資訊安全政策
壹、 |
目的: 為確保本局財政稅務資料的機密性、完整性與可用性,強化整體回應能力,提供可信賴 的資通服務,建構資通安全文化發展環境,持續導入資訊安全管理系統以保護資訊免受內部或外部、蓄意或意外之威脅,確保資料、系統、設備及網路安全,特訂定本政策, 並以書面、電子或其他方式通知員工及與本局連線作業之有關機關(構)、廠商共同遵行。 |
貳、 |
依據: 本局資訊安全管理系統,應依據下列原則建立,並由資通安全管理小組指派專人管理, 將本局需遵守之政府法令要求與主管機關規定,於局內網站公告: 一、遵守政府法令要求,例如:稅捐稽徵法、刑法、個人資料保護法、資通安全管理法等。 二、遵守主管機關規定,例如:行政院及所屬各機關資訊安全管理要點、行政院及所 屬各機關資訊安全管理規範等。 三、參考資通安全管理標準,例如:ISO/IEC 27001、CNS 27001等。 |
參、 |
適用範圍: 本局全體員工、往來廠商及廠商委派支援本局之駐點工程師等。 |
肆、 |
推動資訊安全管理系統: 一、配合資通安全管理法之規定,全部核心資通系統導入資訊安全管理系統標準。 二、依據資訊安全管理系統規定,建立、實作、維持及持續改進驗證範圍之管理系統,並將本局下列全景列入考量:
三、透過「資訊安全管理系統適用性聲明書」,鑑別資訊安全管理系統驗證範圍邊界與適用性。 四、資訊安全管理系統推動之目標如下:
五、適當修改本政策內容,以確保以下事項:
六、應確定並提供建立、實作、維持和持續改進資訊安全管理系統所需的資源。 七、在規劃資訊安全管理系統時,應考慮本局下列全景提到的問題與要求,並決定需要解決的風險和機會。
八、針對資訊安全管理系統面臨的風險和機會,應規劃需要採取的行動,並滿足以下要求:
九、政策及目標之宣導
|
伍、 |
責任劃分 一、成立跨部門資通安全管理小組,由局長擔任召集人,副局長擔任副召集人與資通安全長,並由資訊科負責其幕僚作業,資訊科科長擔任資通安全管理代表。 二、資通安全管理代表應確保本局資訊安全管理系統符合ISO 27001標準、資通安全維護計畫規定,並於資通安全管理小組管理審查會議報告執行績效。 三、針對資訊安全管理系統之資通安全目標,資通安全管理小組應確定符合以下要求:
四、本政策適用範圍人員均應遵循本局資訊安全管理制度,並透過適當管道回報所發現的資通安全事件或資訊安全弱點。 五、對於資安防護績效卓著或違反資訊安全管理制度規定者,依「臺南市政府及所屬各機關公務人員平時獎懲標準表」辦理獎懲。 六、任何危及資訊安全之行為,均應訴諸適當懲罰程序或法律行為。 |
陸、 |
風險評鑑與管理 一、資訊資產應依據「資安資產風險管理作業要點」之規定,建立分類與管理機制。 二、依據「資安資產風險管理作業要點」,應針對資訊資產進行風險評鑑與改善工作,以有效掌控本局之資訊安全風險。 三、執行風險評鑑後,應將資訊資產區分為不同風險等級,屬於「不可接受風險」之資產,應訂定「風險處理計畫」據以監督控管,並落實執行追蹤控制。 |
柒、 |
文件維護權責 一、資通安全管理小組應每年定期檢視本政策,或依本局組織、業務和環境等變動因素予以適當修訂,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。 二、本政策報經局長核准後,以書面、電子公布欄或其他方式公告實施,修正時亦同。 |