跳到主要內容
Menu

資訊安全政策

目的

為提升彰化縣地方稅務局(以下簡稱本局)地方稅服務品質,確保資訊資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,特訂定資訊安全政策(以下簡稱本政策),以達成資訊之機密性、完整性、可用性與適法性。

依據

  • ISO/IEC 27001:2022(Information security, cybersecurity and privacy protection — Information security management systems — Requirements)
  • CNS 27001:2023(資訊安全、網宇安全及隱私保護-資訊安全管理系統-要求事項))
  • ISO/IEC 27002:2022(Information security, cybersecurity and privacy protection — Information security controls)
  • CNS 27002:2023(資訊安全、網宇安全及隱私保護-資訊安全控制措施) 
  • 國家資通訊安全發展方案
  • 財政部暨所屬機關(構)資訊安全管理準則
  • 資通安全管理法

名詞解釋

  • 機密性(Confidentiality) :確保只有經過授權的人才能存取資訊資產。
  • 完整性(Integrity) :確保資訊資產的完整性(Completeness)及其處理方法的準確性。
  • 可用性(Availability) :確保授權的使用者在需要時,可以使用資訊資產。
  • 適法性(Legality) :符合國家相關法令規範。

範圍

本局資訊安全管理制度適用於本局所有業務,包含全體員工、與本機關業務往來之外部機關、對本機關提供服務或勞務之廠商及訪客。

組織

為統籌資訊安全管理等事項之規劃、執行、稽核及矯正活動,應建立資訊安全推動組織,並依「N-ISMS-2-01資安管理及個資保護組織管理程序書」辦理。

目標

  1. 興利面:健全課稅資料,提昇工作效率。
  2. 防弊面:維護優質風紀,強化風險控管。
  3. 保密面:確保資料機密,避免不當使用。
  4. 經營面:邁向永續經營,減少安全事故。
  5. 執行面:事先完善規劃,事後嚴密稽核。
  6. 遵循面:強化法律宣導,杜絕違法犯紀。

實施內容

相關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效(量測指標),實施程序参見「N-ISMS-2-02資訊安全及個資保護實施程序書」。

  1. 各項資訊安全管理規定必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法、資通安全管理法等)之規定,且給予資源配置(例如:資安產品/服務預算納入經費、資安專職人力)。
  2. 負責資訊安全制度之建立及推動事宜。
  3. 定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
  4. 建立資訊硬體設施及軟體之管理機制,以統籌分配、運用資源。
  5. 建置新資訊系統前,應將資訊安全納入考量因素,防範發生危害系統安全之情況。
  6. 建立電腦機房實體及環境安全防護措施,並定期實施相關保養。
  7. 明確規範資訊系統及網路服務之使用權限,防止未經授權之存取動作。
  8. 訂定資訊安全內部稽核計畫,定期執行內部稽核活動。
  9. 訂定資訊安全之業務持續運作計畫並實際演練,確保業務持續運作。
  10. 所有人員負有維持資訊安全之責任,且應遵守相關之資訊安全管理規定。

實施與修正

  1. 本政策每年至少審查一次並留下審查紀錄,並持續改進其有效性及適切性,以符法令法規、技術及本機關營運要求。
  2. 本政策奉核定後實施,嗣後內容若須修訂、增減則提交資安及個資管理委員會討論後訂定、公告之。
更新日期:113-9-5
展開選單
Top