財政資訊中心暨各地區國稅局資通安全政策(V2.5)
1. 依據
1.1『資通安全管理法』及其子法
1.2 財政部頒定之『財政部及所屬機關構資通安全政策及組織管理規範』
1.3 ISO27001暨CNS27001標準
2. 基本精神
資通安全政策為「資通安全人人有責」,同仁應熟悉並遵循資通安全法規及『財政部及所屬機關 (構)資訊安全基本認知』,落實資通訊設備及系統之安全防護,以確保機關資通安全。
3. 目的
3.1 為確保財政資訊中心(含支援服務室 )暨各地區國稅局(以下簡稱各機關)之資通訊作業正常且安全穩定的運作,特制定本政策為資通安全管理制度最高指導方針,以提供可信賴之資通服務,並確保資訊之機密性、完整性、可用性,以及符合『資通安全管理法』、『稅捐稽徵法』、『統一發票使用辦法』、『地方稅法通則』、『國家機密保護法』、『個人資料保護法』等相關法令要求。。
3.2 有效維持各機關持續運作,降低資通訊作業相關風險,以期協助達到「落實顧客導向服務、創造優質生活」與「優化資源配置、提升稅政效能」之目標。
4. 範圍
4.1 資通安全管理制度實施範圍為各機關資通訊作業。
4.2 本政策適用於各機關同仁(含正式、約聘僱人員、技工、工友、臨時人員、工讀生)、接觸各機關業務之相關機關(構)與廠商、對各機關提供服務之廠商及第三方人員。
5. 權責
5.1 資通安全管理審查聯席會報
各機關資通安全管理階層最高決策組織,執行共通資通安全相關事務之管理審查工作
5.2 資通安全聯合執行小組
執行共通之資產風險評鑑與風險管理、資通安全管理制度相關文件制度修訂與管制及資通訊作業營運持續管理等工作。
5.3 資通安全聯合稽核小組
執行共通之資通安全稽核工作。
5.4 本政策適用人員
配合資通安全管理制度活動及遵守相關規範。
6. 定義
6.1 資通安全(cyber security)
指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
6.2 資產(asset)
對組織有價值的任何事物,如資訊、人員、軟體、硬體、服務及建築與保護設施等皆屬之。
6.3 資通安全管理制度
即「資訊安全管理制度」或「資訊安全管理系統」 (Information Security Management System簡稱ISMS)。
7. 作業規範
7.1 原則
7.1.1 應考量相關法律規章及營運要求,進行資產風險評估,確認資通訊作業安全需求,建立標準作業程序,並採取適當資通安全控制措施,以確保資產安全。
7.1.2 為利推行資通安全工作,應建立資通安全組織並訂定其分工權責。
7.1.3 以人員角色及職能為基礎,建立評估或考核制度,並視實際需要辦理資通安全教育訓練及宣導活動。
7.1.4 資產存取權限之賦予,應依據業務需求並考量最小權限、權責區隔及獨立性審查。
7.1.5 建立資通安全事故管理程序,以確保事故妥善回應、控制與處理。
7.1.6 訂定營運持續計畫並定期演練,以確保資通訊作業持續運作。
7.1.7 依據『個人資料保護法』與智慧財產權等相關法令規定,審慎處理及保護個人資料與智慧財產權。
7.1.8 定期執行資通安全稽核作業,檢視資通安全管理制度之落實度。
7.1.9 各機關同仁如違反本政策與資通安全相關規範,應依財政部稅務人員獎懲要點或相關法規辦理。其他人員違反資通安全規定時,亦應依相關法律規定追究民刑事責任。
7.2 目標
7.2.1 維持各機關資通訊作業持續運作,以提供跨稅目、跨機關、跨年度之整合服務。
7.2.2 保護各機關資通訊作業維運管理相關資產,防止人為意圖不當或不法使用,遏止駭客、病毒等入侵及破壞之行為。
7.2.3 建立各機關資通安全管理流程與相關標準作業程序,避免人為作業疏失及意外,加強同仁資通安全意識,以協助達成稽徵業務與服務可運作於安全、整合的資源共享平台之目標。
7.3 審查
7.3.1 本政策每年至少評估1次,或於組織有重大變更時(如組織調整、重大系統異動等)重新評估,以符合相關法令、技術及各機關營運業務等最新發展現況,並予以適當修訂。
7.3.2 本政策經資通安全管理審查聯席會報核准,於公告日施行,並以書面、電子或其他方式通知本政策適用人員,修正時亦同。