標識推薦並制定跟進計畫 34

6.4.3 執行主動監督與報告 34

7 風險評估的前提與分工 36

7.1 假設與限制 36

7.2 客戶責任 36

7.3 服務資質 36

7.4 安全評估人員的職責 36

附錄a 術語表 38

稅務系統網路與資訊保安管理崗位及其職責

編制說明 稅務系統網路與資訊保安管理崗位及其職責 是稅務系統網路與資訊保安管理體系框架中的文件之一,這個文件是依據 稅務系統網路與資訊保安總體策略 的相關要求編寫,目的是為了初步建立稅務系統網路與資訊保安管理崗位,明確安全管理人員的職責。但由於各級稅務系統 總局 省局 地市局 區縣級局 具有不同的特...

資訊系統安全風險評估報告

專案名稱 風險評估報告 被評估公司單位 參與評估部門 x委員會 一 風險評估專案概述 1.1 工程專案概況 1.1.1 建設專案基本資訊 1.2 風險評估實施單位基本情況 二 風險評估活動概述 2.1 風險評估工作組織管理 描述本次風險評估工作的組織體系 含評估人員構成 工作原則和採取的保密措施。2...

資訊系統風險評估風險管理對策

摘要 隨著當今日新月異的科學技術發展和資訊化技術迅猛的更新換代之勢,科技資訊科技系統已經成為人類社會發展必不可缺少的一部分。除了人們日常生活 交流中對於資訊系統的不可缺,連國家政治軍事 經濟發展等重要特殊領域都離不開資訊系統應用,可以說資訊系統的分布已經覆蓋著人類社會的方方面面,整個社會的發展程序已...