「財政部臺灣省南區國稅局」資訊安全政策

壹、依據

　　財政部九十一年六月二十四日台財資字第九一八九五八五六號函頒「財政部暨所屬機關（構）資訊安全管理準則」。

貳、資訊安全定義

　　所謂資訊安全係將管理程序及安全防護技術應用於各項資訊作業，包含作業執行時所使用之各項資訊系統軟、硬體設備、存放各種資訊及資料之檔案媒體及經由列表機所列印之各式報表，以確保資訊蒐集、處理、傳送、儲存及流通之安全。

參、資訊安全目標

1. 確保稅務資料之機密性、隱密性及防止非法使用。
2. 確保資訊系統及設備之可用性及安全性。
3. 確保資訊業務運作之有效性及持續性。

肆、資訊安全範圍

1. 資訊安全權責分工。
2. 人員管理及資訊安全教育訓練。
3. 電腦系統安全管理。
4. 網路安全管理。
5. 系統存取管制。
6. 系統發展及維護安全管理。
7. 資訊資產安全管理。
8. 實體及環境安全管理。
9. 業務永續運作計畫管理。
10. 資訊安全稽核。

伍、資訊安全組織

　　成立「資訊安全推行小組」（ISMS），由副局長擔任召集人，小組成員由服務科、資訊科、政風室、人事室、臺南市分局及新化稽徵所等單位主管兼任之，負責制定、定期評估本局資訊安全政策，並統籌資訊安全計畫、資源調度等事項之協調、研議。

陸、資訊安全分工原則

1. 資訊安全政策、計畫、措施、技術規範之研議，以及安全技術之研究、建置、評估相關事項由資訊科負責辦理。
2. 技術類資訊安全教育訓練，由資訊科負責辦理；業務類資訊安全教育訓練，由政風室會同有關單位辦理。
3. 資料及資訊系統之安全需求研議、使用管理及保護等事項，由各業務單位負責辦理。
4. 稽核使用管理事項由服務科會同政風室辦理。
5. 人員進用安全評估由人事單位負責辦理。

柒、資訊安全分級原則

　　電子訊息、檔案資料、磁性媒體及光碟片之資訊安全分類標準區分為機密性（例如稅捐稽徵法第三十三條規定之稅務資料）、敏感性（如「電腦處理個人資料保護法」中所定義之個人資料）及一般性等三類。電腦報表，依行政院「文書處理手冊」捌、文書保密之規定辦理。

捌、資訊作業安全規定

　　執行各項資訊作業時，應依「電腦處理個人資料保護法」及相關法令規定辦理，並遵守本局「資訊業務內部作業規定彙編」各項規範。

玖、發生資訊安全事件之通報程序及處理流程

1. 本局之資訊及網路系統因遭受破壞、不當使用所造成危安或重大災害事件，應依本局「資通安全緊急應變計畫暨作業處理程序」辦理，「資通安全處理小組」應在最短期間內訂定應採行應變措施，並將處理情形記錄備查。
2. 如發現有本局員工涉及資通安全事件時，應儘速通報政風室。

壹拾、本政策奉核定後實施，修正時亦同。