| 「財政部臺灣省南區國稅局全球資訊網」資訊安全政策 |
| |
資訊安全政策 [PDF檔] [WORD檔] |
| 修訂日期:98年3月4日 |
一、目的
為強化資訊安全管理,以確保稅務資料、系統及設備之安全,提供可靠之資訊服務,特訂定本政策。 |
| |
二、依據
財政部91年6月24日台財資字第91895856號函頒『財政部暨所屬機關(構)資訊安全管理準則』。
|
| |
三、資訊安全定義
所謂資訊安全係將管理程序及安全防護技術應用於各項資訊作業,包含作業執行時所使用之各項資訊系統軟、硬體設備、存放各種資訊及資料之檔案媒體及經由列表機所列印之各式報表,以確保資訊蒐集、處理、傳送、儲存及流通之安全。
|
| |
四、資訊安全目標
| (一) |
確保稅務資料之機密性、隱密性及防止非法使用非法存取之事件,每年發生次數不得超過0次。 |
| (二) |
確保資訊資產之可用性、完整性及不可否認性
因資安事件導致服務停頓,每半年小於4次(含)以下,每次不得超過12小時。 |
| (三) |
確保資訊業務運作之有效性及持續性
每半年至少需執行1次「資訊業務持續運作計畫」之演練,並於2年內完成業務持續運作計畫內之所有演練。 |
| (四) |
確保職員對資訊安全有一定認知
- 每人每年至少應接受4小時以上的資訊安全教育訓練。
- 財政部惡意電子郵件社交工程演練本局開啟率及點閱率須低於16%及9%。
|
| (五) |
確保資安措施符合政策及法令要求
每半年至少稽核1次。若對下屬單位採抽驗方式稽核,應在2年內完成所有轄屬單位之稽核。 |
|
| |
五、資訊安全範圍
(一) |
資訊安全權責分工。 |
(二) |
人員管理及資訊安全教育訓練。 |
(三) |
電腦系統安全管理。 |
(四) |
網路安全管理。 |
(五) |
系統存取管制。 |
(六) |
系統發展及維護安全管理。 |
(七) |
資訊資產安全管理。 |
(八) |
實體及環境安全管理。 |
(九) |
業務永續運作計畫管理。 |
(十) |
資訊安全稽核。 |
(十一) |
資訊安全事件通報管理。 |
|
| |
六、資訊安全組織
(一) |
成立資通安全推動小組(以下簡稱資安推動小組),由副局長擔任召集人,小組成員由各單位指派人員兼任之,負責制定、定期評估本局資訊安全政策,並統籌資訊安全計畫、資源調度等事項之協調、研議。 |
(二) |
資安推動小組下設工作分組(簡稱資安工作分組)及稽核分組(簡稱資安稽核分組),資安工作分組辦理資安推動小組相關幕僚作業,由資訊科召集;資安稽核分組辦理資通訊安全內部稽核。 |
|
| |
七、資訊安全分工原則
| (一) |
資訊安全政策、計畫、措施、技術規範之研議及安全技術之研究、建置、評估相關事項由資訊科負責辦理。 |
(二) |
執行各項資訊作業時,應依『稅捐稽徵法』、『電腦處理個人資料保護法』及相關法令規定辦理,並遵守本局各項規範。 |
(三) |
技術類資訊安全教育訓練,由資訊科負責辦理;業務類資訊安全教育訓練,由政風室會同有關單位辦理。 |
(四) |
資料及資訊系統之安全需求研議、使用管理及保護等事項,由各業務單位負責辦理。 |
(五) |
稽核相關作業由資訊科會同政風室辦理。 |
(六) |
人員安全評估由政風單位負責辦理。 |
(七) |
本局之資訊及網路系統因遭受破壞、不當使用所造成危安或重大災害事件,應依本局『資訊作業持續運作計畫』辦理,資安工作分組應在最短期間內訂定應採行應變措施,並將處理情形記錄備查。 |
(八) |
本局人員違反資訊安全規定者,依『財政部稅務人員獎懲標準表』辦理。有『公務員懲戒法』第2條所定情事,應付懲戒者,依該法第19條規定辦理;有觸犯『刑法』之嫌疑者,應予移送司法機關調查;有涉及國家賠償事件者,應依『國家賠償法』等相關法律追究損害賠償責任。非本局人員違反資訊安全規定時,亦應依相關法律規定追究民刑事責任。 |
|
| |
八、資訊資產分類、等級及評鑑原則
(一) |
分類
依據各項作業內容特性,將資產分為電子化資訊資產、實體資產、軟體資產、服務、書面文件及人員6大類。 |
| (二) |
等級
依照各類資產所具有之機密性、完整性及可用性(或不可否認性)評估該資產反應出之價值。 |
| (三) |
評鑑
根據資產本身之脆弱性、威脅及衝擊,評鑑其風險等級。經分級與評鑑後,依其所具備之價值,施以適當程度之安全控管。 |
|
| |
九、不可接受風險等級
執行風險評鑑後,將資產區分為不同風險等級,其中屬於「不可接受風險」之資產,應訂定『風險控制計畫』據以監督控管,並落實執行追蹤控制。
|
| |
十、適用性聲明書
依據ISO27001:2005標準要求產出適用性聲明書,以書面方式列舉資訊資產是否適用其標準所列之控制措施,及其不適用之原因。當組織架構、人員、設備、實體環境等變動時,資安推動小組應重新定義控制措施之適用性。
|
| |
| |