臺南市政府財政稅務局
資通安全政策
| 壹、 |
目的: 為確保本局財政稅務資料的機密性、完整性與可用性,強化整體回應能力,提供可信賴的資通服務,建構資通安全文化發展環境,持續導入資訊安全管理系統以保護資訊免受內部或外部、蓄意或意外之威脅,確保資料、系統、設備及網路安全,特訂定本政策,並以書面、電子或其他方式通知員工及與本局連線作業之有關機關(構)、廠商共同遵行。 |
| 貳、 |
依據: 本局資訊安全管理系統,依據政府法令要求、主管機關規定,並參考資通安全管理標準及利害關係人需求建立。 |
| 參、 |
適用範圍: 本局全體員工、往來廠商及廠商委派支援本局之駐點工程師等。 |
| 肆、 |
推動資訊安全管理系統: 一、配合資通安全管理法之規定,全部核心資通系統導入資訊安全管理系統標準,並建立、實作、維持及持續改善驗證範圍之管理系統。 二、透過「ISO27001適用性聲明書」,鑑別資訊安全管理系統驗證範圍邊界與適用性。 三、規劃資訊安全管理系統時,應考慮本局全景提到的問題與要求,並決定需要解決的風險和機會。 四、建立資通安全風險管理機制,針對資訊安全管理系統面臨的風險和機會,整合與實施必要措施,並透過量測評估有效性,以落實本局資訊安全管理系統。 五、建立資通安全政策及目標。 六、保護資通系統之機密性與完整性,避免未經授權存取與竄改;維持核心資通系統之可用性,以確保本局營運持續運作。 七、每年辦理資通安全教育訓練,以提高本局員工資安意識。 八、落實資通安全通報機制。 |
| 伍、 |
資通安全目標
|
| 陸、 |
責任劃分 一、成立跨部門資通安全管理委員會,由局長擔任召集人,副局長擔任副召集人與資通安全長,並確保本局資訊安全管理系統符合ISO/CNS 27001與資通安全維護計畫規定。 二、針對資訊安全管理系統之資通安全目標,資通安全管理委員會應確定符合以下要求:
|
| 柒、 |
風險評鑑與管理 一、資安資產應依據「資通安全風險管理作業要點」之規定,建立分類與管理機制。 二、依據「資通安全風險管理作業要點」,應針對資安資產進行風險評鑑與改善工作,以有效掌控本局之資通安全風險。 三、執行風險評鑑後,應將資安資產區分為不同風險等級,屬於「不可接受風險」之資產,應訂定「風險處理計畫」據以監督控管,並落實執行追蹤控制。 |
| 捌、 |
持續改善資訊安全管理系統 一、利用風險評鑑或內外部稽核結果,進行整體資訊安全管理系統改善。 二、從資安事件或情資分享,採取適當矯正措施,並與各機關就情資分享及各項措施,進行溝通及意見徵詢。 三、必要時修改資訊安全管理系統,並確保各項修正措施,符合預期目標。 |
| 玖、 |
宣導 一、本政策及目標應每年透過教育訓練、內部會議、張貼公告等方式,向本局所有人員進行宣導,並檢視執行成效。 二、本局應每年向利害關係人進行本政策及目標宣導,並於局內網站公告,及檢視執行成效。 |
| 壹拾、 |
獎懲 一、對於資安防護績效卓著或違反資訊安全管理系統規定者,依「公務機關所屬人員資通安全事項獎懲辦法」及「臺南市政府及所屬各機關公務人員平時獎懲標準表」辦理獎懲。 二、任何危及資通安全之行為,均應訴諸適當懲罰程序或法律行為。 |
| 壹拾壹、 |
審查與實施 一、資通安全管理委員會應每年定期檢視本政策,或依本局組織、業務和環境等變動因素予以適當修訂,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。 二、本政策報經局長核准後,以書面、電子公布欄或其他方式公告實施,修正時亦同。 |
