第一篇:浅谈基层税务机关信息安全风险评估工作
浅谈基层税务机关信息安全风险评估工作
夏林树
经过近几年来的发展,基层税务机关的信息安全风险评估工作取得了成效,初步解决了信息安全管理靠经验开展及盲目投资的问题,为信息安全等级管理提供了很好的支持。但当前的信息安全风险评估工作仍然存在一些不完善之处,制约其进一步的发展。如何正确认识信息安全风险评估工作,更好地发挥信息安全风险评估的作用。笔者根据多年基层信息工作的经历,对辖内基层税务机关开展信息安全风险评估工作的情况进行了调查,分析了目前存在的问题,并提出改进建议。
一、基层税务机关信息安全风险评估存在的主要问题
(一)对信息安全风险评估宣传不到位、认识不足、重视不够
一是开展信息安全风险评估的单位只是通过举办一些
风险评估讲座,进行风险评估理论、方法、技术和工具等专用知识的宣传,多数单位的信息安全风险评估宣传工作仍处于起步阶段。
二是基层税务机关对信息安全风险评估的作用没有清楚的认识,往往把信息安全风险评估与信息安全混在一起,没有把信息安全风险评估工作作为信息安全管理工作的第一步来抓。
三是基层税务机关受人力、物力、财力等限制,没有像重视信息安全工作一样,重视信息系统安全的前期工作——信息安全风险评估。四是没有把信息安全风险评估纳入信息安全系统的框架中。
(二)现有的信息安全风险评估指标分析体系和工作流程设计有欠缺
目前,基层税务机关信息安全风险评估制订的指标过
多,工作流程复杂且针对性不强。基层税务机关在开展风险评估时一般是根据上级机关的风险评估模板对应开展,由于上下级之间系统建设有部分不同,很多风险评估的指标难以对应。能对应上的指标由于基层税务机关的信息安全等级不同,也难以照搬照套上级行的风险评估指标和工作流程。基层税务机关在实际操作中往往采取变通或简化方式进行,信息安全风险评估失去了严肃性、科学性,造成评估的成果失真,效果差。
(三)信息安全风险评估缺少专业技术和管理人才
从基层单位的情况看,一是没有设置信息安全风险评估岗位,也没有专业评估人员。目前该岗位人员主要由信息人员担当,而绝大多数基层税务机关没有对信息人员很好地组织培训。信息安全风险评估是一项技术含量非常高的专业行为,信息人员难以担当从事信息安全风险评估专业人才的角色。二是信息安全风险评估基本上是由信息部门负责组织和
实施。但信息安全风险评估是一项综合性工作,不仅涉及到全行的业务信息系统,还涉及到全行各个方面的人力、物力、财力,仅靠信息部门进行组织协调,难以完成全面的信息安全风险评估工作。三是信息部门既是信息系统的建设者和管理者,又是安全风险的评估者,使得评估的结果不具备说服力。
(四)信息安全风险评估工具不足
一是基层行基本没有风险评估工具,只能借用上级机关的风险评估工具,而上级机关的风险评估工具也不多,多数只有漏洞扫描等简单的工具。二是针对基层税务机关的信息安全风险评估工具更是少之又少,发展滞后,很难对技术脆弱性这一块进行全面的评估或系统地分析网络与系统所面临的威胁及其存在的不足。
(五)难以聘请第三方公司进行信息安全风险评估
根据发达国家经验,税务机关一般采取聘请第三方评估公司的方式对本单位进行风险评估。但目前,基层税务机关还难以聘请第三方评估公司开展专业的信息安全风险评估。一是国内专业信息安全风险评估公司刚刚起步,规模较小,品牌意识弱,人员流动强,安全保密等问题又没有法律进行约束,基层税务机关担心聘请第三方信息安全风险评估若管理不好可能产生泄密风险。二是评估的价格过高,基层税务机关很难承担高昂的评估费用。
(六)创新项目信息安全风险评估不足
信息部门为配合业务的创新,充分利用科技为税收服务的理念,自主或外包开发了一些应用软件,为业务创新,减少工作人员的工作量做出了很大贡献。但在项目上马或验收时,往往缺少风险评估这一环节,对软件的风险没有一个完整的、系统的评估。
二、基层税务机关信息安全风险评估的建议
(一)加强宣传,提高对信息安全风险评估的认识。
随着税收信息化的发展,信息安全风险也随之提高,若仍采用传统的安全管理方式进行安全管理,势必造成很大的浪费,还难以提高风险管理的水平。因此,必须站在构建更高层次的风险管理角度,加大对风险管理体系建设宣传力度,使每一位员工充分认识到做好信息安全风险评估是防范税收风险的最基础性工作。没有正确的信息安全风险认识,就没有正确的信息安全风险管理。我们要把被动评估变成主动评估,使安全风险评估真正走到为风险管理提供决策支持的轨道上来。
(二)加强制度建设。
一是建立健全信息安全风险评估制度,保证风险评估工作开展有据可依。二是健全信息安全风险评估制度,明确评估者、建设者、使用者和管理者之间的关系及各自职责。三是细化信息安全风险评估制度,使信息系统安全风险评估在信息系统的规划、研发、建设、运行、维护、监控及退出的整个生命周期都能有效地开展。
(三)加强规划,科学制订评估标准。
基层税务机关应结合自身信息化建设的特点,将风险评估的工作流程、评估内容、评估方法和风险判断准则制订出统一的标准,为确立信息系统的安全等级提供判断标准。一是参照国家有关标准,对基层税务机关信息系统的信息资产、面临的威胁、自身的脆弱性和已有的安全措施进行分类和等级划分,并为这些要素各自不同的等级提供赋值方法。二是以可操作性和灵活性为原则,提供风险等级计算方法,让评估者将风险评估与等级保护工作有机地结合起来,完善等级安全保护。
(四)加强人员培训,提高评估人员的专业技能。
一是整合内部人力资源,加大培训力度,制订辖内统一的培训规划,编写培训教材,通过学习弥补知识缺陷,提高技术水平。二是实行互补型培训,将评估技术按专业进行分类,组织不同的技术人员分别进行培训,在较短的时间内培养出一支技术互补型的团队。三是合理使用社会资源,通过聘请富有经验的专家,学者,组成第三方评估机构。由第三方评估机构对一个基层单位进行评估,组织辖内的评估人员积极投身其中,通过学习和交流,不断积累评估工作经验,提高实际评估技术能力。四是对技术人员进行系统的认证培训,实行职业资格准入制度。
(五)加强创新,推动信息安全风险评估工作上一个新台阶。
税务机关面临的外来威胁大,种类多,手段多变,随着操作系统补丁日益频繁的发布,随着“零日攻击”的出现,最受黑客关注的税务行业如果仅采取常规的静态、年度风险评估,明显不能适应形势。一是扩大范围,将信息安全风险评估工作从运维阶段,推向信息工作的规划、研发、建设、运行、维护、监控及退出全程,全面真实地反映整个信息系统的安全。二是加大频度,在成熟的信息平台上,充分使用信息安全风险评估工具和计算机系统监控等自动化平台代替人工劳动,争取时时对信息系统进行风险监控,依托工具自动完成对数据的采集、整理、计算、分析和呈现。
第二篇:基层税务机关执法风险浅议
基层税务机关执法风险防范浅议
2015年是全面深化依法治国的开局之年,国家税务总局在2月份印发了《关于全面推进依法治税的指导意见》,明确了“依法治税”是税收工作的灵魂、依法行政是税收工作生命线和基本准则这一工作思路。随着依法行政、依法治税观念日益深入人心,纳税人的维权意识不断觉醒,基层税务机关及其执法人员长期和纳税人打交道,面临的税收执法风险逐渐增多,如何防范和控制日益增多的税收执法风险已成为摆在基层税务机关及其执法人员面前的重要课题。
一、基层税务机关面临的执法风险
1、在税务登记环节中,对已办税务登记纳税人中有否按规定核查;登记项目是否齐全、登记内容是否真实,有否按规定进行纳税申报等;已办税务登记纳税人中有没有假停业、假注销;对个体工商户进行定额核定过程中程序是否合法,手续是否完备,以上这些执法人员疏于核查,都会给后续征管带来损失。
2、受理申报环节中,缺乏对申报材料的真实性和完整性的审核,容易漏征税款;由于税收优惠政策存在一定的缺陷和漏洞,少数纳税人采取虚假认定、虚开多抵、瞒报收入等手段达到少缴、不缴税款的目的,钻政策空子骗取享受优惠。基层执法人员在在对纳税人享受税收优惠政策资格审查过程中,主观“放宽”各项优惠政策的标准,进行利益交换。
3、在日常征管过程中,有的税务检查人员为了图简便而忽视检查程序,如在检查中不主动出示检查证、不着税服、检查通知不按要求提前送达、执法文书一人送达、证据不足就提前结案等现象大量存在;文书填写、送达不规范。在使用税务文书时,存在文字表达不严密、项目填写不齐全或不正确、要求纳税人限期改正的要求、时间不明确等现象。在使用《送达回证》时,存在没有注明签收或送达地点、日期和时间,或没有按规定要求纳税人或见证人签字等等;检查引用的法律条款理由不充分或对政策的理解不透彻。最终为行政复议或者行政诉讼留下隐患。另外,政策制定的不完善、来自各方面的行政干预等都使得税务执法人员承担了一定的执法风险。
二、基层执法人员产生风险的原因
1、对执法风险防范缺乏认识
随着税收法制建设的不断完善,对基层的税收执法人员来说如果没有高度的风险意识就不存在较高的税收执法质量。在日常税收执法实践活动中,基层税收执法人员在执法风险防范存在认知上的误区。整体来看,基层税收执法人员对有明文规定的准则有一定的执行力,并不缺乏风险防范的概念。但是多数人对不作为可能带来的风险和后果缺乏正确的认识,单纯地认为只要不发生“人情”来往就不算违反规定。
2、自身业务水平不强
基层税务机关执法水平是与税收执法人员业务水平的高低
相关联的,业务水平高,则执法水平相对高。随着我国税法的不断健全与完善,法律政策越来越细化,税务人员不再是单一征收税款、简单的填票,而是向具备综合业务能力的复合型人才需求发展。目前基层一线执法人员欠缺自我完善、自觉学习的主动性,缺少紧迫感和危机意识。而且当前的《税收征收管理法》赋予了基层税务机关一线执法人员较为宽泛的处罚权利,在实际操作中,对法律条文会产生千差万别的解读,进而导致执法风险的出现。
3、廉政意识缺失
少数基层执法人员“放大”手中的权力,还存有“事不关己,高高挂起”,“多一事不如少一事”的旁观心理,甚至在违法违规的侥幸心理驱使下,为了满足一己私利,致使“人情税”、“关系税”屡见不鲜,越权执法、违规操作屡见不止。
三、基层税收执法风险的防范
1、税务干部要提高认识,筑牢思想防线
扎实开展依法行政理念教育,坚持不懈地强化基层税干部的依法行政意识,重点突出税务职业道德的教育,引导广大税干树立正确的人生观、价值观和权力观,自觉抵制拜金主义、享乐主义和极端个人主义的侵蚀。加强领导干部、先进典型、中层骨干的教育和管理。善于发现、挖掘、培养先进典型,不断强化他们的敬业精神和表率示范作用。
2、加强干部队伍建设,提升执法队伍素质
继续加强对基层执法一线的税务人员依法行政能力的培训,认真学习各项法律法规,避免因对法律制度不熟悉而引发税收执法风险。通过培训使执法人员对于执法程序有一个系统的理解。同时要理顺现行的一些不规范的程序设臵,避免因程序设臵本身的不科学、不规范而产生的问题。倡导廉政文化建设,增强廉政文化理念,切实做到清廉执法、清正治税,不断提高干部队伍拒腐防变和抵御风险的能力。
3、完善日常监督机制,加大监督力度
内外部的监督制约是保证执法行为合法性的必要条件,因此要加大对执法行为的事前、事中、事后监督,尤其是事中的监督,要充分发挥监督职能作用,避免执法行为过错的发生。同时要根据基层所现状,因地制宜地研究执法过错责任追究的方式,加强追究的可操作性。增强自我纠错能力,维护纳税人的合法权益,降低自身承担的执法风险。
4、建立长效预警机制,加强考核追究力度
树立法制观念,强化法制意识,认真对待和正确运用税法所赋予的各项权利,将基层税务机关的税收执法风险防范工作常态化、职责化。建立一只专业执法督察团队,在例行督察的基础上,不定期的进行巡查,从问题根源解决问题,从风险源头规避风险。将执法风险防范工作纳入绩效考核系统,做到有责必究、有错必查。
第三篇:信息安全风险评估管理办法
信息安全风险评估管理办法
第一章 总 则
第一条 为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。
第二条 本省行政区域内信息系统风险评估及其管理活动,适用本办法。
第三条 本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。
本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。
跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。
涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。第五条 风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。第二章 组织与实施
第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估实施计划,并对重要信息系统管理技术人员开展相关培训。
第七条 江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。
第九条 重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。
第十条 本省行政区域内信息系统应当定期开展风险评估,其中重要信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要信息系统,可以不再进行自评估。
第十一条 县以上信息化主管部门委托符合条件的风险评估服务机构,对本行政区域内重要信息系统实施检查评估。第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议;信息化主管部门委托开展检查评估,受委托的风险评估服务机构应当与被评估单位签订风险评估协议。
对于评估活动可能影响信息系统正常运行的,风险评估服务机构应当事先告知被评估单位,并协助其采取相应的预防措施。
第十三条 风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。
风险评估服务机构出具的自评估报告,应当经被评估单位认可,并经双方部门负责人签署后生效。
风险评估服务机构出具的检查评估报告,应当报委托其开展评估的主管部门审定;主管部门应当自收到评估报告之日起10个工作日内,将审定结果和整改意见告知被评估单位。第十四条 自评估单位应当根据自评估报告进行整改,并自报告生效之日起30日内,将自评估情况和整改方案报本级信息化主管部门备案。
接受检查评估的单位应当自收到检查评估报告之日起30日内,根据整改建议提出整改方案、明确整改时限,报本级信息化主管部门备案。
受委托进行风险评估的服务机构应当指导被评估单位开展整改,并对整改措施的有效性进行验证。第十五条 信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单,督促未备案单位开展自评估。
第十六条 未发生重大变更的重要信息系统再次进行风险评估的,可以参考前次评估结果,重点评估以下内容:
(一)前次风险评估发现的主要问题及整改情况;
(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后,可能出现的安全隐患;
(三)新的信息技术可能对信息系统安全造成的影响;
(四)其他需要重点评估的内容。第三章 风险评估机构
第十七条 在本省行政区域内从事自评估服务的社会机构,应当具备下列条件,并报经其所在地省辖市信息化主管部门备案:
(一)依法在中国境内注册成立并在本省设有机构,由中国公民、法人投资或者由其它组织投资;
(二)从事信息安全检测、评估相关业务两年以上,无违法记录;
(三)专业评估人员不少于10人且均为中国公民,接受并通过相关培训考核,无违法记录;其中主要评估人员2人以上,具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格,具备独立实施风险评估的技术能力;
(四)评估使用的技术装备、设施符合国家信息安全产品要求;
(五)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度;
(六)法律法规规定的其它条件。
第十八条 在本省从事检查评估的社会机构,除具备第十七条规定条件外,还应当同时具备下列条件,并经其所在地省辖市信息化主管部门审核后,报省信息化主管部门备案:
(一)具有国家权威机构认定的信息安全服务资质;
(二)评估人员不少于20人,其中主要评估人员4人以上,具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。
第十九条 省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内,告知备案结果,并定期向社会公布本行政区域内风险评估服务机构备案名单,对其服务进行管理、监督。
第二十条 从事风险评估服务的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供科学、安全、客观、公正的评估服务,保证评估的质量和效果;
(二)保守在评估活动中知悉的国家秘密、商业秘密和个人隐私,防范安全风险,不得私自占有、使用或向第三方泄露相关技术数据、业务资料等信息和资源;
(三)对服务人员进行安全保密教育,签订服务人员安全保密责任书,并负责检查落实。第四章 监督管理
第二十一条 违反本办法,有以下行为之一的,由信息化主管部门责令其限期改正,逾期不改正的,予以通报;对直接责任人员,由所在单位或上级主管部门视情给予行政处分:
(一)违反第九条、第十条规定,信息系统的建设、运营或者使用单位未按照规定开展自评估;重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的;
(二)违反第十四条规定,自评估单位未按照规定将自评估情况和整改方案、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的;
(三)违反第八条规定,信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估,并造成不良后果的。第二十二条 违反本办法第十二条规定,风险评估服务机构未事先告知被评估单位、协助其采取预防措施的,由信息化主管部门责令限期改正,并给予警告;造成不良后果的,可视情暂停其备案1年,直至取消其备案。
第二十三条 违反本办法第二十条规定,风险评估服务机构未经许可向第三方提供被评估单位相关信息的,或者从事影响评估客观、公正的活动的,由信息化主管部门视情暂停其备案一年,直至取消其备案。造成被评估单位经济损失的,应予合理赔偿;从中不当获利的,应予退还;构成犯罪的,应依法追究其刑事责任。
第二十四条 信息化主管部门或其他有关部门工作人员有下列行为之一的,由其监察部门或上级主管部门视情对相关责任人员给予行政处分;构成犯罪的,依法追究刑事责任:
(一)利用职权索取、收受贿赂,或者玩忽职守、滥用职权的;
(二)泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。第五章 附 则
第二十五条 本办法自发布之日起施行,由省信息化主管部门负责解释。
第四篇:信息安全风险评估服务
1、风险评估概述
1.1风险评估概念
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
1.2风险评估相关
资产,任何对组织有价值的事物。
威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。
风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
2、风险评估的发展现状
2.1信息安全风险评估在美国的发展
第一阶段(60-70年代)以计算机为对象的信息保密阶段
1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。特点:
仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段
评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。
第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段
随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。2.2我国风险评估发展
● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题
● 2003年8月至2010年在国信办直接指导下,组成了风险评估课题组
● 2004● 2005年,国家信息中心《风险评估指南》,《风险管理指南》 年全国风险评估试点
● 在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿
● 2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作
● 2015年,国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)制定了《电力监控系统安全防护总体方案》(国能安全[2015]36号)等安全防护方案和评估方案,其中相关规定明确风险评估在电力系统中的需要
● 2017年7月,《中华人民共和国网络安全法》颁布,其中第二章第十七条“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。
3、风险评估要素关系模型
4、风险评估流程
● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理
5、风险评估原则
● 符合性原则 ● 标准性原则 ● 规范性原则
● 可控性原则 ● 保密性原则
● 整体性原则 ● 重点突出原则 ● 最小影响原则
6、评估依据的标准和规范
GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 《电力监控系统安全防护规定》(发改委14号令)
《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全[2015]36号)
GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》
ISO/IEC 27001:2005《信息安全管理体系标准》
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》
GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》
GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》
《电力行业信息安全等级保护基本要求》(电监信息[2012]62号) 《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号)
《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)
7、风险评估的发展方向
8.1风险评估行业发展方向
从2003年7月至今,我国信息安全风险评估工作大致经历了三个阶段,即调查研究阶段、标准编制阶段和试点工作阶段。
历时两年、经过调查研究、标准编制和试点工作三个阶段,目前,我国信息安全风险评估工作已取得阶段性的成果,此间也是《关于开展信息安全风险评估工作的意见》政策文件,以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。
信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估,则是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。所以,所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在可被接受的残余风险的信息系统。因此,需要运用信息安全风险评估的思想和规范,对信息系统展开全面、完整的信息安全风险评估。
信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估,随时掌握我国重要信息系统和基础信息网络的安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,并进而服务于国家信息化发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。其意义具体体现在于:风险评估是信息安全建设和管理的关键环节,它是需求主导和突出重点原则的具体体现,是分析确定风险的过程,加强风险评估工作是信息安全工作的客观需要。
国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来,我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。
8.2公司自身的发展方向
就当前公司而言,最紧要的是对于信息安全风险评估资质的申请,和人员技术的培训。依托现有的省公司调度自动化处的合作,促进与新型能源企事业合作,大力开展光伏电站入网前的安全防护检查与检测,同时拓展到风电、水电和火电的并网后的定期检查。在这个方面,我司现在的业务水平尚有欠缺,技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下,我们要在资质和技术上双管齐下。另外,在正式介入这个行业后,我们不能只局限于和电厂的合作,更应该面向整个社会,提高社会参与度。据河南同样类型的企业,其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化,意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源,抢占市场,占据优势地位。
第五篇:浅谈基层税务机关党建工作
龙源期刊网 http://.cn
浅谈基层税务机关党建工作
作者:徐银良
来源:《新农村》2012年第07期
摘 要:加强基层税务机关党建工作,不断提高制度化、规范化、科学化水平,紧紧围绕税收中心工作,全面推进基层税务机关党建工作,积极发挥党组织的战斗堡垒作用和党员的先锋模范作用,为税收事业可持续发展提供强有力的政治保障。本文分析了当前基层税务机关党建工作存在的主要问题,提出了加强思想政治工作、加强党员干部队伍建设、完善制度建设、创新活动栽体等一系列的意见与建议。
关键词:党建 建设 制度 载体
深入贯彻落实科学发展观,全面推进党的建设新的伟大工程,是实现全面建设小康社会伟大事业的重要保证。加强和改进基层税务机关党建工作,是税收事业发展的客观需要,是做好一切税收工作的有力保证。解放思想、转变观念,抓住机遇,切实加强和改进党建工作,已是基层税务机关面临的一项十分重要而又紧迫的工作任务。
一、当前税务机关党建工作存在的主要问题
1.对党建工作的重要性认识不到位
个别基层税务机关,对党建工作的重要性认识不到位,“重业务轻党务”现象仍然存在。在党建工作中投入的精力和时间不够,党建的活动内容不丰富,活动载体不创新,党建工作缺乏生机与活力,造成党建工作的实际效果不佳,对税收中心工作促进的力度不够,进而影响到税收工作的顺利开展。
2.思想政治工作不到位
一些基层党组织的思想政治工作比较薄弱,面对新形势、新情况未能与时俱进、转换思路,不能运用科学发展的观点来认识问题,使思想政治工作明显滞后,影响了工作的针对性和实效性;政治学习气氛不浓或流于形式,党内的民主生活开展不力,思想的交流、沟通不够,对党员干部了解不深、关心不够,思想政治工作浮在表面上,在一定程度上影响了党员干部的积极性、主动性和创造性。
3.干部队伍的建设力度不够
党建工作与干部队伍建设的结合力度不够,对干部的教育培训不重视、不得力,个别干部的综合素质不高、业务能力不强,缺乏服务意识、团队意识,不能起带头模范作用。
4.党建工作的制度建设不够完善
只有不断完善党建工作的制度建设,才能使党建工作趋于良好的发展态势。尽管我们在党建工作中建立了一些制度,但通过实践可以发现,还有许多薄弱环节,如“执行不到位、监督不得力、查处不从严、奖惩不分明、考核不到位”等现象,严重影响了党建工作的深入开展。
二、加强基层税务机关党建工作的思路对策
在当前新情况、新问题不断出现的情况下,税务机关必须进一步统一思想,深化认识,坚持“围绕税收抓党建,抓好党建促税收”为中心,把党建工作与税收工作紧密地结合起来,要把党建工作作为税务事业“强基固本”的重点工作来抓,从而带动和促进税收各项工作顺利进行。
1.加强思想政治工作。
1.1加强政治学习,更新观念理念
各基层税务机关,必须认真组织党员干部认真学习党和国家的路线、方针、政策,学习先进文化、先进管理理念,让学习成为机关干部的一种习惯,一种风气,形成制度并长期坚持,让终身学习的理念深入人心,努力创建学习型税务机关。要加强税务文化建设,充分运用税务文化的力量,以正确的世界观、人生观、价值观,打牢共同的思想基础,努力形成“宏扬正气、积极进取、凝聚人心、鼓励创造”的良好氛围。
1.2以人为本,激发潜力
开展思想政治工作必须坚持以人为本,切切实实维护好、实现好、发展好广大干部群众的根本利益。深入了解党员干部的实际情况,增加沟通、理解、鼓励、关爱,帮助他们解决思想上、工作上、学习上、生活上的存在问题和困难,努力营造“鼓励能人干事、支持人干成事”良好氛围,进一步激发党员干部的积极性、主动性、创造性,不断提高依法办税、依法治税的能力,让党员的先进性得到充分体现。
1.3加强宗旨教育,增强服务理念
坚持党建工作与税收工作相结合,把全心全意为人民服务的宗旨教育和优化纳税服务工作结合起来,不断增强服务理念,优化和改进服务方式,提升广大党员干部的纳税服务能力和水平。
2.加强党员干部队伍建设
2.1加强领导班子建设
要充分发挥基层党组织的堡垒作用,就必须要有一个政治坚定、业务精通、纪律严明、作风过硬、关心群众的高素质领导班子。其身正,不令而行。班子成员能否真正起到导向作用、示范作用和表率作用,能否做到“做的比说的好”,是决定一个单位党建工作是否卓有成效的决定因素,也是一个单位能否和谐团结的首要前提。
2.2加强党员队伍建设
为保持党员队伍的先进性,要把具有共产主义觉悟,坚决拥护和执行党的路线、方针、政策,把综合素质高、业务能力强、工作成绩突出的先进分子吸收到党的队伍中来,不断增强党员队伍的生机和活力,为税收事业持续发展提供坚强的组织保证。同时,面对税务系统干部队伍老化,知识更新缓慢,不能很好地适应现代税收事业迅速发展需要的现状,基层党组织要把干部队伍建设与素质教育、业务培训结合起来,完善干部培训管理机制,加大干部的培训力度,切实提高党员干部的综合素质和业务能力,促进党员干部自身的全面发展。
2.3加强党务干部队伍建设
党务干部是联结党组织与党员之间的桥梁和纽带,是开展党建工作的骨干力量。选配素质高、能力强、表现好的同志担任党务干部,同时注重对党务干部的教育、培训和管理,使之成为党性强、作风正、工作得力的党务骨干,做到观念上领先、工作上争先、作风上率先,真正发挥示范带动作用,不断开拓税务机关党建工作新局面。
3.完善制度建设,建立健全长效机制
3.1实行机关党建工作责任制
认真执行党组主要领导党建工作责任制和班子成员“一岗双责”责任制,党组书记是机关党建工作第一责任人,党组书记带头抓,分管领导重点抓,班子成员结合分工配合抓,机关党组织具体抓,一级抓一级,层层抓落实的机关党建工作责任机制。形成在党组统一领导下,上下联动、分工负责、密切配合、齐抓共管的党建工作格局。
3.2完善机关党建工作的制度建设
制度建设是党建工作的基础,基层税务机关党组织必须制定切实可行的工作制度,如党组学习制度、支部学习制度、“三会一课制度”、民主生活会制度、民主评议党员制度、发展党员工作制度、党务工作汇报制度、思想政治工作制度、监督约束制度、奖惩激励制度等,使党建工作做到有章可循。建立党建工作的考核评价机制,把党建工作目标管理责任制纳入本系统(本部门)的目标考核体系,坚持“科学规范、严密细致、客观公正、便于操作”的原则,明确措施和办法,促进党建工作目标的实现。要把学习、教育、管理、监督等工作纳入制度之中,合理确定每项工作具体的内容、规定、要求和目标,并在实践中长期坚持各项制度,实现基层党建工作的制度化、规范化和科学化。
3.3强化党风廉政责任制
基层党组织要把廉政建设摆在突出位置,落实《党风廉政建设责任承诺书》和《廉政准则》,大力加强廉政教育和职业道德教育,倡导构建和谐的家庭关系,引导干部职工珍惜家庭幸福、珍惜家庭荣誉,让干部学会计算机人生三本账,人生自由账,家庭幸福账,经济收入账,结合典型案例剖析,不断增强防范意识,筑牢拒腐防变的思想防线,以饱满的精神状态投入到税收工作中。
4.创新活动载体,增强党建工作的生机活力
活动是党建工作的活力所在和生命力所系。党建工作的理念是通过活动传播的,党建工作的信息是通过活动交流的,党建工作的要求是通过活动落实的,党建工作的魅力是通过活动展示的。着力改进党建的活动形式,丰富活动内容,使活动载体体现群众性,反映时代性,具有实效性,增强吸引力,真正达到吸引人、教育人、培养人的目的。各基层税务机关,要努力开展切合实际、内容丰富、形式多样、充满活力的活动,增强党建工作的生机活力。如开展创建文明机关、军民联建、联学共建、结对共建、扶贫济困等行之有效的活动;开展“优秀基层单位”、“征管标兵、稽查标兵、服务标兵”、“一个党员一面旗”、“党员税收服务窗口”等创先争优活动;结合税务文化建设,开展知识竞赛、读书征文、书画摄影、红歌演唱等活动;利用现代信息技术(如网站、电子邮箱、QQ群等),开展“教育、宣传、交流互动、意见反馈、群众监督”等电子党建活动。通过活动载体创新,不断丰富党建活动的形式与内涵,不断增强基层税务机关党建工作的生机和活力,进一步增强党组织的凝聚力、号召力、战斗力,推进基层税务机关党建工作,促进税收事业可持续发展。
点击咨询 