|
 |
財政部高雄市國稅局(以下簡稱本局)資訊安全工作之最終目的在於透過對人
員、作業及資訊科技之管理,防範資訊處理作業過程發生影響資訊及系統機密
性、完整性及可用性之安全事件,以確保本局資訊處理作業能安全有效地運作
,進而保障納稅義務人之權益。
|
|
本局所制定之資訊安全政策及相關規定適用於本局所有作業及人員,包括正式
員工、約聘僱人員、工讀生及接觸本局各項資訊之委外服務廠商人員、協力廠
商人員及訪客。
|
|
法令遵循為本局資訊安全首要工作,下列法令為本局資訊安全管理之重要依據
,本局除依照相關法令之要求制定本政策外,並將法令之要求納入本局資訊安
全風險評估及風險管理之範疇:
 |
稅捐稽徵法 |
|
電腦處理個人資料保護法 |
|
國家機密保護法 |
|
國家檔案法 |
|
通信保障及監察法 |
|
電子簽章法 |
|
著作權法 |
|
刑法 |
|
行政院及所屬各機關資訊安全管理要點 |
|
行政院及所屬各機關資訊安全管理規範 |
|
財政部暨所屬機關(構)資訊安全管理準則 |
|
|
為求資訊安全工作順利推動並獲各單位之充分支持,本局成立資訊安全管理委員
會,負責本局資訊安全管理工作之審議與決策,召集人由本局副局長兼任,委員
由各單位主管兼任。資訊安全管理委員會下設資訊作業內部稽核小組及資訊安全
管理作業小組,資訊作業內部稽核小組負責全局資訊作業績效稽核、專案稽核及
資訊安全稽核,資訊安全管理作業小組負責執行資訊安全管理之各項作業。該二
小組得視需要成立各項任務編組。
|
|
本局依照 ISO27001 標準所提倡之「規劃(Plan)、建置(Do)、監督(Check)、改善
(Action)」資訊安全管理循環原則,建立本局資訊安全管理制度。各項管理流程及
各項安全控制須指派負責單位及負責人員,相關單位須建立書面化之程序作為實
施之依據。
|
|
本局每年由資訊安全管理委員會核定該年度之資訊安全工作總目標,本局相關單
位應依據總目標設定資訊安全管理工作目標,並定期檢討目標之達成狀況。
|
|
對於資訊風險的控制,應以有系統的方法進行風險評估並依據評估的結果採取風
險管理措施,以杜絕重大問題發生的可能,並減少一般性問題之發生為目標。
|
|
本局各項重要作業及系統之操作應有稽核軌跡及查核機制,以對輸入、輸出及處
理過程進行查核。對於會對本局造成重大衝擊的作業,應有職能區分形成相互勾
稽,並且具有作業錯誤的回復措施及作業中斷之替代作業方法,以確保作業安全。
|
|
為確保本局資訊機密性,應明確規定資訊機密等級及相關保護措施,規範各級機
密資訊之標示、保存、使用、複製、傳輸及銷毀之安全要求。
|
|
各項系統使用權限,應建立安全控管機制,並防止未經授權的系統存取,權限之
分配應符合僅授予工作所需必要權限之原則,各項系統使用權限與帳號應定期清
查與複核,以確保權限分配之適當性。
|
|
本局所屬之建築物及辦公場所應區分安全等級,並依安全等級實施必要之管制措
施及安全防護,總局資訊機房應列為最高等級之安全區域。
|
|
本局網路管理權責單位對於重要之主機系統與網路設備應有建立適切之防護措施
並對網路使用訂定相關規範,以加強電腦網路系統之安全及品質,確保網路傳輸
效率及傳輸內容的機密性與完整性。
|
|
應依照資訊系統發展及維護的生命週期,訂定各階段所必須遵守的安全規定。對
營運之資訊系統及網路之變更,應依照組態變更管制規定進行。
|
|
本局所有人員應接受與職務相關之資訊安全教育訓練,資訊安全管理作業小組應
提供相關人員足夠之訓練以滿足職務上之要求。相關人員應熟悉本身工作中之資
訊安全職責。
|
|
本局整體之資訊安全狀況應建立監控項目,持續監控整體之安全狀況。對於會對
本局造成損害的事件,本局人員在發現時須立即通報,資訊安全管理作業小組須
立即依照程序採取適當之控制對策。對於資訊安全事件之通報及處理,應定期演
練,以確保相關人員熟悉處理流程。
|
|
本局應依照營運衝擊分析及風險評估的結果,訂定並維護營運持續計畫,營運持
續計畫須能確保本局服務不間斷或於可忍受之中斷時間前回復服務作業,營運持
續計畫須定期測試演練。
|
|
違反資訊安全規定情節嚴重者,應送本局考績會議處,對於造成納稅人權益損害
者,並依相關法律規定處理。
|
|
本政策每年至少評估一次,以反映政府資訊安全政策、法令、技術及機關業務之
最新狀況,確保資訊安全實務作業之可行性及有效性。
|
|
附錄-專有名詞解釋
|
