税务计算机信息系统安全管理标准规定

国家税务总局相关印发《税务计算机信息系统安全管理要求》通知1999年7月20日国税发【1999】131号各省、自治区、直辖市和计划单列市国家税务局、地方税务局，扬州培训中心、长春税务学院：为加强全国税务机关计算机信息系统安全保护工作，确保税收电子化事业顺利发展，依据公安部、国家保密局相关要求，针对新形势下计算机应用特点，总局对1997年公布《税务系统计算机系统安全管理暂行要求》（国税发【1997】069号）进行了修订和完善，并更名为《税务计算机信息系统安全管理要求》。现印发给你们，请遵照实施。原国税发【1997】069号同时作废。国家保密局国保发【1998】1号、中央保密委员会、国家保密局中保发【1998】6号、中国公安部令第33号等文件随本文一并印发。税务计算机信息系统安全管理要求总则第一条依据《中国保守国家秘密法》和公安部、国家保密局相关要求及要求，为了愈加好地规范和管理税务系统计算机、网络设备和电子信息，使之安全运行，愈加好地发挥计算机、网络和信息资源作用，特制订《税务计算机信息系统安全管理要求》（以下简称《要求》）。第二条本《要求》适适用于全国地市级以上税务机关网络、计算机及隶属设备和电子数据管理。第三条税务系统计算机信息系统安全保护工作谁主管、谁负责，预防为主、综合治理、人员防范和技术防范相结合标准，逐层建立安全保护责任制，加强制度建设，逐步实现管理科学化、规范化。第四条任何组织或个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民正当利益活动，不得危害计算机信息系统安全。第五条各级税务机关计算机信息系统建设和计划应按国家保密局（国保发【1998】1号）文件要求，同时计划并落实对应保密方法。第六条包含国家秘密计算机信息系统建设，必需严格根据中共中央保密委员公办公室和国家保密局（中保办发【1998】6号）通知要求，报经省局以上保密部门审批后，方可投入使用。第七条违反要求并造成重大事故，将追究主管责任人和直接责任人责任，触犯法律将依法处理。计算机系统安全组织及职管理第八条国家税务总局保密委员会主管全国税务机关计算机信息系统安全管理工作。地方各级税务机关保密委员会应负责本机关和下属单位计算机信息系统安全管理工作。第九条计算机信息系统安全管理应实施领导负责制，由使用计算机信息系统单位主管领导负责本单位计算机系统安全工作，并指定相关机构和人员具体承接。第十条凡税务系统省、地、市（县）以上税务机关，其计算机使用具一定规模均应成立计算机信息系统安全小组；条件不够成熟，可指定计算机信息系统安全管理员具体负责。第十一条计算机信息系统安全管理机构由各级保密委员会办公室和计算机管理部门共同负责组建，并吸收含有专业技术水平和实践工作经验计算机技术人员参与，认真推行安全管理职责。第十二条计算机信息系统安全小组关键职责：全方面负责本单位计算机信息系统安全管理、监督检验和指导计算机安全方面工作。负责制订具体安全管理措施和规章制度，检验规章制度实施落实情况。面向系统内用户和所属单位通报计算机病毒情况，提供防治计算机病毒技术服务。负责向公安部门办理相关立案手续，帮助安全管理方面其它工作和查处事故。第三章机房人员管理第十三条各级税务机关计算机房是关键性经济基础信息处理场所，必需严格实施国家相关安全保密制度要求，预防关键经济信息泄露。第十四条各用机单位对可能接触到机要信息计算机管理人员，应定时进行保密教育。第十五条网络系统管理员等关键岗位，应选派责任心强，工作认真负责人员担任。第十六条机房内严禁未经许可非相关人员进。如需进入，必需由本单位相关统口令，以防机密信息泄露。第十七条严禁各岗位人员越权操作，对关键计算机信息处理系统应分级加设系统口令，以防机密信息泄露。第十八条涉密计算机、服务系统管理员口令其长度必需超出8位字符，每个月最少更换一次。第十九条包含密码文件须妥善保留，不得随意公布。第二十条对关键资料档案要妥善保管，以防丢失泄露。机房内废弃打印纸及磁介质等，应按国家相关要求进行销毁。第二十一条提升警惕，预防和打击窃取、泄露、私自修改计算机关键信息、破坏干忧计算机系统和网络正常运行违法犯罪行为。第二十二条严格遵守保密制度，确保税收数据、信息、资料正确、安全可靠。第二十三条调离人员必需移交全部技术资料和相关文档，删除自己文件、账号，由系统管理员修改相关口令。第四章计算机安全产品管理第二十四条对新购进计算机及其设备，须组织专业人员检测后，方可安装运行，预防因为质量引发总是和原始病毒侵害。第二十五条计算机及网络安全产品（防病毒软件防火墙、安全隔离产品、安全监控产品等）必需使用经过公安部、国家保密局等相关部门判定同意销售产品，并立即更新版本。不得使用国外同类产品。第二十六条不得传输、复制病毒和病毒程序，不得撰写这方面文章。第十七条加密产品关键机密应交本单位办公厅（室）机要部门或保密办公室保留，严禁随意存放，严禁交于企业管理。第二十八条网络加密物理产品，在有条件地方应安置监控设备。第五章网络安全管理第二十九条在网络建设设计中即应考虑安全检验技术方法，采取较成熟安全管理和监控技术、防治病毒技术。第三十条使用MODEM经电话线上Internet终端，在拨号上网时，必需中止和局域网和广域网联接，以预防内部数据外汇和遭受恶意攻击。第三十一条依据中保办发【1998】6号文第十六条要求：税务系统Internet建设，物理上应和当地局域网隔离。第三十二条广域网通讯服务器、拨号服务器、Internet服务器等和外界联接设备需设置防火墙、代理服务器、网关等防护方法，以预防外界恶意攻击。第三十三条涉密计算机严禁访问Internet。第三十四条涉密数据存放和传输应该根据国家保密局和公安部保密要求配有对应加密方法。第三十五条涉密数据在数据加密网络建立之前，严禁经过公网传输。第三十六条涉密数据加密网络建立之前，严禁经过公网传输。第三十六条涉密计算机设备维修应确保密级数据不被泄露。对报废计算机应将硬盘拆除后，由专员负责集中销毁。第六章数据、资料和信息安全管理第三十七条机房及使用计算机单位全部要设专员负责文字及磁介质资料安全管理工作。第三十八条建立资料管理登记簿，具体统计资料分类、名称、用途、借阅情况等，便于查找和使用。第三十九条技术资料应集中统一保管，严格借阅制度。第四十条应用系统和操作系统需用磁带、磁盘备份。对关键可变数据应定时清理、备份，并送指定地点存放。第四十一条存放税收业务应用系统及关键信息磁带磁盘严禁外借，确因工作需要，须报请相关领导同意。第四十二条对需要长久保留数据磁带、磁盘，应在质量确保期内（通常为十二个月）进行转储，以预防数据失效造成损失。第四十三条根据总局IP地址统一安排，设置本系统网络总体布局、局域网段和下属单位IP地址划分，各级税务机关需将本单位和下属单位网段分配报送上一级税务机关立案。第四十四条相关路由表、网络IP地址变更，应做好统计，同时需报上级主管部门立案。第七章机房环境、消防安全管理第四十五条计算机设备和机房应保持其工作环境整齐，保持其所必需湿度。第四十六条计算机房应列为单位要害和关键防火部位，根据要求配置足够数量消防器材，机房工作人员要熟悉机房消防器材存放位置及使用方法，并定时检验更换。第四十七条严禁在防火通道内堆放杂物，确保设备及工作人员安全。第四十八条机房及其周围严禁吸咽、焚烧任何物品。第四十九条严禁携带易燃易爆品进入机房，因工作需要使用易燃物品时，应严格实施操作规程，用后必需置于安全状态，妥善保管。第五十条机房用电量严禁超负荷运行，严禁使用时，应按要求操作，有专员看管，确保安全。第五十一条机房内使用电烙铁要严格控制，必需使用时，应按要求操作，有专员看管，确保安全。第五十二条定时对机房供电线路及照明器具进行检验，预防因线路老化短路造成火灾。第五十三条机房工作台人员要熟悉设备电源和照明用电和其它电气设备总开关位置，掌握切断电源方法