Facebook
Twitter
LINE
1.目的
為強化整體回應能力,提供可信賴的服務,建構資訊安全及個人資料保護發展環境,導入資安治理以建立安全及可信賴之電腦化作業環境,落實個人資料之合法蒐集、處理及利用,確保資料、系統、設備及網路安全,特訂定本政策。
2.遵循原則
本局資訊安全管理與治理架構及個人資料保護,應遵守政府法令要求、主管機關及上級機關規定,參考國際資訊安全與個人資料保護管理標準,並瞭解關注方之需要及期望等。
3.適用範圍
3.1 本局各單位之正式員工、約聘僱人員、行政助理、工讀生、委外服務人員及協力廠商派駐本局人員等。
3.2 本局各項業務所輸入、輸出、處理、保存、傳輸之稅務、行政及個人資料。
3.3 本政策所稱之個人資料,為個人資料保護法定義之範疇,即指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
4.願景
建立安全便民的稅務服務。
5.資安暨個資保護目標制訂及作業方式
5.1識別關鍵業務及關注方之需要與期望,訂定本局資安暨個資保護目標如下:
5.1.1提供稅務服務不中斷並達到民眾要求的服務品質。
5.1.2個人資料蒐集、處理、利用、保存及資訊資產之管控機制符合法令規定。
5.1.3強化人員及委外採購之安全管理。
5.1.4確保電子服務平台的機密性及完整性。
5.1.5提供安全無虞的辦公環境。
5.2每年透過全景評鑑找出資安與個資關注方之內、外部議題,並提報資訊安全與個資保護管理審查委員會(以下簡稱委員會)審議目標制定之妥適性,及定期量測目標達成之有效性。
5.3達成願景之流程圖:(如附件)
6.資訊安全與個人資料保護聲明
6.1本局成立委員會,負責制定資訊安全與個人資料保護政策及安全維護計畫,明確界定相關單位之權責、推動與檢討資訊安全及個資保護之管理,並統籌規劃、資源調度等事項之協調、研議,以符合資訊安全、個人資料保護法及相關法令之要求。上述相關程序參?「資訊安全與個資保護組織程序書」及「個資保護管理程序書」。
6.2以資訊安全、個資保護管理系統之國際標準建立與實施管理制度,使資訊安全與個資保護政策得以落實。
6.3本局在合法之組織營運、業務下,對個人資料之蒐集、處理或利用,應尊重當事人之權益,並依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理關聯。
6.4本局於委託蒐集、處理及利用個資時,應於契約明定受委託單位個資安全保護責任及保密規定,並善盡監督及查核受委託單位。
6.5本局應尊重當事人對其個資行使以下權利:
6.5.1查詢或請求閱覽。
6.5.2請求製給複製本。
6.5.3請求補充或更正。
6.5.4請求停止蒐集、處理或利用。
6.5.5請求刪除。
6.6本局應設置個資聯絡窗口,受理當事人個資陳情、投訴、諮詢、個人權益及個資保護事項之協調聯繫等相關事宜。
6.7應定期清查本局保有之個資,鑑別特定目的及適法性,並予以分類分級,運用系統化的風險評估方法,評估風險及施以適當控制措施。
6.8應建立及實施資訊安全與個資保護管理措施,並識別內外部利害關係者,將相關議題提報委員會討論,以確保管理系統之運作與實行。
6.9應建立與維護個資檔案,並視需要進行更新,確保個資之正確性及完整性。
6.10以合於時下之技術措施及管理制度,建立使用紀錄、軌跡資料之證據保存及設備安全保護,以避免當事人個資被竊取、洩漏、竄改或受到其他侵害。
6.11提升組織成員、委外人員對資訊安全與個資保護之安全意識及管理能力,每年定期辦理相關宣導及專業教育訓練。
6.12應建立資訊安全、個資事件通報機制,於事件發生時依規定通報,並在最短期間內採行應變措施,事件處理後亦須檢討改進。
6.13訂定資訊安全、個資事件應變演練計畫並不定期演練。
6.14定期辦理內部稽核及召開委員會議,以確保管理系統實施之有效性及符合個人資料保護法規定與國際標準要求。
6.15訂定全球資訊網隱私權保護宣告並置於網站,供民眾參閱。
7.違反資訊安全與個資保護規定之處置
7.1違反資訊安全與個資保護規定者,依違反資訊安全與個資保護相關規定之程度、事件造成本局之損害以及初累犯情形考量,送本局政風室查處。若違反資訊安全規定,造成本局或納稅人權益損害者,都將訴諸適當之懲罰程序或法律行動。
7.2發生公務員懲戒法第2條所訂情事,應付懲戒者,依該法第19條規定辦理。
7.3觸犯刑法之嫌疑者,應予移送司法機關調查。
7.4涉及國家賠償及個資保護事件者,應依國家賠償法及個人資料保護法等相關法律追究損害賠償責任。
7.5非本局人員違反資訊安全及個資保護規定時,亦應依相關法律規定追究民刑事責任。
8.政策文件維護權責
本政策應每年定期或依本局組織、業務和環境等變動因素之適當性予以修訂,報委員會核准後實施。