雲林縣稅務局全球資訊網雲林縣稅務局全球資訊網

1. 目的
為強化本局資通安全管理，確保資通資訊、系統、設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險，特訂定資通安全政策(以下簡稱本政策)，以達成資訊之機密性、完整性、可用性與法律遵循性。
2. 適用或準用依據
   2.1 資通安全管理法
   2.2 資通安全管理法施行細則
   2.3 資通安全責任等級分級辦法
   2.4 資通安全事件通報及應變辦法
   2.5 資通安全情資分享辦法
   2.6 公務機關所屬人員資通安全事項獎懲辦法
   2.7 ISO/IEC 27001(Information security, cybersecurity and privacy protection — Information security management systems — Requirements)
   2.8 CNS 27001(資訊安全、網宇安全及隱私保護－資訊安全管理系統－要求事項)
   2.9 ISO/IEC 27002(Information security, cybersecurity and privacy protection — Information security controls)
   2.10 CNS 27002(資訊安全、網宇安全及隱私保護－資訊安全控制措施)
3. 名詞解釋
   3.1 資通安全管理系統：ISMS(Information Security Management System)是一套有系統地分析和管理資通安全風險的方法。
   3.2 機密性（Confidentiality，簡稱C）：資通系統發生資安事件時，可能造成系統資料外洩或遭竄改等情事，導致資料機密性受到損害。
   3.3 完整性（Integrity，簡稱I）：資通系統委外開發與營運時，若未有效執行資安防護作為，可能會造成系統完整性遭受破壞。
   3.4 可用性（Availability，簡稱A）：資通系統目的在輔助機關提升業務效能與服務品質，已成為機關業務運作不可或缺的一環，因此，系統故障（包含無法使用、異常運作等情形）可能導致業務執行效能降低，甚至業務中斷。
   3.5 法律遵循性(Legal compliance，簡稱L)：本影響構面之危害程度評估係基於機關負有遵守法律規章之責任與義務下，如發生違法情事時，機關將面臨之衝擊，本影響構面衝擊後果之嚴重程度係取決於法令規定。
4. 範圍
本局資通安全管理制度適用於所有與本局業務有關者，包含全體員工、與本局業務往來之外部機關及對本局提供服務或勞務之廠商。
5. 組織
為統籌資通安全管理等事項之規劃、執行、稽核及矯正活動，應建立資通安全推動組織，並訂定相關資通安全管理組織程序書。
6. 目標
   6.1 興利面：健全課稅資料，提升工作效率。
   6.2 防弊面：維護優質風紀，強化風險控管。
   6.3 保密面：確保資料機密，避免不當使用。
   6.4 經營面：邁向永續經營，減少安全事故。
   6.5 執行面：事先完善規劃，事後嚴密稽核。
7. 實施內容
相關單位及人員應就下列事項訂定相關管理規範或實施計畫，並定期評估實施成效(量測指標)，實施程序參見相關資通安全實施程序書。
   7.1 行動裝置政策
   依據行政院國家資通安全會報技術服務中心，行動裝置資通安全注意事項執行相關作業。
   7.2 存取控制政策
   資通機房門禁、資通系統帳號、網路規則等作業存取權限，均須有正式的存取授權紀錄。
   7.3 使用密碼控制措施的政策
   為確保資料的安全防護，涉及民眾權益、公務機密…等機敏性資料，不得於公眾網路傳輸。
   7.4 桌面淨空與螢幕淨空政策
   暫時離開座位時應將桌面上敏感性資料收到辦公抽屜中，避免被非法人士不當瀏覽，且將電腦螢幕畫面鎖定。
   7.5 資通傳送政策與程序
      7.5.1 應避免含有公務資料之電子郵件於網路上傳送，以公文方式交付。
      7.5.2 使用共同系統，須依循共同系統主管機關規範作業。
      7.5.3 紙本資料傳送，以公文方式或依循業務相關主管機關規範交付。
   7.6 安全發展政策
   軟體與系統發展的規則應建立與應用，需考量機密性、完整性、可用性及法律遵循性，規劃設計符合業務所需之軟體與系統。
   7.7 供應者安全之資通安全政策
   對與廠商合約，需載明本局對於資通安全與個人資料保護的要求。
   7.8 安全政策與標準之遵循性
   每年至少1次審查安全政策、標準與任何其它安全要求事項，做為處理及程序的遵循性。
   7.9 各項資通安全管理規定必須遵守政府相關法規(如：刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法及資通安全管理法等）之規定。
   7.10 本局資訊科負責資通安全制度之建立及推動事宜。
   7.11 定期實施資通安全教育訓練，宣導資通安全政策及相關實施規定。
   7.12 建立資訊設備硬體設施及相應軟體之管理機制，以統籌分配、運用資源。
   7.13 建置新資訊系統前，應將資通安全納入考量因素，防範發生危害系統安全之情況。
   7.14 建立電腦機房實體及環境安全防護措施，並實施相關維護措施。
   7.15 明確規範資訊系統及網路服務之使用權限，防止未經授權之存取動作。
   7.16 訂定資通安全內部稽核計畫，以執行內部稽核活動。
   7.17 訂定資通安全之業務持續運作計畫並實際演練，確保業務持續運作。
   7.18 所有人員負有維持資通安全之責任，且應遵守相關之資通安全管理規定。
   7.19 人員違反資通安全相關規定，應依本局相關規定及其他法規處理。若第三方人員違反資通安全相關規定，則循一般法令規定或依雙方簽訂之合約處理。
8. 實施與修正
   8.1 本政策每年至少審查一次並留下審查紀錄，並持續改進其有效性及適切性，以符法規、技術及本局營運要求。
   8.2 本政策奉局長核定後發函實施，修正時亦同。