信息安全相关风险点

1、信息安全管理 信息安全存在的软硬环境1物理环境1.2网路把无线接入点连接到工作环境中（例如3G上网卡，手机wifi）在办公场所私自安装使用调制解调器、无线网络接收/发射装置、上网手机以及其 他可能威胁网络系统安全的设备2软环境2.1网络访问通过拔插网络插头，工作计算机在内网和外网之间来回换用：虽然内外网在“时差” 上是“物理隔离”的，但计算机上只该在内网上运行的应用软件和业务数据并没有 与外网“隔离”2.2移动介质将外部移动存储介质直接接入内网计算机：税务基层单位，尤其是征收大厅、管理 所直接接收纳税人移动存储介质报送资料将内网专用的移动存储介质直接接入外网计算机2.3密码管理工作计算机没有设

2、置开机和屏保密码密码复杂度不够密码长时间不更换将密码告知他人2.4数据数据查询：须加强数据查询规范，严格按照惠州市地方税务局电子数据查询管理 办法（试行）的通知，相关查询统计的需求人员都需填写电子数据查询需求登记 表，确保数据的安全性。数据保存：将重要数据存放在一台计算机或一个存储介质中数据后续管理：对导出至工作计算机的涉税数据在使用和存储上没有后续跟踪和管 理：任何涉税数据，甚至是涉密数据，一旦保存至个人电脑上，即可以通过e-mail、 移动存储介质和打印等方式进行传播。其中，打印涉密的隐蔽性较大，不易被监察， 破坏力非常巨大。2.5防病毒工作计算机没用安装正版的防病毒软件一一趋势科技防毒墙

3、网络版防病毒软件未开启对于下载和拷贝的文件没有进行杀毒2.6操作系统的安全设置未开启操作系统自带的个人防火墙没有及时更新操作系统补丁2.7不良的上网习惯使用工作计算机访问与工作无关的网站随意下载或安装来路不明的软件随意点击来路不明的电子邮件附件或网络链接3人员组织3.1工作人员工作人员的安全意识和技能教育都比较薄弱系统管理员与安全审计人员为同一人信息录入人员与审批人员为同一人合法用户的威胁：拥有合法授权的工作人员滥用授权、错误操作、操作行为抵赖等3.2第三方人员网络边界的访问控制问题第三方人员对信息系统进行维护时，系统所承载的数据安全管理问题第三方人员对信息系统进行维护时，缺乏对访问过程的全程

4、的统一监控，目前的监 控手段处于分散、割裂，甚至缺位的状态4系统开发与维护系统立项前缺乏风险预估分析系统日志保存问题：各系统日志记录缺乏一致的时间标记数据冗余备份问题权限设置问题：“大集中”系统：风险权限设置问题。对照省局广东省地方税务局“大集中” 系统权限管理暂行办法，我市部分县区存在“批量调整定额或定率.”、“调整 申报期限、“审核非止常登记”、“录入其他应征数据”、“变更单项税种登 记、登记应缴税种”等5个风险权限设置范围过大等问题，需进步清查处理。自建系统：如车船税系统，部分县区局系统管理员权限设置范围过大。相关要 求：严格贯彻执行一个县区局设置两个管理员角色（AB角）的要求，并定期 梳理车船税收管理系统的权限分配情况，做到以岗赋权、权责对应。特别要加 强对风险角色权限赋权的审批，认真落实有关审批手续，杜绝随意授权行为， 从源头上防范和化解风险。系统的维护：日常系统运维需严格按照专人专机责任制。此外，由于系统在使用过 程中时常遇到问题，需要第三方人员的技术