:::

　　　　　　　　　　　　　　　　　                    　92年10月 9日投稅電字第0920055886號函頒
　　　　　　　　　　　　　　　　　　                 　          93年2月13日投稅電字第0930008208號函修正
                                                                                            94年1月25日投稅電字第0940004934號函修正捌、組織

壹、目的
　本處資訊安全政策，係依據行政院頒「行政院及所屬各機關資訊安全管理要點」
　規定制定，在確保本處業務永續經營，降低危難及安全事故發生機率，並依此作
　為本處執行資訊安全管理之方向。

貳、政策
　資通安全迅速可靠確保：
　課稅資料，安全無虞
　服務資訊，迅速及時
　服務結果，可靠正確
　為保護本處的相關資訊資產，包括資訊設備實體軟硬體設施、資料、人員、及其
　他資訊等安全，免於因外在的威脅或內部人員不當的管理遭受洩密、破壞或遺失
　等風險，特制訂本政策，以供全體同仁共同遵循。

參、目標
　◎年度資安事件不超過三件。
　◎稅務系統中斷不超過１２小時。
　◎各稅稽徵發單正確率達９９.９％以上。

肆、範圍
　本資訊安全管理適用於本處全部範圍及所有業務，包括全體員工、約聘僱人員、
　連外單位、往來廠商及廠商委派支援本處之工作人員等所有相關資訊資產。

伍、規範
　財政部財稅資料中心已規範之各稅財稅資訊作業規範、各稅稽徵手冊、財稅資訊
　處理手冊、徵課管理手冊等應予遵循外，就依法律與法規要求，制定本處「資訊
　安全管理要點」。

陸、事件處理
　配合行政院建立之國家資通安全通報體系、應變機制等相關執行措施，特訂定「
　資通安全事件危機通報緊急應變計畫暨作業處理程序」。

柒、責任
　◎本處高階主管應適時覆核、修訂本政策，以確保符合現行需求。
　◎資訊安全管理人員應透過適當程序落實本政策之要求。
　◎全體員工、約聘僱人員及簽約廠商都有責任遵循本安全政策。
　◎全體員工都有責任透過通報體系，回報所發現的資訊安全意外事故或資訊安全
　　弱點。
　◎任何危及資訊安全的行為，都應訴諸適當的懲罰程序或法律行動。
　◎相關的資訊安全措施應符合現行法令的要求。

捌、組織
　本處設資通安全處理小組，負責審核及評估本處資通安全政策；及配合行政院建
　立之國家資通安全通報體系、應變機制等相關執行措施。其組織如下：
　召集人：副處長
　副召集人：秘書
　委員：消費稅課課長 人事室主任
　　　　財產稅課課長 政風室主任
　　　　法務課課長 總務室主任
　　　　埔里分處主任 竹山分處主任 
　會計室主任 電作課課長 服務課課長

玖、風險評鑑及管理
  本處依據已鑑別之機關資訊安全、以及法律與法規要求，特制定適合本資訊安全管理系統化之風評鑑方法。並設定資訊安全管理系統之政策與目標，以降低風險至可接受程度。可接受風險值應通過資通安全處理小組會議。詳細作業程序參考「資產分類原則」、「風險評鑑準則」等文件。


　南投縣政府稅捐稽徵處資訊安全管理作業要點
　九十二年十月十四日投稅電字第09200566656號函頒
壹、目的
　一、為強化資訊安全管理，建立安全及可信賴之電子化政府，確保資料、系統、
　　　設備及網路安全，保障納稅義務人權益，特訂定本要點。
貳、依據
　二、行政院八十八年九月十五日台八十八經字第三四七三五號函訂頒「行政院及
　　　所屬各機關資訊安全管理要點」第七點規定。

參、計畫
　三、 就下列事項，訂定資訊安全計畫實施，並定期評估實施成效：
（一）資訊安全政策訂定。
（二）資訊安全權責分工。
（三）人員管理及資訊安全教育訓練。
（四）電腦系統安全管理。
（五）網路安全管理。
（六）系統存取控制管理。
（七）系統發展及維護安全管理。
（八）資訊資產安全管理。
（九）實體及環境安全管理。
（十）業務永續運作計畫管理。
（十一）其他資訊安全管理事項。

肆、組織及權責
　四、本處依下列分工原則，配賦有關單位及人員之權責：
（一）資訊安全政策、計畫及技術規範之研議、建置及評估等事項，由電作課負責
　　　辦理。
（二）資料及資訊系統之安全需求研議、使用管理及保護等事項，由業務單位負責
　　　辦理。
（三）資訊機密維護及稽核使用管理事項，由政風室會同相關單位負責辦理。

　五、本處各單位之資訊作業，進行定期或不定期之資訊安全稽核。
　六、由機關首長指定副首長或高層主管人員負責資訊安全管理事項之協調及推動
　　　 。得視需要，成立跨部門之資訊安全處理小組，統籌資訊安全政策、計畫、
　　　資源調度等事項之協調研議。前項資訊安全處理小組之幕僚作業，由電作課
　　　負責。
　七、視資訊安全管理需要，指定適當人員負責辦理資訊安全相關事宜。

伍、人員管理及資訊安全教育訓練

　八、對資訊相關職務及工作，應進行安全評估，並於人員進用、工作及任務指派
　　　時，審慎評估人員之適任性，並進行必要的考核。
　九、針對管理、業務及資訊等不同工作類別之需求，定期辦理資訊安全教育訓練
　　　及宣導，建立員工資訊安全認知，提升機關資訊安全水準。
　十、加強資訊安全管理人力之培訓，提升資訊安全管理能力；如資訊安全人力或
　　　經驗不足時，得洽請學者專家或專業機關（構）提供顧問諮詢服務。
　十一、負責重要資訊系統之管理、維護、設計及操作之人員，應妥適分工，分散
　　　　權責，並視需要建立制衡機制，實施人員輪調，建立人力備援制度。
　十二、首長及各級業務主管人員，應負責督導所屬員工之資訊作業安全，防範不
　　　　法及不當行為。
陸、電腦系統安全管理

　十三、辦理資訊業務委外作業，應於事前研提資訊安全需求，明訂廠商之資訊安
　　　　全責任及保密規定，並列入契約，要求廠商遵守並定期考核。
　十四、系統變更作業，應建立控管制度，並建立紀錄，以備查考。
　十五、依相關法規或契約規定，複製及使用軟體，並建立軟體使用管理制度。
　十六、採行必要的事前預防及保護措施，偵測及防制電腦病毒及其他惡意軟體，
　　　　確保系統正常運作。

柒、網路安全管理

　十七、利用公眾網路傳送資訊或進行交易處理，應評估可能之安全風險，確定資

                 料傳輸具完整性、機密性、身分鑑別及不可否認性等安全需求，並針對資

                 料傳輸、撥接線路、網路線路與設備、接外連接介面及路由器等事項，研
　　　　擬妥適 的安全控管措施。
　十八、開放外界連線作業之資訊系統，應視資料及系統之重要性及價值，採用資

　　　　料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之
　　　　技術或措施，防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存
　　　　取。
　十九、與外界網路連接之網點，應以防火牆及其他必要安全設施，控管外界與機
　　　　關內部網路之資料傳輸與資源存取。
　二十、開放外界連線作業之資訊系統，必要時應以代理伺服器等方式提供外界存
　　　　取資料，避免外界直接進入資訊系統或資料庫存取資料。
　二十一、利用網際網路及全球資訊網公布及流通資訊，應實施資料安全等級評估
　　　　，機密性、敏感性及未經當事人同意之個人隱私資料及文件，不得上網公
　　　　　布。
　二十二、機關網站存有個人資料及檔案者，應加強安全保護措施，防止個人隱私
　　　　　資料遭不當或不法之竊取使用。
　二十三、訂定電子郵件使用規定，機密性資料及文件，不得以電子郵件或其他電
　　　　　子方式傳送。
　二十四、機密性資料以外之敏感性資料及文件，如有電子傳送之需要，應視需要
　　　　　以適當的加密或電子簽章等安全技術處理。
　二十五、業務性質特殊，須利用電子郵件或其他電子方式傳送機密性資料及文件
　　　　　者，得採用權責主管機關認可之加密或電子簽章等安全技術處理。
　二十六、採購資訊軟硬體設施，應依國家標準或權責主管機關訂定之政府資訊安
　　　　　全規範，研提資訊安全需求，並列入採購規格。
　二十七、發展及應用加密技術，應採用權責主管機關認可之密碼模組產品。
　二十八、採購外國產製之密碼模組產品，應請廠商提出輸出許可或相關授權文件
　　　　，確保密碼模組之安全性，並避免採購金鑰代管或金鑰回復功能之產品。

捌、系統存取控制

　二十九、訂定系統存取政策及授權規定，並以書面、電子或其他方式告知員工及
　　　　　使用者之相關權限及責任。
　三    十、依資訊安全政策，賦予各級人員必要的系統存取權限；員工之系統存取

                     權限，應以執行法定任務所必要者為限。對被賦予系統管理最高權限之

                     人員及掌理重要技術及作業控制之特定人員，應經審慎之授權評估。
　三十一、離（休）職人員，應立即取消使用機關內各項資訊資源之所有權限，並
　　　　　列入機關人員離（休）職之必要手續。
　三十二、機關人員職務調整及調動，應依系統存取授權規定，限期調整其權限。
　三十三、建立系統使用者註冊管理制度，加強使用者通行密碼管理，並要求使用
　　　　　者定期更新；使用者通行密碼之更新周期，視作業系統及安全管理需求
　　　　　 決定，最長以不超過六個月為原則。
　三十四、對內外擁有系統存取特別權限之人員，應建立使用人員名冊，加強安全

　　　　　控管，並縮短密碼更新周期。
　三十五、開放外界連線作業，應事前簽訂契約或協定，明定其應遵守之資訊安全

　　　　　規定、標準、程序及應負之責任。
　三十六、對系統服務廠商以遠端登入方式進行系統維修者，應加強安全控管，並

　　　　　建立人員名冊，課其相關安全保密責任。
　三十七、重要資料委外建檔，不論在機關內外執行，均應採取適當及足夠之安全

　　　　　管制措施，防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生
　　　　　 。
　三十八、確立系統稽核項目，建立資訊安全稽核制度，定期或不定期進行資訊安

　　　　　全稽核作業；系統中之稽核紀錄檔案，應禁止任意刪除及修改。

玖、系統發展及維護安全管理

　三十九、自行開發或委外發展系統，在系統生命週期之初始階段，即將資訊安全
　　　　　需求納入考量；系統之維護、更新、上線執行及版本異動作業，應予安
　　　　　全管制，避免不當軟體、暗門及電腦病毒等危害系統安全。
　四十、對廠商之軟硬體系統建置及維護人員，規範及限制其可接觸之系統與資料
　　　　範圍，並嚴禁核發長期性之系統辨識碼及通行密碼。
　四十一、基於實際作業需要，得核發短期性及臨時性之系統辨識及通行密碼供廠
　　　　　商使用。但使用完畢後應立即取消其使用權限。
　四十二、委託廠商建置及維護重要之軟硬體設施，應在機關相關人員監督及陪同
　　　　　下始得為之。

拾、業務永續運作之規劃

　四十三、應訂定業務永續運作計畫，評估各種人為及天然災害對機關正常業務運
　　　　　作之影響，訂定緊急應變及回復作業程序及相關人員之權責，並定期演
　　　　　練及調整更新計畫。
　四十四、建立資訊安全事件緊急處理機制，在發生資訊安全事件時，依規定之處
　　　　　理程序，立即向權責主管單位或人員通報，採取反應措施，並聯繫檢警
　　　　　調單位協助偵查。
　四十五、應依相關法規，訂定及區分資料安全等級，並依不同安全等級，採取適
　　　　　當及充足之資訊安全措施。

拾壹、實體及環境安全管理

　四十六、應就設備安置、周邊環境及人員進出管制等，訂定妥善之實體及環境安
　　　　　全管理措施。