1.依據
1.1 行政院頒定之『行政院及所屬各機關資訊安全管理要點』
1.2 行政院頒定之『行政院及所屬各機關資訊安全管理規範』
1.3 財政部頒定之『財政部暨所屬機關(構)資訊安全管理準則』
1.4 ISO27001暨CNS27001標準
2.目的
2.1 為確保財稅資料中心暨各地區國稅局(以下簡稱各機關)之資訊作業正常且安全穩定的運作,特制定本政策為資訊安全管理制度最高指導方針,以提供可信賴之資訊 服務,並確保資訊之機密性、完整性、可用性,以及符合『稅捐稽徵法』、『國家機密保護法』、『個人資料保護法』等相關法令要求。
2.2 有效維持各機關持續運作,降低資訊作業相關風險,以期協助達到「落實顧客導向服務、創造優質生活」與「優化資源配置、提升稅政效能」之目標。
3.範圍
3.1 資訊安全管理制度實施範圍為各機關資訊作業。
3.2 本政策適用於各機關同仁(含正式、約聘僱人員、技工、工友、工讀生)、接觸各機關業務之相關機關(構)與廠商、對各機關提供服務之廠商及第三方人員。
4.權責
4.1資訊安全管理審查聯席會報
各機關資訊安全管理階層最高決策組織,執行共通資訊安全相關事務之管理審查工作。
4.2資訊安全聯合執行小組
執行共通之資產風險評鑑與風險管理、資訊安全管理制度相關文件制度修訂與管制,執行共通之資訊作業營運持續管理等工作。
4.3資訊安全聯合稽核小組
執行共通之資訊安全稽核工作。
4.4本政策適用人員
配合資訊安全管理制度活動及遵守相關規範。
5.定義
5.1資訊安全(information security)
確保資訊之機密性、完整性及可用性,此外亦包含鑑別性、可歸責性、不可否認性及可靠度等性質,以保障民眾各項權益,並提升民眾對資訊服務之信心。
5.2資產(asset)
對組織有價值的任何事物,如資訊、人員、軟體、硬體、服務及建築與保護設施等皆屬之。
6.作業規範
6.1原則
6.1.1應考量相關法律規章及營運要求,進行資產風險評估,確認資訊作業安全需求,建立標準作業程序,並採取適當資訊安全控制措施,以確保資產安全。
6.1.2為利推行資訊安全工作,應建立資訊安全組織並訂定其分工權責。
6.1.3以人員角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資訊安全教育訓練及宣導活動。
6.1.4資產存取權限之賦予,應依據業務需求並考量最小權限、權責區隔及獨立性審查。
6.1.5建立資訊安全事故管理程序,以確保事故妥善回應、控制與處理。
6.1.6訂定營運持續計畫並定期演練,以確保資訊作業持續運作。
6.1.7依據『個人資料保護法』與智慧財產權等相關法令規定,審慎處理及保護個人資料與智慧財產權。
6.1.8定期執行資訊安全稽核作業,檢視資訊安全管理制度之落實度。
6.1.9各機關同仁如違反本政策與資訊安全相關規範,應依財政部稅務人員獎懲標準表或相關法規辦理。其他人員違反資訊安全規定時,亦應依相關法律規定追究民刑事責任。
6.2目標
6.2.1維持各機關資訊作業持續運作,以提供跨稅目、跨機關、跨年度之整合服務。
6.2.2保護各機關資訊作業維運管理相關資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為。
6.2.3建立各機關資訊安全管理流程與相關標準作業程序,避免人為作業疏失及意外,加強同仁資訊安全意識,以協助達成稽徵業務與服務可運作於安全、整合的資源共享平台之目標。
6.3審查
6.3.1本政策每年至少評估1次,以符合相關法令、技術及各機關營運業務等最新發展現況,並予以適當修訂。
6.3.2本政策經資訊安全管理審查聯席會報核准,於公告日施行,並以書面、電子或其他方式通知本政策適用人員,修正時亦同。