為強化資訊安全管理，以確保稅務資料、系統及設備之安全，提供可靠之資訊服務，特訂定本政策。

財政部91年6月24日台財資字第91895856號函頒『財政部暨所屬機關(構)資訊安全管理準則』。

所謂資訊安全係將管理程序及安全防護技術應用於各項資訊作業，包含作業執行時所使用之各項資訊系統軟、硬體設備、存放各種資訊及資料之檔案媒體及經由列表機所列印之各式報表，以確保資訊蒐集、處理、傳送、儲存及流通之安全。

四、資訊安全目標

(一)	確保稅務資料之機密性、隱密性及防止非法使用非法存取之事件，每年發生次數不得超過0次。
(二)	確保資訊資產之可用性、完整性及不可否認性 因資安事件導致服務停頓，每半年小於4次(含)以下，每次不得超過12小時。
(三)	確保資訊業務運作之有效性及持續性 每半年至少需執行1次「資訊業務持續運作計畫」之演練，並於2年內完成業務持續運作計畫內之所有演練。
(四)	確保職員對資訊安全有一定認知 每人每年至少應接受4小時以上的資訊安全教育訓練。 財政部惡意電子郵件社交工程演練本局開啟率及點閱率須低於16%及9%。
(五)	確保資安措施符合政策及法令要求 每半年至少稽核1次。若對下屬單位採抽驗方式稽核，應在2年內完成所有轄屬單位之稽核。

五、資訊安全範圍

(一)	資訊安全權責分工。
(二)	人員管理及資訊安全教育訓練。
(三)	電腦系統安全管理。
(四)	網路安全管理。
(五)	系統存取管制。
(六)	系統發展及維護安全管理。
(七)	資訊資產安全管理。
(八)	實體及環境安全管理。
(九)	業務永續運作計畫管理。
(十)	資訊安全稽核。
(十一)	資訊安全事件通報管理。

六、資訊安全組織

(一)	成立資通安全推動小組（以下簡稱資安推動小組），由副局長擔任召集人，小組成員由各單位指派人員兼任之，負責制定、定期評估本局資訊安全政策，並統籌資訊安全計畫、資源調度等事項之協調、研議。
(二)	資安推動小組下設工作分組(簡稱資安工作分組)及稽核分組(簡稱資安稽核分組)，資安工作分組辦理資安推動小組相關幕僚作業，由資訊科召集；資安稽核分組辦理資通訊安全內部稽核。

(一)	資訊安全政策、計畫、措施、技術規範之研議及安全技術之研究、建置、評估相關事項由資訊科負責辦理。
(二)	執行各項資訊作業時，應依『稅捐稽徵法』、『電腦處理個人資料保護法』及相關法令規定辦理，並遵守本局各項規範。
(三)	技術類資訊安全教育訓練，由資訊科負責辦理；業務類資訊安全教育訓練，由政風室會同有關單位辦理。
(四)	資料及資訊系統之安全需求研議、使用管理及保護等事項，由各業務單位負責辦理。
(五)	稽核相關作業由資訊科會同政風室辦理。
(六)	人員安全評估由政風單位負責辦理。
(七)	本局之資訊及網路系統因遭受破壞、不當使用所造成危安或重大災害事件，應依本局『資訊作業持續運作計畫』辦理，資安工作分組應在最短期間內訂定應採行應變措施，並將處理情形記錄備查。
(八)	本局人員違反資訊安全規定者，依『財政部稅務人員獎懲標準表』辦理。有『公務員懲戒法』第2條所定情事，應付懲戒者，依該法第19條規定辦理；有觸犯『刑法』之嫌疑者，應予移送司法機關調查；有涉及國家賠償事件者，應依『國家賠償法』等相關法律追究損害賠償責任。非本局人員違反資訊安全規定時，亦應依相關法律規定追究民刑事責任。

八、資訊資產分類、等級及評鑑原則

(一)	分類 依據各項作業內容特性，將資產分為電子化資訊資產、實體資產、軟體資產、服務、書面文件及人員6大類。
(二)	等級 依照各類資產所具有之機密性、完整性及可用性(或不可否認性)評估該資產反應出之價值。
(三)	評鑑 根據資產本身之脆弱性、威脅及衝擊，評鑑其風險等級。經分級與評鑑後，依其所具備之價值，施以適當程度之安全控管。

九、不可接受風險等級

執行風險評鑑後，將資產區分為不同風險等級，其中屬於「不可接受風險」之資產，應訂定『風險控制計畫』據以監督控管，並落實執行追蹤控制。

十、適用性聲明書

依據ISO27001:2005標準要求產出適用性聲明書，以書面方式列舉資訊資產是否適用其標準所列之控制措施，及其不適用之原因。當組織架構、人員、設備、實體環境等變動時，資安推動小組應重新定義控制措施之適用性。