進入內容區塊

澎湖縣政府稅務局logo

logo底圖
Slide Left Slide Right 圖片載入中
稅務局(另開視窗) 陰影
資訊安全政策
分隔線
1.目的
澎湖縣政府稅務局(以下簡稱本局)為確保本局電腦使用安全、強化地方稅服務平台資訊安全管理、維護稅務資料機密性、完整性、可用性及各項資訊系統、設備、網路通訊安全,導入符合國際標準之資訊安全管理制度,建立全方位資訊安全防護措施,提供本局資訊業務持續運作之資訊環境,以符合相關法規及內、外部關注方之資訊安全期望與要求,特訂定資訊安全政策(以下簡稱本政策)以資遵循。
2. 依據
2.1.個人資料保護法。
2.2. ISO/IEC 27001:2013 (Information technology — Security techniques — Information security management systems — Requirements)。
2.3. ISO/IEC 27002:2013 (Information technology — Security techniques — Code of practice for information security management) 。
2.4. 行政院及所屬各機關資訊安全管理要點。
2.5. 行政院及所屬各機關資訊安全管理規範。
2.6. 財政部暨所屬機關(構)資訊安全管理準則。
3. 資訊安全願景、目標、範圍
3.1. 願景
面對資訊科技日新月異、稅務工作與時俱進,除充分運用資訊科技,強化網路服務功能,以達到超越時空限制的服務,展現電子化政府之效能外;為確保資訊作業環境的安全,本局建立完善的資訊安全管理制度,並透過嚴密稽核落實制度執行,讓本局在完整、方便、安全的資訊作業環境下提供納稅義務人稅務相關服務。
3.2. 目標
3.2.1. 興利面:健全課稅資料,提昇便民績效。
3.2.2. 防弊面:維護優質風紀,強化風險控管。
3.2.3. 保密面:確保資料機密,避免不當使用。
3.2.4. 經營面:邁向永續經營,減少安全事故。
3.2.5. 執行面:事先完善規劃,事後嚴密稽核。
3.2.6. 遵循面:強化法律宣導,杜絕違法犯紀。
3.3. 範圍
本政策適用於本局所有資訊相關業務,包括全體員工、委外廠商、接觸本局業務資料之外機關人員、訪客等,及所有相關資訊資產管理。
4. 資訊安全管理原則及員工應遵守之規定
4.1. 管理原則
4.1.1.依國際標準(ISO/IEC 27001:2013)建立、管理、實作與運作、監視與審查、維持與改進「資訊安全管理系統(ISMS)」,並符合「政府機關(構)資通安全責任等級分級作業規定」B級單位之要求,及通過國際驗證。
4.1.2. 成立跨單位之「資訊安全管理委員會」,負責制定本局資訊安全政策,並統籌資訊安全計畫、資源調度等事項之協調、研議。
4.1.3. 明定相關人員在資訊安全作業應扮演之角色,以作為各單位權責分工之依據。
4.1.4.加強宣導資訊安全及政策宣導,培訓資訊安全專業人才,有效提昇同仁資訊安全意識及資訊安全防護能力。
4.1.5. 定期實施資產清查,並運用系統化的風險評鑑方法,評估風險及施以適當控制措施。
4.1.6. 建立安全可信賴之稅務資訊化環境,確保系統作業及網路傳輸之安全、正確、可用及效能。
4.1.7. 明定各項系統及網路服務之使用權限,建立安全控管及防護機制,並防止未經授權的系統存取,避免資訊設施遭誤用或人為破壞,並防止業務目的以外或超出授權範圍之使用。
4.1.8. 有效防範惡意攻擊、電腦病毒或傳送等不當行為危害系統安全之情況發生,健全發展應用系統。
4.1.9. 尊重智慧財產權,使用合法之授權軟體,禁止使用或下載未經授權或與業務無關之軟體。
4.1.10. 建立備援、緊急應變處理及通報機制,定期實施測試演練,以確保業務永續運作。
4.1.11. 強化委外安全管理,訂定保密協議,落實監督檢查及人員安全管理。
4.1.12. 建立資訊稽核制度,加強資訊業務作業管制,落實資安制度執行。。
4.1.13. 透過不斷改善的過程,亦即PDCA(計畫、執行、稽核、改善)精神,確保資訊安全管理制度實施之有效性。
4.2. 作業人員應遵守之事項
4.2.1. 本政策應公告於本局網站,提供本局員工及與接觸本局業務之公私機關(構)、本局相關資訊服務之廠商共同遵行。
4.2.2. 為確保資訊環境安全,與本局連線作業之相關單位應遵循本局訂定之資訊安全及保密責任等相關規範。
4.2.3. 本局全體員工與提供資訊服務之廠商應簽署保密切結書並確實遵守資訊安全相關規定,如有違反應依相關規定處理。
4.2.4. 本局同仁於日常作業中應確實遵守「稅捐稽徵法」、「納稅者權利保護法」、「個人資料保護法」、「國家機密保護法」、「檔案法」及其他資訊安全相關之法令。
4.2.5. 本局人員違反資訊安全規定者,依「澎湖縣政府及所屬各機關公務人員獎懲案件處理要點」、「澎湖縣政府及所屬各機關學校公務人員平時獎懲標準表」辦理。有公務員懲戒法第2條所定情事,應付懲戒者,依該法第19條規定辦理;有觸犯刑法之嫌疑者,應予移送司法機關調查;有涉及國家賠償事件者,應依國家賠償法等相關法律追究損害賠償責任。非本局人員違反資訊安全規定時,亦應依相關法律規定追究民、刑事責任。
5. 資訊安全事件之處理
依行政院國家資通安全會報頒訂之「國家資通安全通報應變作業綱要」,制訂本局資通安全事件管理作業程序書,並於資安事件發生時依循辦理。
6. 政策之評估及檢討
6.1 本局資訊安全政策,每年至少評估一次,以反應政府資訊安全政策、法令、技術及機關業務之最新狀況,確保資訊安全實務作業之可行性及有效性。
6.2 本政策經資訊安全管理委員會審查後,陳請局長簽核後頒布實施,修正時亦同。
瀏覽人次:335 人
更新日期:2017-08-09