跳到主要內容區塊

資訊安全政策


資訊安全政策
壹、

目的:

為確保本局財政稅務資料的機密性、完整性與可用性,強化整體回應能力,提供可信賴 的資通服務,建構資通安全文化發展環境,持續導入資訊安全管理系統以保護資訊免受 內部或外部、蓄意或意外之威脅,確保資料、系統、設備及網路安全,特訂定本政策, 並以書面、電子或其他方式通知員工及與本局連線作業之有關機關(構)、廠商共同遵 行。

貳、

依據:

本局資訊安全管理系統,應依據下列原則建立,並由資通安全管理小組指派專人管理, 將本局需遵守之政府法令要求與主管機關規定,於局內網站公告:

一、遵守政府法令要求,例如:稅捐稽徵法、刑法、個人資料保護法、資通安全管理 法等。

二、遵守主管機關規定,例如:行政院及所屬各機關資訊安全管理要點、行政院及所 屬各機關資訊安全管理規範等。

三、參考資通安全管理標準,例如:ISO/IEC 27001、CNS 27001等。

參、

適用範圍:

本局全體員工、往來廠商及廠商委派支援本局之駐點工程師等。

肆、

推動資訊安全管理系統:

一、配合資通安全管理法之規定,全部核心資通系統導入資訊安全管理系統標準。

二、依據資訊安全管理系統規定,建立、實作、維持及持續改進驗證範圍之管理系統,並將本局下列全景列入考量:

  1. 鑑別外部與內部會影響本局資通安全管理目的之議題,以達到資訊安全管理系統預期的結果。
  2. 鑑別與資訊安全管理系統有關的資通安全要求及其利害關係人(例如:IT 
    服務供應商、與本局連線作業有關單位)。

三、透過「資訊安全管理系統適用性聲明書」,鑑別資訊安全管理系統驗證範圍邊界與適用性。

四、資訊安全管理系統推動之目標如下:

  1. 量化型目標:

    (1)資通安全事件發生頻率應控制在可接受範圍,第三、四級資通安全事件不得發生。

    (2)為確保智慧地方稅務服務平台、稅務影像管理系統、房屋稅與地價稅外業清查系統之可用性,每年持續服務率99%以上,中斷時間超過可容忍時間之事件不得發生。

    (3)為提升人員資安防護意識,每次社交工程演練不當開啟郵件人數在10人以下。

  2. 質化型目標:

    (1)適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。

    (2)達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。

五、適當修改本政策內容,以確保以下事項:

  1. 符合「臺南市政府財政稅務局組織規程」規範下之本局組織運作目的。
  2. 建立資通安全目標或提供建置資通安全目標的規劃。
  3. 滿足資通安全相關要求的承諾。
  4. 本局持續改進資訊安全管理系統的承諾。

六、應確定並提供建立、實作、維持和持續改進資訊安全管理系統所需的資源。

七、在規劃資訊安全管理系統時,應考慮本局下列全景提到的問題與要求,並決定需要解決的風險和機會。

  1. 確保資訊安全管理系統實現本局預期結果。
  2. 防止或減少對本局不利的影響。
  3. 實現持續改進資訊安全管理系統承諾。

八、針對資訊安全管理系統面臨的風險和機會,應規劃需要採取的行動,並滿足以下要求:

  1. 整合與實施必要措施,以落實本局資訊安全管理系統所建立的管理系統。
  2. 透過量測評估相關行動的有效性。

九、政策及目標之宣導

  1. 本政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向本局所有人員進行宣導,並檢視執行成效。
  2. 本局應每年向利害關係人進行本政策及目標宣導,並檢視執行成效。
伍、

責任劃分

一、成立跨部門資通安全管理小組,由局長擔任召集人,副局長擔任副召集人與資通安全長,並由資訊科負責其幕僚作業,資訊科科長擔任資通安全管理代表。

二、資通安全管理代表應確保本局資訊安全管理系統符合ISO 27001標準、資通安全維護計畫規定,並於資通安全管理小組管理審查會議報告執行績效。

三、針對資訊安全管理系統之資通安全目標,資通安全管理小組應確定符合以下要求:

  1. 與本政策一致。
  2. 設計可量測之目標。
  3. 考慮到適用的資訊安全要求,以及風險評鑑與處理的結果。
  4. 傳達本政策適用範圍之人員共同努力達成本局目標。
  5. 適當更新本政策,以符合本局需要、政府法令與利害關係者之需要求。
  6. 宜確定執行目的、所需資源、執行人員及時程,以及效果確認的評估方法。
  7. 針對目標與量測結果,留下紀錄文件。

四、本政策適用範圍人員均應遵循本局資訊安全管理制度,並透過適當管道回報所發現的資通安全事件或資訊安全弱點。

五、對於資安防護績效卓著或違反資訊安全管理制度規定者,依「臺南市政府及所屬各機關公務人員平時獎懲標準表」辦理獎懲。

六、任何危及資訊安全之行為,均應訴諸適當懲罰程序或法律行為。

陸、

風險評鑑與管理

一、資訊資產應依據「資安資產風險管理作業要點」之規定,建立分類與管理機制。

二、依據「資安資產風險管理作業要點」,應針對資訊資產進行風險評鑑與改善工作,以有效掌控本局之資訊安全風險。

三、執行風險評鑑後,應將資訊資產區分為不同風險等級,屬於「不可接受風險」之資產,應訂定「風險處理計畫」據以監督控管,並落實執行追蹤控制。

柒、

文件維護權責

一、資通安全管理小組應每年定期檢視本政策,或依本局組織、業務和環境等變動因素予以適當修訂,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

二、本政策報經局長核准後,以書面、電子公布欄或其他方式公告實施,修正時亦同。


發佈者:臺南市政府財政稅務局
更新時間: 2019-06-05 11:01:00

頁尾功能連結