資通安全政策
分隔線
中央內容區塊
1.目的
澎湖縣政府稅務局(以下簡稱本局)為建構本局資通安全環境,以確保本局電腦使用安全、強化地方稅服務平台資通安全管理、維護稅務資料機密性、完整性、可用性及各項資通訊系統、設備、網路通訊安全,維護社會公共利益,依資通安全管理法規定導入符合國家或國際標準之資通安全管理制度,建立全方位資通安全防護措施,提供本局資通業務持續運作之安全作業環境,以符合相關法規及內、外部關注方之資通安全期望與要求,特訂定本局資通安全政策(以下簡稱本政策)以資遵循。
2. 依據
2.1.資通安全管理法及子法規定。2.2.個人資料保護法。
2.3.CNS 27001:103年版「資訊技術-安全技術-資訊安全管理系統-要求事項」國家標準
2.4.CNS 27001:103年版「資訊技術-安全技術-資訊安全控制措施之作業規範」國家標準
2.5.ISO/IEC 27001:2013 「Information technology — Security techniques — Information security management systems — Requirements」。
2.6.ISO/IEC 27002:2013「Information technology — Security techniques — Code of practice for information security management」 。
2.7.財政部暨所屬機關(構)資訊安全管理準則。
3. 資通安全願景、目標、範圍
3.1.願景面對資通科技日新月異、稅務工作與時俱進,除充分運用資通科技,強化網路服務功能,以達到超越時空限制的服務,展現電子化政府之效能外;為確保資通作業環境的安全,本局依國家或國際標準建立完善的資通安全管理制度,並透過嚴密稽核落實制度執行,讓本局在完整、方便、安全的資通作業環境下提供納稅義務人稅務相關服務。
3.2.目標
3.2.1.興利面:健全課稅資料,提昇便民績效。
3.2.2.防弊面:維護優質風紀,強化風險控管。
3.2.3.保密面:確保資料機密,避免不當使用。
3.2.4.經營面:邁向永續經營,減少安全事故。
3.2.5.執行面:事先完善規劃,事後嚴密稽核。
3.2.6.遵循面:強化法律宣導,杜絕違法犯紀。
3.3.範圍
本政策適用於本局所有資通相關業務,包括全體員工、委外廠商、接觸本局業務資料之外機關人員、訪客等,及所有相關資通資產管理。
4. 資通安全管理原則及員工應遵守之規定
4.1.管理原則4.1.1.遵循資通安全管理法及子法相關規定。
4.1.2.依國家(CNS 27001)或國際標準(ISO/IEC 27001:2013)建立、管理、實作與運作、監視與審查、維持與改進「資通安全管理系統(ISMS)」,並符合「資通安全責任等級分級辦法」B級公務機關應辦事項之要求,及通過國際驗證。
4.1.3.成立跨單位之「資通安全管理委員會」,負責制定本局資通安全政策,並統籌資通安全計畫、資源調度等事項之協調、研議。
4.1.4.明定相關人員在資通安全作業應扮演之角色,以作為各單位權責分工之依據。
4.1.5.加強宣導資通安全及政策宣導,培訓資通安全專業人才,有效提昇同仁資通安全意識及資通安全防護能力。
4.1.6.定期實施資產清查,並運用系統化的風險評鑑方法,評估風險及施以適當控制措施。
4.1.7.建立安全可信賴之稅務資訊化環境,確保系統作業及網路傳輸之安全、正確、可用及效能。
4.1.8.明定各項系統及網路服務之使用權限,建立安全控管及防護機制,並防止未經授權的系統存取,避免資通設施遭誤用或人為破壞,並防止業務目的以外或超出授權範圍之使用。
4.1.9.有效防範惡意攻擊、電腦病毒或傳送等不當行為危害系統安全之情況發生,健全發展應用系統。
4.1.10.尊重智慧財產權,使用合法之授權軟體,禁止使用或下載未經授權或與業務無關之軟體。
4.1.11.建立備援、緊急應變處理及通報機制,定期實施測試演練,以確保業務永續運作。
4.1.12.強化委外安全管理,訂定保密協議,落實監督檢查及人員安全管理。
4.1.13.建立資通稽核制度,加強資通業務作業安全管制,落實資通安全制度執行。
4.1.14.透過不斷改善的過程,亦即PDCA(計畫、執行、稽核、改善)精神,確保資通安全管理制度實施之有效性。
4.2.作業人員應遵守之事項
4.2.1.本政策應公告於本局網頁,提供本局員工及與接觸本局業務之公私立機關(構)、本局相關資通服務之廠商共同遵行。
4.2.2.為確保資通環境安全,與本局連線作業之相關單位應遵循本局訂定之資通安全及保密責任等相關規範。
4.2.3.本局全體員工與提供資通服務之廠商應簽署保密切結書並確實遵守資通安全相關規定,如有違反應依相關規定處理。
4.2.4.本局同仁於日常作業中應確實遵守「資通安全管理法」、「稅捐稽徵法」、「納稅者權利保護法」、「個人資料保護法」、「國家機密保護法」、「檔案法」及其他資通安全相關之法令。
4.2.5.本局人員違反資通安全規定者,依「澎湖縣政府及所屬各機關公務人員獎懲案件處理要點」、「澎湖縣政府及所屬各機關學校公務人員平時獎懲標準表」辦理。有公務員懲戒法第2條所定情事,應付懲戒者,依該法第19條規定辦理;有觸犯刑法之嫌疑者,應予移送司法機關調查;有涉及國家賠償事件者,應依國家賠償法等相關法律追究損害賠償責任。非本局人員違反資通安全規定時,亦應依相關法律規定追究民、刑事責任。
5. 資通安全事件之處理
依資通安全管理法之「資通安全事件通報及應變辦法」規定,制訂本局資通安全事件管理作業程序書,並於資安事件發生時依循辦理。
6. 政策之評估及檢討
6.1本局資通安全政策,每年至少評估一次,以反應政府資通安全政策、法令、技術及機關業務之最新狀況,確保資通安全實務作業之可行性及有效性。6.2本政策經資通安全管理委員會審議通過或請局長簽核後頒布實施,修正時亦同。