根据《国家税务总局安徽省税务局办公室关于开展网络安全风险排查 加强数据安全保障工作的通知》(皖税办发〔2020〕26号)要求,现将网络和数据安全风险自查整改情况报告如下:
成立了由市税务局分管领导牵头,由网信办、办公室、货物和劳务税科、所得税科、财产和行为税科、社会保险费和非税收入科、纳税服务科、征收管理科、税收风险管理局、考核考评科、信息中心等部门工作人员组成的网络安全风险排查工作专班。及时召开网络安全风险排查推进会,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,明确网络和数据自查范围, 制定自查工作方案,提出自查工作要求, 迅速将工作任务和要求分解落实到具体的责任单位和责任人。
围绕关键信息基础设施、重要应用系统和数据安全等重点对象,采取自查和问题整改相结合的方式,梳理排查全市网络安全工作组织领导情况、工作开展情况、安全责任制落实情况、等级制度落实情况,以及数据、信息的采集、储存、传输、应用等全生命周期的安全等。重点检查制度落实、人员管理、数据、数据共享、权限管理、“弱口令”整改等工作完成情况。
一是全面梳理应用系统。对县区自行开发和购买的不动产登记一窗受理服务项目税务数据接口系统,按照省局应用系统“三同步”和等级的要求,积极开展应用系统安全定级、备案工作,并和系统应用部门签订了应用系统运行责任书。
二是加强人员安全管理。与外部服务公司补充签订了保密协议,与服务人员签订保密承诺书。与系统内近2000名税务干部签订网络安全和保密承诺书,强化在职人员的网络安全和保密意识。
三是加强网安全管理。在所有互联网出入口部署防火墙和上网行为管理设备,实现互联网实名访问;在内外网边界安装防火墙做好边界隔离,并安装日志服务器,采集全市税务系统网络和安全设备的日志,确保日志记录保持六个月以上。
一是协助征管科开展全市金税三期系统账户清理和权限检查工作,停用或调整离退休人员、岗位变动人员的账户角色权限,按照最小化授权原则对每个账户的权限进行严格的审批和配置,确保人员与账户一一对应。二是协助所得税科与使用自然人税收管理系统(ITS)的税务干部签订保密责任书近1000份。保密责任书明确说明的对象和范围,承诺不得将职责和权限范围内接触的个人信息用于非工作用途、不得泄露个人信息数据等。同时,要求各单位系统管理员在未收到保密责任书前,一律不得增加使用权限,并对前期已经增加权限但未签订保密责任书的进行清理。
对照省税务局下发的核心征管、2.0、数字人事、运维平台、综合办公等常用应用系统“弱口令”统计表,逐单位逐人落实整改。通过近两周整改,全市完成弱口令整改650条。其中:核心征管 53条; 101条;数字人事23条;运维平台389条;综合办公84条。
一是内外网混用管理。制定了《六安市税务系统计算机类设备安全使用管理办法》(六税函〔2018〕58号),进一步明确计算机终梦见找不到回家的路端规范使用和违规外联处罚内容。目前,全市税务系统未发生计算机终端违规外联情况。
二是终端安全管理。全市税务系统内网终端360天擎注册率和防病毒软件安装率均达到省局要求。截止目前,全市税务系统内网终端应注册1819台,已注册1819台,注册率达100%;防病毒软件终端覆盖率达到100%,且病毒库均能及时更新。
(一)进一步加强应用系统安全管理。按照省局要求,认真梳理重要信息系统,制定信息安全测评、等级定级和安全加固工作措施。
(重点包括:单位网络安全领导机构或网络安全等级工作领导机构成立情况;单位网络安全或网络安全等级工作的职责部门和具体职能情况;单位网络安全等级工作部署情况等。)
(重点包括:单位网络安全等级工作年度考核情况;单位组织开展网络安全自查情况;单位网络安全工作经费是否纳入年度预算?单位网络安全工作的经费约占单位信息化建设经费的百分比情况等。)
(重点包括:是否建立了单位网络安全责任追究制度?是否依据责任追究制度对单位发生的网络安全事件(事故)进行追责等情况。)
(重点包括:单位信息系统是否全部定级备案?单位系统调整是否及时进行备案变更?单位新建信息系统是否落实定级备案等工作。)
(重点包括:单位信息系统安全检测和整改经费落实情况;单位信息系统恶意代码扫描、渗透性测试、等级测评和风险评估的安全检测情况;信息系统安全建设整改方案制定和实施情况;单位网络安全状况的了解掌握等情况。)
(重点包括:单位信息系统建设和网络安全“同步规划、同步建设、同步运行”措施的落实情况;单位网络安全责任按照“全岗责、全流程、全覆盖”落实情况;单位人员管理,信息系统机房管理、设备管理、介质管理、网络安全建设管理、运维管理、服务外包等管理制度的建设情况;管理制度的监督保障和运行情况等。)
(重点包括:单位数据中心建设情况;单位重要数据存储和安全情况;单位重要数据备份恢复情况,单位重要数据存储和应用是否由社会第三方提供?提供服务单位的具体情况等)
(重点包括:单位开展日常网络安全监测情况;单位网络安全监测技术手段建设情况;单位网络安全预警工作情况等。)
(重点包括:是否制定了单位网络安全预案?单位网络安全预案是否进行了演练?是否根据演练情况对预案进行了修改完善等情况。)
制定有网络安全应急响应预案,去年开展了应急演练并进行了完善,本年度下半年准备开展网络安全应急演练。
(重点包括:是否明确了单位网络安全事件(事故)发现、报告和处置流程?年内是否发生重大网络安全事件(事故)?是否与相关部门建立了网络安全应急处置机制等情况。)
(重点包括:单位操作系统、服务器、数据库、交换机等核心信息技术产品的国产化比率情况;单位网络安全设备的国产化比率情况;单位信息技术产品国产化替换工作计划情况;单位新建信息系统是否采用国产化设备;单位信息安全服务情况等。)
(重点包括:单位组织开展网络安全宣传教育情况;单位组织开展网络安全岗位培训和网络安全员培训等情况。)