跳到主要內容區塊

資訊安全政策


資訊安全政策
壹、

目的:

為確保本局稅務資料的機密性、完整性與可用性,強化整體回應能力,提供可信賴的資訊服務,建構資安文化發展環境,持續導入資訊安全管理制度以保護資訊免受內部或外部、蓄意或意外之威脅,確保資料、系統、設備及網路安全,特訂定本政策,並以書面、電子或其他方式通知員工及與本局連線作業之有關機關(構)、廠商共同遵行。

貳、

依據:

本局資訊安全管理制度,應依據下列原則建立,並由資訊安全管理小組指派專人管理,將本局需遵守之政府法令要求與主管機關規定,於局內網站公告:

一、遵守政府法令要求,例如:稅捐稽徵法、刑法、個人資料保護法等。

二、遵守主管機關規定,例如:行政院及所屬各機關資訊安全管理要點、行政院及所屬各機關資訊安全管理規範,政府機關(構)通安全責任等級分級作業規定等。

三、參考國際資訊安全管理標準,例如:ISO/IEC 27001:2013(以下簡稱ISO 27001)、ISO/IEC 27002:2013等。

參、

適用範圍:

本局全體員工、往來廠商及廠商委派支援本局之駐點工程師等。

肆、

責任劃分:

一、成立跨部門資訊安全管理小組,由局長擔任召集人,副局長擔任副召集人與資安長,並由資訊科負責其幕僚作業,資訊科科長擔任資訊安全管理代表。

二、資訊安全管理代表應確保本局驗證範圍符合ISO 27001標準規定,並於資訊安全管理小組管理審查會議報告執行績效。

三、針對ISO 27001驗證範圍,本局應建立資訊安全目標,並符合以下要求:
  1. 與本政策一致。
  2. 設計可量測之目標。
  3. 考慮到適用的資訊安全要求,以及風險評鑑與處理的結果。
  4. 傳達本政策適用範圍之人員共同努力達成本局目標。
  5. 適當更新本政策,以符合本局需要、政府法令與利害關係者之需要求。
  6. 宜確定執行目的、所需資源、執行人員及時程,以及效果確認的評估方法。
  7. 針對目標與量測結果,留下紀錄文件。

四、本政策適用範圍人員均應遵循本局資訊安全管理制度,並透過適當管道回報所發現的資通安全事件或資訊安全弱點。

五、對於資安防護績效卓著或違反資訊安全管理制度規定者,依「臺南市政府及所屬各機關公務人員平時獎懲標準表」辦理獎懲。


六、任何危及資訊安全之行為,均應訴諸適當懲罰程序或法律行為。

伍、

風險評鑑與管理:

一、資訊資產應依據「資安資產風險管理作業要點」之規定,建立分類與管理機制。

二、依據「資安資產風險管理作業要點」,應針對資訊資產進行風險評鑑與改善工作,以有效掌控本局之資訊安全風險。

三、執行風險評鑑後,應將資訊資產區分為不同風險等級,屬於「不可接受風險」之資產,應訂定「風險處理計畫」據以監督控管,並落實執行追蹤控制。

陸、

文件維護權責:

一、資訊安全管理小組應每年定期檢視本政策,或依本局組織、業務和環境等變動因素予以適當修訂,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

二、本政策修正時亦同。


發佈者:臺南市政府財政稅務局
更新時間: 2018-06-02 09:45:00

頁尾功能連結