壹、說明

貨物通關自動化系統及其相關業務為財政部關務署基隆關(以下簡稱「本關」)之核心業務，為保護本關此核心業務之相關資訊資產（資訊資產包括資料、系統、設備等）之安全，防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件，以確保本關資訊處理作業能安全有效地運作，進而保障海運貨物通關業務，特制訂資訊安全政策（以下簡稱本政策）。

貳、依據

本政策係依據「關稅法」、「個人資料保護法」、「資通安全管理法」、「財政部及所屬機關構資通安全政策及組織管理規範」、「財政部關務署暨各關資訊安全管理作業規定」及財政部關務署資訊安全政策等有關法令與規定，考量通關業務需求訂定。

參、適用範圍

本政策適用於本關所有同仁（含約聘人員、技工友）、外部人員（包含簽約廠商、委外廠商等）及所有相關資訊資產。

肆、定義

資訊安全之本質大致可歸為以下3類：

1. 機密性－Confidentiality：
   使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。
2. 完整性－Integrity：
   保護資產的準確度(accuracy)和完全性(completeness)的性質。
3. 可用性－Availability：
   經授權個體因應需求之可存取及可使用的性質。

除了以上3項基本性質外尚可依業務狀況考量認證性(authenticity)、可歸責性(accountability)、不可否認性(non-repudiation)或可靠性(reliability)，其說明如下：

1. 認證性－Authenticity：
   確保使用者登入時有適當的驗證程序。
2. 可歸責性－Accountability：
   確保使用者執行任何動作均有適當的軌跡可追蹤至執行者。
3. 不可否認性－Non-repudiation：
   確保使用者無法否認於系統上完成的交易。
4. 可靠性－Reliability：
   確保作業執行皆有一致結果。

伍、資訊安全願景

提供便捷安全的通關服務

陸、資訊安全管理指標

為達成本關對資訊安全維護的期許與要求，本關將以本政策為基礎，依據組織發展需要，並考量資訊資產風險，建立一個完整、可行、有效之資訊安全管理系統，以為本關資訊安全提供最佳保障，並依此訂定以下指標，以期能有效地監控整體資安制度的有效性：

• 機密性

預報貨物資訊系統應有良好帳號權限控管機制，每年至少須清查帳號權限1次。  

資安事件發生次數每年低於2次。 

預報貨物資訊系統未經授權存取之事件每年0次。 

確保相關機密資訊均有適當防護程序，且每年應至少進行1次機密等級之重新審視。

•  完整性

資訊系統的存取權限、威脅與弱點要加以控管，以維持其完整性。

資訊資產價值為3及4之伺服器，其重大Windows Update漏洞及技術服務中心通知之「漏洞/資安訊息通告」發布後，需於1個工作日內完成，全年目標達成率90%以上。

• 可用性 

確保本關人員所使用預報貨物資訊系統之基礎網路服務達到全年99%以上之可用性。 

每年至少進行1次檢討、維護、測試營運持續經營計畫，結果應證明計畫可達到目標回復時間之要求。

確保AD/DNS系統服務達到全年99%以上之可用性。

柒、責任劃分

1. 資訊安全小組：由本關資通安全長擔任召集人組成，負責本政策增修之審核。
2. 本關各組、室、分關、辦事處應透過適當程序落實本政策之要求。
3. 所有同仁、簽約廠商及委外廠商都有責任遵循本政策。
4. 上述人員都有責任透過適當通報機制，通報所發現之資訊安全意外事故或可疑之資訊安全弱點。

捌、資訊安全責任

1. 資訊安全小組應定期召開管理審查會議，審核本政策之修訂，以確保本政策符合現行需求。
2. 本關高階主管應積極參與資訊安全管理活動，提供對資訊安全之支持及承諾。
3. 本關應定期提供同仁資訊安全訓練課程，提昇人員資訊安全認知。
4. 本關為達到海關之願景，符合政策目標，應制定風險評估暨管理程序，進行風險評估與管理，以有效管理資訊資產面臨之風險，降低風險至可接受範圍。
5. 本關所有相關同仁皆須應遵循本關資安事件通報機制，通報所發現之資訊安全事件或資訊安全弱點。
6. 本關所有相關同仁若未遵循本政策或發生任何違反本政策之行為，將依相關規定處置。
7. 本關所有委外廠商皆須簽署保密協議書，並遵循本政策以及相關程序之規定，不得未經授權使用或濫用本關之各類資訊資產。

玖、資訊安全政策之修訂與公告

本政策應至少每年評估一次，以反映政府法令、技術及業務等最新發展現況，確保資訊安全實務作業之有效性。