:::跳到主要內容
網站導覽 常見問答 聯絡我們 English
  • 字級大小
:::
將資訊分享到Facebook 將資訊分享Line 將資訊以Email轉寄 彈窗列印設定
資訊安全政策

壹、說明

貨物通關自動化系統及其相關業務為財政部關務署基隆關(以下簡稱「本關」)之核心業務,為保護本關此核心業務之相關資訊資產(資訊資產包括資料、系統、設備等)之安全,防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件,以確保本關資訊處理作業能安全有效地運作,進而保障海運貨物通關業務,特制訂資訊安全政策(以下簡稱本政策)。

貳、依據

本政策係依據「關稅法」、「個人資料保護法」、「資通安全管理法」、「財政部及所屬機關構資通安全政策及組織管理規範」、「財政部關務署暨各關資訊安全管理作業規定」及財政部關務署資訊安全政策等有關法令與規定,考量通關業務需求訂定。

參、適用範圍

本政策適用於本關所有同仁(含約聘人員、技工友)、外部人員(包含簽約廠商、委外廠商等)及所有相關資訊資產。

肆、定義

資訊安全之本質大致可歸為以下3類:

  1. 機密性-Confidentiality:
    使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。
  2. 完整性-Integrity:
    保護資產的準確度(accuracy)和完全性(completeness)的性質。
  3. 可用性-Availability:
    經授權個體因應需求之可存取及可使用的性質。

除了以上3項基本性質外尚可依業務狀況考量認證性(authenticity)、可歸責性(accountability)、不可否認性(non-repudiation)或可靠性(reliability),其說明如下:

  1. 認證性-Authenticity:
    確保使用者登入時有適當的驗證程序。
  2. 可歸責性-Accountability:
    確保使用者執行任何動作均有適當的軌跡可追蹤至執行者。
  3. 不可否認性-Non-repudiation:
    確保使用者無法否認於系統上完成的交易。
  4. 可靠性-Reliability:
    確保作業執行皆有一致結果。

伍、資訊安全願景

提供便捷安全的通關服務

陸、資訊安全管理指標

為達成本關對資訊安全維護的期許與要求,本關將以本政策為基礎,依據組織發展需要,並考量資訊資產風險,建立一個完整、可行、有效之資訊安全管理系統,以為本關資訊安全提供最佳保障,並依此訂定以下指標,以期能有效地監控整體資安制度的有效性:

  • 機密性

預報貨物資訊系統應有良好帳號權限控管機制,每年至少須清查帳號權限1次。  

資安事件發生次數每年低於2次。 

預報貨物資訊系統未經授權存取之事件每年0次。 

確保相關機密資訊均有適當防護程序,且每年應至少進行1次機密等級之重新審視。

  •  完整性

資訊系統的存取權限、威脅與弱點要加以控管,以維持其完整性。

資訊資產價值為3及4之伺服器,其重大Windows Update漏洞及技術服務中心通知之「漏洞/資安訊息通告」發布後,需於1個工作日內完成,全年目標達成率90%以上。

  • 可用性 

確保本關人員所使用預報貨物資訊系統之基礎網路服務達到全年99%以上之可用性。 

每年至少進行1次檢討、維護、測試營運持續經營計畫,結果應證明計畫可達到目標回復時間之要求。

確保AD/DNS系統服務達到全年99%以上之可用性。

柒、責任劃分

  1. 資訊安全小組:由本關資通安全長擔任召集人組成,負責本政策增修之審核。
  2. 本關各組、室、分關、辦事處應透過適當程序落實本政策之要求。
  3. 所有同仁、簽約廠商及委外廠商都有責任遵循本政策。
  4. 上述人員都有責任透過適當通報機制,通報所發現之資訊安全意外事故或可疑之資訊安全弱點。

捌、資訊安全責任

  1. 資訊安全小組應定期召開管理審查會議,審核本政策之修訂,以確保本政策符合現行需求。
  2. 決定需要對資訊安全管理系統變更修正時,應以規劃之方式執行變更。
  3. 本關高階主管應積極參與資訊安全管理活動,提供對資訊安全之支持及承諾。
  4. 本關應定期提供同仁資訊安全訓練課程,提昇人員資訊安全認知。
  5. 本關為達到海關之願景,符合政策目標,應制定風險評估暨管理程序,進行風險評估與管理,以有效管理資訊資產面臨之風險,降低風險至可接受範圍。
  6. 本關所有相關同仁皆須應遵循本關資安事件通報機制,通報所發現之資訊安全事件或資訊安全弱點。
  7. 本關所有相關同仁若未遵循本政策或發生任何違反本政策之行為,將依相關規定處置。
  8. 本關所有委外廠商皆須簽署保密協議書,並遵循本政策以及相關程序之規定,不得未經授權使用或濫用本關之各類資訊資產。

玖、資訊安全政策之修訂與公告

本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

 

 

 

 

 

更新日期:113-10-23 點閱次數:2234