◎文/課題組

2016年11月，全國人大常委會通過 《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）?！毒W(wǎng)絡(luò)安全法》為現(xiàn)有網(wǎng)絡(luò)信息安全工作提供了法律依據(jù)，也是未來天津財(cái)政地稅系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)的基礎(chǔ)性依據(jù)?！盎ヂ?lián)網(wǎng)+”和大數(shù)據(jù)的普及與應(yīng)用，構(gòu)成了信息安全建設(shè)新的外在環(huán)境和宏觀背景；《網(wǎng)絡(luò)安全法》的頒布，構(gòu)成了政府部門信息安全建設(shè)的法律基礎(chǔ)和制度框架；新的宏觀背景與法律規(guī)制相結(jié)合，形成了當(dāng)今我國的網(wǎng)絡(luò)安全新常態(tài)。

一、信息安全組織架構(gòu)及職能體系

（一）天津地稅網(wǎng)絡(luò)安全組織體系建設(shè)情況

1.體系架構(gòu)

天津地稅現(xiàn)行的網(wǎng)絡(luò)和信息安全管理體系是天津市地方稅務(wù)局（以下簡稱市局）集中控制和統(tǒng)一規(guī)范管理的模式，從市局到各區(qū)地稅局、市局直屬單位呈現(xiàn)出信息部門歸口管理和分層管理相結(jié)合的特點(diǎn)。

天津地稅的網(wǎng)絡(luò)和信息安全涉及多個業(yè)務(wù)系統(tǒng)，包括核心征管系統(tǒng)、門戶網(wǎng)站、12366系統(tǒng)、郵件系統(tǒng)等30余個信息系統(tǒng)，分屬于辦公室、行財(cái)處、稅口各業(yè)務(wù)處室、稽查局等多個部門日常應(yīng)用。各業(yè)務(wù)部門根據(jù)具體職能的不同，負(fù)責(zé)對一套或多套的業(yè)務(wù)信息系統(tǒng)的日常使用管理，市局信息化處統(tǒng)一歸口管理相關(guān)系統(tǒng)的網(wǎng)絡(luò)和信息安全事項(xiàng)。

2.人員構(gòu)成

網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組是天津地稅系統(tǒng)的信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，組長由天津市地稅局局長擔(dān)任，副組長由分管信息化工作的局長擔(dān)任，小組成員由保障部門（辦公室、法制處、行財(cái)處）、信息安全的主管及實(shí)施部門（信息化處、信息中心）和重點(diǎn)信息系統(tǒng)的主要應(yīng)用處室（監(jiān)督處、預(yù)算處、國庫處、征管處和收入規(guī)劃核算處）的主要負(fù)責(zé)同志構(gòu)成。

3.機(jī)構(gòu)職能

（1）網(wǎng)絡(luò)和信息化領(lǐng)導(dǎo)小組

總體職能為統(tǒng)一領(lǐng)導(dǎo)天津稅務(wù)系統(tǒng)的信息化建設(shè)、網(wǎng)絡(luò)安全和日常信息化工作。

（2）網(wǎng)絡(luò)安全和信息化辦公室

負(fù)責(zé)綜合協(xié)調(diào)財(cái)稅系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急工作，履行應(yīng)急值守、信息匯總綜合協(xié)調(diào)職能，發(fā)揮網(wǎng)絡(luò)安全應(yīng)急管理作用。

（3）網(wǎng)絡(luò)安全應(yīng)急辦公室

主要職能為網(wǎng)絡(luò)安全事件的應(yīng)急和協(xié)調(diào)處理。

（二）現(xiàn)行信息安全組織體系的特點(diǎn)

1.“工作小組+主管部門”的管理機(jī)制

網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組是天津地稅系統(tǒng)信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，領(lǐng)導(dǎo)小組下設(shè)辦公室和網(wǎng)絡(luò)安全應(yīng)急辦公室，網(wǎng)絡(luò)安全應(yīng)急辦公室下設(shè)多個專項(xiàng)工作組，負(fù)責(zé)各個業(yè)務(wù)系統(tǒng)的具體網(wǎng)絡(luò)安全事項(xiàng)。

2.“科層化”兩級的組織架構(gòu)

“科層化”是指市局和基層單位之間具有顯著的上下級隸屬關(guān)系。市局是制度的設(shè)計(jì)、規(guī)劃和制定者，基層單位是制度的執(zhí)行、落實(shí)和反饋者。

3.五級的職能實(shí)現(xiàn)體系

天津地方稅務(wù)局網(wǎng)絡(luò)安全和信息化的職能體系的構(gòu)建和規(guī)范采用了五層的結(jié)構(gòu)，從宏觀到具體依次為：總體策略—管理辦法—實(shí)施規(guī)范—流程細(xì)則—記錄表單。通過自上而下的目標(biāo)分解，既保證了體系構(gòu)建的規(guī)范性，也加強(qiáng)了安全管理目標(biāo)的可實(shí)現(xiàn)性。

4.內(nèi)、外部人員管理制度完備

為確保人為的網(wǎng)絡(luò)安全因素的可靠性，通過《天津市財(cái)政局（地方稅務(wù)局）人員安全管理辦法》、《天津市財(cái)政局（地方稅務(wù)局）外部信息技術(shù)服務(wù)人員管理規(guī)定》等制度，從人員的錄用、任職、轉(zhuǎn)崗、離職、信息設(shè)備訪問、開發(fā)人員管理等方面入手，建立了完備的人員管理制度體系。

（三）現(xiàn)行信息安全組織體系存在的問題

1.缺乏專職機(jī)構(gòu)及人員

工作小組是從各部門抽調(diào)人員組成的臨時議事或者辦事機(jī)構(gòu)，且缺乏明確議事規(guī)則。工作小組的成員一般分布在各個業(yè)務(wù)部門中，“業(yè)務(wù)工作”是工作的核心，“網(wǎng)絡(luò)安全”是一種兼職，導(dǎo)致成員很難在繁雜的業(yè)務(wù)工作中抽出時間主動發(fā)現(xiàn)網(wǎng)絡(luò)安全問題。

2.“自行管理”、“自我監(jiān)督”

現(xiàn)行的信息安全工作是信息化整體工作的一項(xiàng)子內(nèi)容，由信息技術(shù)部門統(tǒng)一負(fù)責(zé)網(wǎng)絡(luò)安全的管理。但對信息安全而言，個人的操作安全是很小的一部分，更多的還是涉及到信息系統(tǒng)的運(yùn)維安全。因此在“自我監(jiān)督”的方式下，制度執(zhí)行往往難以達(dá)到預(yù)期效果。

3.缺乏完善的個人安全責(zé)任考評制度和意識培養(yǎng)體系

現(xiàn)行的信息安全培訓(xùn)工作主要側(cè)重于對專業(yè)人員的技術(shù)培養(yǎng)，對于使用業(yè)務(wù)系統(tǒng)的普通用戶信息安全教育和意識培養(yǎng)存在嚴(yán)重不足。同時，目前的網(wǎng)絡(luò)安全考核是針對單位的，缺乏對工作人員的個人考核制度。

4.網(wǎng)絡(luò)安全體策略的細(xì)化和持續(xù)改進(jìn)存在不足

框架性制度較完備，但細(xì)化較少。在“流程細(xì)則”層級上，現(xiàn)有制度缺乏明確的獎懲措施，責(zé)任認(rèn)定條款界限模糊，具體責(zé)任認(rèn)定存在困難；在“實(shí)施規(guī)范”層級上，缺乏人員培訓(xùn)考核計(jì)劃和管理等規(guī)范制度；在 “管理辦法”層級上，缺乏定期的內(nèi)部審計(jì)機(jī)制，缺少對制度修訂、檢查和落實(shí)的持續(xù)性改進(jìn)的相關(guān)規(guī)定，部分基本制度已多年未修訂，相關(guān)規(guī)定已無法與目前的工作有效銜接。

（四）組織架構(gòu)及職能體系改進(jìn)建議

1.落實(shí)網(wǎng)絡(luò)與信息安全責(zé)任制

落實(shí)責(zé)任制的重點(diǎn)在于責(zé)任的明晰與安全意識的培養(yǎng)。在工作實(shí)踐中，沒有人會主動認(rèn)領(lǐng)責(zé)任，所以責(zé)任制的條款規(guī)定必須是明確而清晰的。單位的責(zé)任和個人的責(zé)任要界定清晰。責(zé)任制的建立應(yīng)當(dāng)包含所有的網(wǎng)絡(luò)應(yīng)用參與者，而不僅僅是系統(tǒng)運(yùn)營的管理者。應(yīng)當(dāng)提高所有網(wǎng)絡(luò)應(yīng)用參與者的責(zé)任意識，通過信息安全責(zé)任與懲罰機(jī)制的聯(lián)系，并加以持續(xù)的宣傳，從而引導(dǎo)相關(guān)人員養(yǎng)成良好的安全意識。

2.改進(jìn)網(wǎng)絡(luò)安全運(yùn)行機(jī)制

將“監(jiān)管者”和“運(yùn)營者”分開，可以有效的解決自我監(jiān)管的不足。

3.建立分級分類的網(wǎng)絡(luò)安全意識培養(yǎng)體系

信息安全的培訓(xùn)應(yīng)當(dāng)實(shí)現(xiàn)對所有參與者的全覆蓋，包括各級信息系統(tǒng)的負(fù)責(zé)人、管理人員、使用人員、開發(fā)人員等。在培訓(xùn)過程中需要注意的是，不同的人員對于培訓(xùn)內(nèi)容的需求是存在很大差異的，因此在培訓(xùn)中應(yīng)根據(jù)不同的培訓(xùn)對象分級分類進(jìn)行。

4.成立專門部門負(fù)責(zé)網(wǎng)絡(luò)安全評估、檢查和改進(jìn)

建議引入第三方的安全評估機(jī)構(gòu)定期對天津地稅系統(tǒng)的網(wǎng)絡(luò)安全狀況進(jìn)行全面的檢查，評估組織管理、技術(shù)應(yīng)用、應(yīng)急處理和協(xié)調(diào)溝通機(jī)制的聯(lián)動情況是否符合信息安全的要求。

建議在現(xiàn)有的網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組下，設(shè)立專門的信息安全檢查和持續(xù)改進(jìn)小組，專門負(fù)責(zé)信息安全的檢查和持續(xù)改進(jìn)工作，建立和完善天津地稅系統(tǒng)重點(diǎn)信息系統(tǒng)的檢查和改進(jìn)制度，持續(xù)動態(tài)的調(diào)整信息安全策略和控制措施，保證天津地稅信息系統(tǒng)能夠安全有效運(yùn)行。

5.建立和完善安全考核評價(jià)體系

考核體系的構(gòu)建需要重點(diǎn)考慮兩方面的內(nèi)容：一是賦予一個機(jī)構(gòu)明確的職責(zé)，負(fù)責(zé)制定具體的考核政策和管理策略，并確保相關(guān)政策可以有效傳達(dá)和落實(shí)；二是建立完整的考核指標(biāo)體系?？己酥笜?biāo)體系的設(shè)計(jì)可以分為三個層級：第一層是基本的信息安全素養(yǎng)，具體又可分為網(wǎng)絡(luò)應(yīng)用能力和信息安全意識兩個部分；第二層是網(wǎng)絡(luò)和信息安全防護(hù)能力，包括基本操作規(guī)范、保密意識、惡意攻擊防范等；第三層是信息安全應(yīng)急處置能力，考核的重點(diǎn)是對本單位信息安全應(yīng)急管理制度的認(rèn)知能力、對突發(fā)事件的應(yīng)急處理能力。

二、信息安全日常管理體系

本部分內(nèi)容選取河?xùn)|區(qū)地方稅務(wù)局 （以下簡稱河?xùn)|地稅）作為研究案例，深入分析基層稅務(wù)機(jī)關(guān)日常信息安全管理工作的現(xiàn)狀和存在的主要問題，通過對問題原因的剖析，探討解決這些問題的思路。

（一）河?xùn)|地稅信息安全現(xiàn)狀與主要特點(diǎn)

1.河?xùn)|地稅信息安全現(xiàn)狀概述

河?xùn)|地稅的信息系統(tǒng)主要由個人計(jì)算機(jī)、打印機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備以及連接的網(wǎng)絡(luò)組成。網(wǎng)絡(luò)系統(tǒng)分為內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)。內(nèi)網(wǎng)聯(lián)通各級稅務(wù)機(jī)關(guān)，稅務(wù)干部通過內(nèi)網(wǎng)訪問內(nèi)部各種應(yīng)用。內(nèi)網(wǎng)通過市局、總局與人民銀行等第三方實(shí)現(xiàn)互聯(lián)；外網(wǎng)主要用于稅務(wù)干部日常訪問互聯(lián)網(wǎng)。

2.河?xùn)|地稅信息安全的主要特點(diǎn)

（1）上級指導(dǎo)，統(tǒng)一管理

（2）數(shù)據(jù)在市局（總局）集中處理和儲存

（二）河?xùn)|地稅日常信息安全管理工作的主要做法

1.制度及工作機(jī)制建設(shè)

（1）組織機(jī)構(gòu)

按照市局信息安全工作有關(guān)要求，成立“網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組”并下設(shè)辦公室，小組組長由一把局長擔(dān)任，其他班子成員為副組長，各綜合科室主要負(fù)責(zé)人為成員的，分管信息化工作的副局長任辦公室主任，信息科科長、辦公室主任任副主任、各部門副職任辦公室成員。全面負(fù)責(zé)全局網(wǎng)絡(luò)信息安全及信息化建設(shè)工作。

建立一把手負(fù)總責(zé)，分管信息化工作的副局長主抓，信息科具體負(fù)責(zé)，形成 “信息科—兼職信息安全員—全局干部”自上而下分級管理，各負(fù)其責(zé)的工作機(jī)制。

（2）制度建設(shè)

在總局、市局信息安全管理制度體系內(nèi)，結(jié)合自身實(shí)際情況，建立適應(yīng)本單位的信息安全管理制度。先后制定下發(fā) 《計(jì)算機(jī)信息系統(tǒng)及網(wǎng)絡(luò)安全保密管理制度》、《網(wǎng)絡(luò)與網(wǎng)絡(luò)安全應(yīng)急保障工作綜合預(yù)案》、《計(jì)算機(jī)機(jī)房管理制度》、《電教室管理制度》、《信息技術(shù)科管理員職責(zé)》、《科所計(jì)算機(jī)管理員職責(zé)》、《網(wǎng)站管理辦法》、《安全接入和上網(wǎng)行為管理系統(tǒng)安全策略配置管理辦法》、《業(yè)務(wù)崗位權(quán)限管理辦法》等一系列制度規(guī)定。嚴(yán)格按照既定的管理制度和市局的信息安全工作要求加強(qiáng)日常的教育、管理、監(jiān)督和檢查。

2.日常運(yùn)維體系建設(shè)

（1）重點(diǎn)部位巡查及自查

建立機(jī)房巡檢和登記制度。每天早、中、晚各巡檢一次，密切關(guān)注機(jī)房環(huán)境和設(shè)備運(yùn)行情況，做好巡檢記錄，遇到突發(fā)情況及時觸發(fā)應(yīng)急預(yù)案。外來人員訪問機(jī)房要有相關(guān)人員陪同，詳細(xì)登記進(jìn)入時間、事由、人員并簽字確認(rèn)。

在局網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下，定期對日常信息安全管理工作進(jìn)行自查，從制度建設(shè)、組織保障、教育培訓(xùn)、信息資產(chǎn)、安全防護(hù)、數(shù)據(jù)安全、網(wǎng)絡(luò)防護(hù)、應(yīng)急保障等方面制定詳細(xì)的檢查清單，查找薄弱環(huán)節(jié)和安全隱患，對發(fā)現(xiàn)的問題制定整改措施，堵塞安全漏洞，織密信息安全防護(hù)網(wǎng)。

（2）權(quán)限管理與數(shù)據(jù)安全

系統(tǒng)權(quán)限管理實(shí)行業(yè)務(wù)主管部門和信息部門雙重把關(guān)、嚴(yán)格規(guī)范管理、相互監(jiān)督的工作機(jī)制。需求部門填寫《權(quán)限設(shè)置修改單》，逐級審批，由信息部門完成權(quán)限配置和修改。實(shí)現(xiàn)權(quán)限管理痕跡化，可追溯。

加強(qiáng)用戶口令管理。對所有計(jì)算機(jī)終端設(shè)置開機(jī)密碼、屏保密碼，杜絕非稅務(wù)人員接觸內(nèi)網(wǎng)計(jì)算機(jī)。要求稅務(wù)人員離開工位必須鎖屏。業(yè)務(wù)系統(tǒng)密碼長度和復(fù)雜度要符合安全規(guī)定，并定期更換。嚴(yán)禁將本人用戶口令借與他人使用。

（3）數(shù)據(jù)備份操作規(guī)程

對于基層稅務(wù)機(jī)關(guān)自行管理的稅收數(shù)據(jù)，制定數(shù)據(jù)備份的規(guī)則和程序，規(guī)范備份的時間、內(nèi)容、訪問控制。由專人負(fù)責(zé)進(jìn)行定期備份，并將備份數(shù)據(jù)與數(shù)據(jù)源隔離存儲，確保備份數(shù)據(jù)存儲安全。

（三）存在的問題

1.信息安全制度和規(guī)定落實(shí)不力

由于人為原因，部分終端安全防護(hù)措施形同虛設(shè)，業(yè)務(wù)資料，私人信息混用；開機(jī)口令、業(yè)務(wù)系統(tǒng)口令不按規(guī)定進(jìn)行設(shè)置和定期更換等。

2.信息安全管理機(jī)制不健全

一是基層稅務(wù)機(jī)關(guān)信息安全管理力量薄弱，少有信息安全管理專職人員，缺乏科學(xué)指導(dǎo)，管理手段單一；二是信息安全管理缺位，管理職責(zé)難落實(shí)，僅依靠信息部門，未建立起跨部門協(xié)作機(jī)制。

3.數(shù)據(jù)安全存在隱患

一是基層用戶保密意識不強(qiáng)，為方便工作，將賬號口令與他人共享或借與他人；二是各應(yīng)用系統(tǒng)崗責(zé)體系不規(guī)范，如果操作員越權(quán)修改系統(tǒng)信息，很難及時發(fā)現(xiàn)；三是數(shù)據(jù)備份方式單一，備份文件的有效性難以保證。

（四）日常運(yùn)維體系改進(jìn)建議

1.加強(qiáng)信息安全組織機(jī)構(gòu)建設(shè)

組織架構(gòu)及職能體系建設(shè)是完善信息安全日常管理體系的基礎(chǔ)。因此意見建議部分首先考量上文論述的完善組織機(jī)構(gòu)及職能體系的相關(guān)建議。具體包括：一是落實(shí)網(wǎng)絡(luò)和信息安全責(zé)任制，推進(jìn)責(zé)任落實(shí)到人，引進(jìn)責(zé)任追究及懲罰機(jī)制，嚴(yán)格信息安全績效考評管理，提高制度執(zhí)行剛性；二是建立分級分類的信息安全培養(yǎng)機(jī)制，信息安全意識培養(yǎng)全覆蓋，并根據(jù)不同崗位類型和崗位性質(zhì)涉及有針對性的培訓(xùn)內(nèi)容；三是建立健全安全考核評價(jià)體系，對基本的信息安全素養(yǎng)、網(wǎng)絡(luò)和信息安全防護(hù)能力以及信息安全應(yīng)急處置能力等不同層面施行量化考核及評價(jià)。

2.統(tǒng)一日常運(yùn)維操作規(guī)程

目前天津財(cái)稅系統(tǒng)基層單位信息安全操作規(guī)程依托市局提供的信息安全框架進(jìn)行細(xì)化，各單位具體實(shí)施細(xì)則相互不同，操作規(guī)程存在較大差異。同時，基層單位信息資產(chǎn)的采購主要由市局統(tǒng)一進(jìn)行，技術(shù)規(guī)格相對統(tǒng)一。相對統(tǒng)一的技術(shù)規(guī)格與互不相同的運(yùn)維操作規(guī)程之間存在矛盾。因此建議由市局層面發(fā)布細(xì)化的日常運(yùn)維體系工作機(jī)制，統(tǒng)一基層單位日常運(yùn)維操作尤其是重點(diǎn)部位如機(jī)房的日常運(yùn)維，讓基層單位有據(jù)可循。

3.加強(qiáng)信息安全操作痕跡管理

建立一套科學(xué)合理、持續(xù)有效的信息安全操作痕跡管理機(jī)制并定期自查，保留操作記錄的同時，對良好操作習(xí)慣的養(yǎng)成形成正反饋，并依托操作痕跡管理機(jī)制，確定信息系統(tǒng)安全現(xiàn)狀，提取安全需求，查找薄弱環(huán)節(jié)，有針對性地進(jìn)行整改完善。提高安全防護(hù)的有序性、科學(xué)性和有效性；同時建立信息資產(chǎn)的全生命周期檔案，對安全設(shè)備及系統(tǒng)的運(yùn)行和維護(hù)做好詳細(xì)的記錄，便于查閱和參考，以期提升基層信息安全日常管理整體水平。

三、信息安全風(fēng)險(xiǎn)評估與應(yīng)急管理體系

（一）風(fēng)險(xiǎn)評估與應(yīng)急管理體系建設(shè)總體情況及取得的成效

1.總體情況

天津財(cái)稅系統(tǒng)在加快信息化建設(shè)和信息系統(tǒng)開發(fā)應(yīng)用的同時，高度重視信息安全風(fēng)險(xiǎn)評估工作，主要從信息安全評估、安全加固、應(yīng)急響應(yīng)、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓(xùn)、應(yīng)急演練等多方面多角度出發(fā)，結(jié)合財(cái)稅系統(tǒng)的實(shí)際情況，形成安全規(guī)劃、實(shí)施、檢查、處置四位一體的長效機(jī)制。

風(fēng)險(xiǎn)評估與應(yīng)急管理體系制度化建設(shè)也在穩(wěn)步推進(jìn)，制訂并發(fā)布了一系列制度標(biāo)準(zhǔn)，包括《天津市財(cái)政局（地方稅務(wù)局）網(wǎng)絡(luò)安全事件綜合應(yīng)急預(yù)案 （試行）》、《運(yùn)維值班平臺告警處理流程》等。并要求各單位定期舉辦網(wǎng)絡(luò)與信息安全異常事件應(yīng)急演練，以提升緊急情況下的應(yīng)急處理能力。

2.取得的成效

（1）通過風(fēng)險(xiǎn)評估健全管理策略

通過定期進(jìn)行安全風(fēng)險(xiǎn)評估，建立健全財(cái)稅系統(tǒng)安全管理策略，實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)的動態(tài)跟蹤分析，為今后財(cái)稅系統(tǒng)安全整體規(guī)劃提供科學(xué)的決策依據(jù)，從而加強(qiáng)內(nèi)部網(wǎng)絡(luò)的整體安全防護(hù)能力，全面提升信息系統(tǒng)整體安全防范能力，提高網(wǎng)絡(luò)與信息安全管理水平。

（2）制定完備安全管理應(yīng)急預(yù)案

從組織架構(gòu)、教育培訓(xùn)、應(yīng)急安全分析、緊急響應(yīng)服務(wù)等方面加強(qiáng)應(yīng)急事件的處理能力，豐富應(yīng)急事件處理的措施招法。組織安全管理員教育培訓(xùn)，為應(yīng)急事件處理提供人才支撐、知識支撐、技術(shù)支撐。

（二）存在的問題

1.制度建設(shè)有待完善，缺乏長遠(yuǎn)規(guī)劃

從全市范圍來看，風(fēng)險(xiǎn)評估與應(yīng)急體系的內(nèi)容逐漸豐富，但是制度、規(guī)范還不夠細(xì)化，結(jié)構(gòu)比較單一，重宏觀輕微觀的現(xiàn)象有所顯現(xiàn)。從基層分局來看，基本上是市局的“修改版”，特色做法缺失，一些基層的鮮活案例總結(jié)日常運(yùn)維體系建設(shè)、提煉的不夠，未能形成經(jīng)驗(yàn)性的成果，不能為市局制定微觀決策提供科學(xué)依據(jù)。

同時，風(fēng)險(xiǎn)評估及應(yīng)急管理體系的整體建設(shè)缺乏長遠(yuǎn)規(guī)劃與目標(biāo)導(dǎo)向，更新不及時。通過調(diào)研來看，天津財(cái)稅系統(tǒng)的制度體系能夠按照工作要求推陳出新，但是與信息技術(shù)發(fā)展的更新步伐還存在一定的差距，特別是基層分局基本上都是按照市局的要求才“被動更新”，主動更新的分局更是少之又少，導(dǎo)致制度建設(shè)未能緊跟信息技術(shù)發(fā)展的步伐，會造成管理制度滯后，與技術(shù)管理存在“空檔期”，缺乏管理上的時效性。

2.風(fēng)險(xiǎn)評估工作未能覆蓋基層單位

目前天津財(cái)稅系統(tǒng)的安全評估體系范圍比較全面，涉及到網(wǎng)絡(luò)信息的各個方面，包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器及網(wǎng)絡(luò)安全設(shè)備的安全性、安全產(chǎn)品和技術(shù)的應(yīng)用狀況以及管理體系是否完善等，同時也包含對管理風(fēng)險(xiǎn)、綜合安全風(fēng)險(xiǎn)以及應(yīng)用系統(tǒng)安全性進(jìn)行評估。但是評估工作集中在市局層面，基層分局的科學(xué)系統(tǒng)評估工作處于空白狀態(tài)，這就直接導(dǎo)致機(jī)房建設(shè)投入缺乏依據(jù)，投入明顯不足，造成了基礎(chǔ)設(shè)施與應(yīng)用系統(tǒng)更新需求不匹配，并且這種不匹配隨著技術(shù)的發(fā)展越來越明顯。

3.風(fēng)險(xiǎn)評估指標(biāo)缺乏量化標(biāo)準(zhǔn)

目前的風(fēng)險(xiǎn)評估指標(biāo)范圍覆蓋全面，但是可操作性停留在宏觀層面，量化不夠深入，可重復(fù)測量的指標(biāo)數(shù)量很少，并且未賦予相應(yīng)的權(quán)重，重點(diǎn)部位和項(xiàng)目的重要性未能完全凸顯。比如物理環(huán)境、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等基礎(chǔ)指標(biāo)關(guān)系到整個信息系統(tǒng)的安全，應(yīng)加強(qiáng)風(fēng)險(xiǎn)評估的權(quán)重系數(shù)。結(jié)合天津信息安全績效考核來看，雖然有一定的量化標(biāo)準(zhǔn)但是可量化指標(biāo)數(shù)目有限，特別是與基礎(chǔ)設(shè)置相關(guān)的指標(biāo)缺乏，其實(shí)這正是基層分局的 “軟肋”，也在一定程度上制約著信息化的發(fā)展水平。

4.評估體系指標(biāo)設(shè)立創(chuàng)新驅(qū)動不足

天津財(cái)稅系統(tǒng)風(fēng)險(xiǎn)評估指標(biāo)建立后更多的是在進(jìn)行定性分析，而在定量分析方面比較匱乏。更加注重技術(shù)的防范，而在管理制度的貫徹落實(shí)上還有待完善。特別是指標(biāo)的設(shè)立上缺乏創(chuàng)新元素，“互聯(lián)網(wǎng)+”的理念還需入腦入心，大數(shù)據(jù)的思維方式還需養(yǎng)成一種習(xí)慣，利用經(jīng)驗(yàn)導(dǎo)向驅(qū)動向數(shù)據(jù)導(dǎo)向驅(qū)動轉(zhuǎn)變，將兩者有機(jī)結(jié)合起來，共同促進(jìn)風(fēng)險(xiǎn)評估的指標(biāo)體系建設(shè)更具科學(xué)性、規(guī)范性、系統(tǒng)性。

5.體系建設(shè)偏重理論缺乏系統(tǒng)性實(shí)踐

天津財(cái)稅系統(tǒng)制定了相關(guān)完備的應(yīng)急預(yù)警體系和規(guī)范的工作機(jī)制，但是更多的是在理論層面，真正的應(yīng)急演練基本上是要求每年至少一次。從調(diào)研結(jié)果看，在基層分局應(yīng)急演練結(jié)合相關(guān)部分的單位不多，只是分局內(nèi)部自己進(jìn)行了簡單的應(yīng)急演練，缺乏與相關(guān)部門的配合，與市局的有效銜接也有所缺位。

（三）風(fēng)險(xiǎn)評估與應(yīng)急管理體系建設(shè)對策建議

1.加強(qiáng)基層單位系統(tǒng)風(fēng)險(xiǎn)評估工作

建立面向基層單位信息安全尤其是重點(diǎn)部位的風(fēng)險(xiǎn)評估工作規(guī)程，并定期進(jìn)行評估工作，從而形成面向網(wǎng)絡(luò)安全、系統(tǒng)運(yùn)維、制度建設(shè)于一體的評估方法和決策機(jī)制。建立創(chuàng)新工作機(jī)制，隨著信息技術(shù)的發(fā)展變化及時更新評估方法和評估指標(biāo)，逐步完善、逐步提高，形成與信息技術(shù)發(fā)展同步部署、同步規(guī)劃、同步實(shí)施、同步更新的信息化工作新格局。

2.科學(xué)統(tǒng)籌和協(xié)調(diào)建設(shè)評估體系

隨著技術(shù)的進(jìn)步風(fēng)險(xiǎn)評估體系要及時完善、及時更新，做到風(fēng)險(xiǎn)評估與日常管理、應(yīng)急管理統(tǒng)籌規(guī)劃，做到相互促進(jìn)、相互提高。天津財(cái)稅系統(tǒng)評估體系要從物理環(huán)境、網(wǎng)絡(luò)運(yùn)行、服務(wù)器設(shè)備、應(yīng)用服務(wù)器、數(shù)據(jù)庫應(yīng)用等層面協(xié)調(diào)建設(shè)，特別是物理環(huán)境要加大管理力度，制定統(tǒng)一規(guī)劃，同步建設(shè)物理環(huán)境，形成市局總體把控，彰顯分局特色的物理環(huán)境集群，為風(fēng)險(xiǎn)評估工作做好基礎(chǔ)鋪墊。

3.量化風(fēng)險(xiǎn)評估指標(biāo)

結(jié)合國家相關(guān)技術(shù)規(guī)范和評估標(biāo)準(zhǔn)，在風(fēng)險(xiǎn)評估體系建設(shè)和完善的過程中，推進(jìn)量化指標(biāo)的使用，提升定量評估的占比，建立評估指標(biāo)體系，并根據(jù)重要程序賦予相關(guān)權(quán)重，形成指標(biāo)的分級分類管理，并結(jié)合基層分局的實(shí)際情況，在市局層面制定科學(xué)的評估指標(biāo)庫，適時建立分層分級管理機(jī)制，將普遍與個性化做到盡量均衡。

4.建立體系化機(jī)制

建立發(fā)現(xiàn)問題、分析問題、解決問題、反饋評估的聯(lián)合工作機(jī)制，切實(shí)將評估結(jié)論應(yīng)用到信息安全管理的實(shí)踐當(dāng)中，突出風(fēng)險(xiǎn)評估工作對于信息安全工作的依據(jù)和指導(dǎo)作用，通過風(fēng)險(xiǎn)評估工作落實(shí)相關(guān)信息安全技術(shù)指標(biāo)，將風(fēng)險(xiǎn)評估工作嵌入到信息安全整體工作體系之中，堅(jiān)持目標(biāo)導(dǎo)向，建立體系化聯(lián)動機(jī)制，注重結(jié)果反饋與應(yīng)用，形成閉環(huán)，從整體層面推進(jìn)信息安全建設(shè)。

[1]王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報(bào)，2015，（3）.

[2]彭勇，江常青，謝豐，戴忠華，熊欺，高洋.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)，2012，（10）.

[3]王小山，楊安，石志強(qiáng)，孫利民.工業(yè)控制系統(tǒng)信息安全新趨勢[J].技術(shù)研究，2015，（1）.

[4]莊興初.美國信息安全機(jī)制研究：網(wǎng)絡(luò)主權(quán)視角[D].北京：外交學(xué)院，2016.

[5]張濤，王玥，黃道麗.信息系統(tǒng)安全治理框架：歐盟的經(jīng)驗(yàn)與啟示——基于網(wǎng)絡(luò)攻擊視角[J].情報(bào)雜志，2016，（8）.

[6]曾忠平.信息安全人因風(fēng)險(xiǎn)研究進(jìn)展綜述 [J].情報(bào)雜志，2014，（4）.

[7]張建鋒.網(wǎng)絡(luò)安全態(tài)勢評估若干關(guān)鍵技術(shù)研究 [D].湖南：國防科學(xué)技術(shù)大學(xué)，2013.

[8]馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)，2014，（1）.

[9]楊磊.促進(jìn)我國信息系統(tǒng)應(yīng)用條件下的信息安全管理研究[D].北京：首都經(jīng)濟(jì)貿(mào)易大學(xué)，2008.

[10]馮登國，張楊，張玉清.信息安全風(fēng)險(xiǎn)評估綜述[J].通信學(xué)報(bào)， 2004，（7）.

[11]王延炯.物聯(lián)網(wǎng)若干安全問題研究與應(yīng)用[D].北京：北京郵電大學(xué)，2011.

[12]張煥國，王麗娜，杜瑞穎，傅建明，趙波.信息安全學(xué)科體系結(jié)構(gòu)研究[J].武漢大學(xué)學(xué)報(bào)（理學(xué)版）， 2010，（10）.