財政部關務署臺中關資訊安全政策

壹、目的

預報貨物資訊系統及其相關業務為本關核心業務，為保護本關核心業務相關資訊資產（資訊資產包括資料、系統、設備等）之安全，防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件，確保本關資訊處理作業能安全有效地運作，進而保障預報貨物資訊系統通關業務，特制訂本資訊安全政策（以下簡稱本政策）。

貳、依據

本政策係依據「資通安全管理法」、「關稅法」、「個人資料保護法」、「財政部及所屬機關構資通安全政策及組織管理規範」等有關法令與規定，考量通關業務需求訂定。

參、願景

本關資訊安全願景為：提供便捷安全的通關服務。

肆、定義

 機密性（Confidentiality）：確保只有獲得授權的使用者，才得以存取資訊。

 完整性（Integrity）：保障資訊與處理方法的正確與完整。

 可用性（Availability）：確保獲得授權的使用者於有需求時，能適時存取資訊及相關資產。

伍、資訊安全政策

一、目的

為達本關對資訊安全維護的期許與要求，本關將以本政策為基礎，依據組織發展需要，並考量資訊資產風險，建立一個完整、可行、有效之資訊安全管理系統，以為本關資訊安全提供最佳之保障。

二、驗證範圍
本關預報貨物資訊系統之進、出口通關業務。包括：業務一組、業務二組出口業務課、秘書室資訊股與電腦機房之資訊安全維運管理。

三、績效衡量指標

為達成上述願景並確保資訊資產之機密性、完整性與可用性，訂定下述績效衡量指標：

1.本關須通過ISO 27001資訊安全管理系統第三方驗證，並持續有效。
2.資通安全事件須依資通安全法規定時效辦理通報、處理及改善報告之提交。
3.依規定資安健診須每兩年辦理一次。
4.重要伺服器（資產價值為3）如發現重大漏洞，須自原廠提供漏洞修補程式後之2個工作日內完成修補，全年目標達成率為92%。
5.電子郵件社交工程演練結果：惡意郵件開啟率應為0.5%以下；惡意連結(或檔案)點擊率應為0.5%以下。
6.確保預報貨物資訊系統通關網路服務達到全年95%以上之可用性  。

陸、適用範圍

本政策適用於本關所有員工（含職員、技工友、約聘僱人員）、簽約廠商、委外廠商及所有相關資訊資產。

柒、責任劃分

一、本關各單位主管應積極參與資訊安全管理活動並提供支持。
二、本關各組、室應依據相關規定落實本政策之要求。
三、所有本關員工、簽約廠商、委外廠商都有責任遵循本政策。
四、上述人員都有責任透過適當通報機制，通報所發現之資訊安全意外事故或可疑之資訊安全弱點。

捌、風險評鑑與管理

為達成本關資訊安全願景，符合政策目標，應制定風險評鑑暨管理程序書，進行風險評鑑與管理，以有效管理資訊資產面臨之風險，降低風險至可接受範圍。

玖、資訊安全政策之遵循

本關所有員工、簽約廠商、委外廠商未遵循本政策或相關資訊安全規定，或行使其他任何危及本關資訊安全之行為，應負相關法律責任並進行適當懲處程序；對於資訊安全法令或技術提供改進意見，經執行確具成效者，應給予適當獎勵。

壹拾、資訊安全政策之修訂

本政策應至少每年評估一次，以反映政府法令、技術及業務等最新發展現況，確保資訊安全實務作業之有效性及適用性。