税务系统信息安全风险评估工作管理规定(征求意见稿).doc

“税务系统信息安全风险评估工作管理办法”编制说明 信息安全风险评估是国家信息安全主管部门规定的信息安全保障的基础性工作之一，也是经总局领导确定作为税务系统今年信息安全保障工作需重点推进的工作内容之一。为了规范税务系统内信息安全风险评估工作制定本管理办法。本管理办法的主要读者为税务系统IT管理部门。 本管理规定共包括四章内容，第一章为总则，确定了本管理规定的目的和税务系统信息安全风险评估工作的总体原则；第二章为风险评估工作的执行，规定了税务系统信息安全风险评估工作执行方式，即原则上税务系统风险评估工作可以采用自评估和委托评估的方式，并确定应每年进行一次信息安全风险评估，并且在系统出现较大变更时，同样需要进行信息安全风险评估工作。第三章为信息安全风险评估工作职责，从总局信息中心、省局信息中心以及地市级信息中心三个层次对税务系统信息安全风险评估工作的管理、指导和执行的职责进行了划分。第四章为附则，要求各地依据本管理规定制定落实办法，认真贯彻执行。税务系统信息安全风险评估工作管理规定（暂行）（征求意见稿）第一章 总则第一条 为了切实保障国家税务系统的安全，落实国家领导和信息安全主管部门对于信息安全保障工作的指示和方针政策，结合国家税务系统的特征，制定本管理规定。第二条 国家税务系统信息安全风险评估工作坚持统一管理、逐级负责、密切配合的方针，实行谁主管、谁负责的原则，加强对信息安全风险评估工作的管理，建立信息安全风险评估工作责任制，逐步实现对税务系统信息安全风险评估工作的科学化、规范化管理。第三条 本管理规定适用于全国范围的税务信息系统。第二章 风险评估工作的执行第四条 国家税务系统进行信息化建设前，必须进行信息安全风险评估工作，通过信息安全风险评估工作挖掘安全需求。第五条 信息系统投入运行后，应每年至少进行一次信息安全风险评估，特别是在信息系统发生重大变更时，必须重新进行信息安全风险评估工作。第六条 国家税务系统风险评估工作应当以各级税务部门信息安全主管单位为主导，有能力的单位应当按照总局制定的税务系统信息安全风险评估指南自行组织风险评估工作，也可以聘请由总局信息安全主管部门认可的商业公司和机构进行。第七条 承担税务系统信息安全风险评估工作的商业公司必须具备国家相关机构颁发的资质证明，具备足够的资金和技术实力，必须签订保密协议。第八条 各级税务系统应每年定期向其上级单位上报信息安全风险评估结果。第九条 总局信息安全主管部门选择权威第三方机构对各省局上报的风险评估结果进行验证性评估，验证性评估的过程由总局派专人监督。第十条 总局信息安全主管部门组成专家小组对各省自评估以及第三方机构验证性评估的结果进行评审，根据专家小组评审意见，总局信息安全主管部门对风险评估的结果作出审批决定。第三章 信息安全风险评估工作职责第十一条 国家税务总局信息安全工作主管部门是全国税务系统信息安全风险评估工作的管理和协调部门。其职责是：1. 制定全国税务系统信息安全风险评估工作的方针、政策、规章制度以及考核标准，制定全国税务系统信息安全风险评估工作的实施指南。2. 指导各省局信息安全风险评估工作的管理和落实部门执行有关管理规定和实施指南，对各级单位信息安全风险评估工作进行监督和检查。3. 及时掌握全国税务系统信息安全风险评估工作的执行情况，对税务系统内共性的重大风险问题，组织协调相关部门尽快处理，并进行总结。4. 对全国税务系统信息安全风险评估工作进行评估和审查，负责对各级单位的信息安全风险评估工作进行表彰和处罚。第十二条 各省局信息信息安全主管部门是本局信息安全风险评估工作的管理部门和组织单位，其主要职责是： 1. 组织本局各相关单位贯彻执行总局信息中心关于税务系统信息安全风险评估工作的方针、政策、规章、制度及有关的实施指南。2. 依据总局的信息安全风险评估的相关方针政策、管理规定，制定本局税务系统信息安全工作的管理办法和实施细则。3. 组织指导本局各级单位贯彻执行本局关于税务系统风险评估工作的各项规定，并对本局各单位税务系统的信息安全风险评估工作进行监督和检查。4. 组织对本局信息安全风险评估工作进行审查，负责对本局各单位的风险评估安全工作进行表彰和处罚。第十三条 各地市级税务局是信息安全风险评估工作的执行单位，其主要职责是：1. 认真贯彻执行总局和省局关于税务系统信息安全风险评估工作的方针、政策、规章、制度及有关的技术标准和实施方案。2. 依据国家有关法律、法规及总局和省局关于税务系统信息安全风险评估工作的有关规定，结合本单位特点制定必要的实施细则和管理办法。3. 在总局和省局的指导和指挥调度下，对本单位税务系统进行信息安全风险评估工作。并定期向上级单位报告。4. 对本单位税务系统运行中的高安全风险，要及时组织处理并报告上级单位获得支持和指导。事后要认真总结，制定防范措施。