臺南市政府財政稅務局資訊安全政策
| 壹、 |
目的: 為確保本局稅務資料的機密性、完整性與可用性,強化整體回應能力,提供可信賴的資訊服務,建構資安文化發展環境,持續導入資訊安全管理制度以保護資訊免受內部或外部、蓄意或意外之威脅,確保資料、系統、設備及網路安全,特訂定本政策,並以書面、電子或其他方式通知員工及與本局連線作業之有關機關(構)、廠商共同遵行。 |
| 貳、 |
依據: 本局資訊安全管理制度,應依據下列原則建立,並由資訊安全管理小組指派專人管理,將本局需遵守之政府法令要求與主管機關規定,於局內網站公告: 一、遵守政府法令要求,例如:稅捐稽徵法、刑法、個人資料保護法等。 二、遵守主管機關規定,例如:行政院及所屬各機關資訊安全管理要點、行政院及所屬各機關資訊安全管理規範,政府機關(構)通安全責任等級分級作業規定等。 三、參考國際資訊安全管理標準,例如:ISO/IEC 27001:2013(以下簡稱ISO 27001)、ISO/IEC 27002:2013等。 |
| 參、 |
適用範圍: 本局全體員工、往來廠商及廠商委派支援本局之駐點工程師等。 |
| 肆、 |
責任劃分: 一、成立跨部門資訊安全管理小組,由局長擔任召集人,副局長擔任副召集人與資安長,並由資訊科負責其幕僚作業,資訊科科長擔任資訊安全管理代表。 二、資訊安全管理代表應確保本局驗證範圍符合ISO 27001標準規定,並於資訊安全管理小組管理審查會議報告執行績效。 三、針對ISO 27001驗證範圍,本局應建立資訊安全目標,並符合以下要求: 四、本政策適用範圍人員均應遵循本局資訊安全管理制度,並透過適當管道回報所發現的資通安全事件或資訊安全弱點。 五、對於資安防護績效卓著或違反資訊安全管理制度規定者,依「臺南市政府及所屬各機關公務人員平時獎懲標準表」辦理獎懲。
|
| 伍、 |
風險評鑑與管理: 一、資訊資產應依據「資安資產風險管理作業要點」之規定,建立分類與管理機制。 二、依據「資安資產風險管理作業要點」,應針對資訊資產進行風險評鑑與改善工作,以有效掌控本局之資訊安全風險。 三、執行風險評鑑後,應將資訊資產區分為不同風險等級,屬於「不可接受風險」之資產,應訂定「風險處理計畫」據以監督控管,並落實執行追蹤控制。 |
| 陸、 |
文件維護權責: 一、資訊安全管理小組應每年定期檢視本政策,或依本局組織、業務和環境等變動因素予以適當修訂,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。 二、本政策修正時亦同。 |
