其次，我们还组织制定了税务系统信息安全评测项目技术方案和税务系统信息安全评测项目实施方案，编写了项目实施人员工作手册、税务信息系统风险评估培训教材、税务信息系统等级保护测评培训教材、税务信息系统安全检查培训教材以及一系列的调研表、检测表和文档规范，研发了一系列的检测、扫描和测试工具，为国家税务系统信息安全评测工作提供了有力的技术支持。

　　三、构建指标体系，形成网络安全风险感知能力

为了能全面评价税务系统网络安全风险状况，初步形成网络安全风险感知能力，在安全评测基础上，必须构建一个能从多层次多角度合理地反映信息安全风险的评价指标，才能得出科学公正的评估结果。为了全面、客观地评估信息系统安全风险，在构造和设置信息安全风险评估指标体系时，应充分考虑信息安全的复杂性和不确定性，并遵循如下原则：

(1)科学性原则

整个评价指标体系从指标的构成到其体系结构，从指标的测度内容到测度方法都必须客观、准确，必须科学地、全面地反映信息系统安全风险的本质特征。

(2)全面性原则

信息安全风险评价指标体系，应涵盖信息系统安全的生命周期和作用层面，从存取控制、机密性/完整性、应急计划、审计、人员、基础设施、信息系统、管理、技术、组织机构、合规性等多方面对信息系统的安全风险情况进行评价，并为组织信息安全管理提供指导。

(3)目的性原则

信息安全风险评价指标体系的构成应该与业务目标紧密相连，根据信息安全机密性、完整性和可用性的目标层层展开，所选择的指标必须能够反映出所能达到目标程度的信息，使最后的评价结果确实能反映组织信息安全的真实情况。

(4)可操作性原则

设计的指标必须意义明确，并且力求简明实用，一般应具有可测性和可量化特点，能及时搜集到准确的数据。对于一些难以测度或数据收集困难的无形的、间接的效益指标，也应尽可能设法寻找可替代指标，寻找调查搜集指标数据的途径，确定数据估算的统计方法。

(5)通用性和发展性相结合原则

构建的信息安全风险评价指标应能应用于不同的评估范围，即从单个的安全控制系统、网络到整个信息基础设施。同时，建立的风险指标具有发展性和灵活应用。

基于上述原则，我们初步构建了涵盖管理、技术和工程层面，包括信息安全意识水平、制度规范体系、人才队伍建设、安全防护能力、业务连续性管理、应急响应能力、信息系统生命周期安全管理等七个方面风险评价指标体系，结合国内外网络安全形势和外部威胁变化情况，动态调整各个指标的权重，从而使指标体系能真实反映税务系统网路安全面临的风险状况。在基础上我们有针对性的制定风险控制措施，平衡成本与效益，采取合适的安全控制措施，减少风险事件发生的概率和降低风险损失程度，使风险控制在可承受的适度的风险程度之内。

　　四、开展绩效考核，确保风险控制措施落实到位

信息安全风险控制并不是单一的技术控制机制，它是通过技术控制、管理控制、人员控制和文化控制四种控制机制，相互制约、相互作用、相互影响，来保证组织信息及信息系统的机密性、完整性和可用性安全目标的达成。

今年税务总局开始全面实施绩效管理，以绩效为导向，以提升站位、增强税务公信力和执行力为目标，创新驱动，风险防控，持续推进税收事业跨越发展。为了确保各项网络安全风险控制措施能有效落实到位，我们将网络安全保障工作纳入了全局绩效考核范畴。网络安全绩效考核指标，是根据网络安全测评中发现的高风险指标，结合当前网络安全保障工作需要选定的，占全局绩效考核总分的1.5%。为了能使考核工作更加有针对性的确保各项网络安全风险控制措施的落实，结合下一年度的网络安全保障工作要点和年度网络安全风险态势，我们在年末发布下一年度的网络安全保障工作考核要点和考核指标体系，规范网络安全保障绩效考核工作。

网络安全风险管理作为税务系统网络安全保障工作的主线，通过创新网络安全测评方法、构建网络安全风险指标体系、开展网络安全绩效考核，初步形成了税务系统网络安全风险管理框架，有效保障了税务信息系统安全稳定运行。

(责任编辑：安博涛)