文件編號：ISMS-01000000
版 次：3.3
初版日期：92.10
修訂日期：111.02.21

壹、目的

為確保本處全員落實資訊安全及個人資料保護，並維護資訊資產及個人資料之機密性、完整性、可用性與法律遵循性，且合理的蒐集、處理及利用個人資料，以提升稽徵效率及為民服務之效能，訂定本政策。本處資訊安全暨個人資料保護政策聲明為「資通安全意識人人有責，個人資料保護人人做到」。

貳、依據

一、資通安全管理法及其相關子法

二、個人資料保護法及其施行細則

三、稅捐稽徵法

四、檔案法

五、財政部暨所屬機關(構)資訊安全管理準則

六、國家資通訊安全發展方案

七、ISO/IEC 27001(Information technology — Security techniques — Information security management systems — Requirements)

八、CNS 27001

參、適用範圍

本處員工(含非編制人員、職務代理人、工讀生)、第三方人員(含學員、訪客、委外廠商)及其他與本處有業務往來之外部機關，所涉及之資訊安全及個人資料蒐集、處理或利用相關作業。

肆、權責

一、處長負責本政策之核定。

二、各單位主管負責督導資訊安全及個人資料保護相關管理規範之執行。

三、各權責單位負責制訂所屬業務之資訊安全及個人資料保護相關使用與管理規範。

四、本處員工應充分了解本政策及相關規範，並克盡保護本處資訊安全及個人資料保護之責。

五、接觸本處機敏業務資料之相關人員，如有任何危及資訊安全或侵害個人資料之行為，將視情節輕重依本處之相關規定進行議處或追究其行政、民事及刑事責任。

伍、名詞解釋

一、機密性（Confidentiality）：確保所欲保護的資訊，避免未經授權的存取，或無意的洩漏。

二、完整性（Integrity）：確保資訊內容與處理方法為正確與一致性。

三、可用性（Availability）：確保經授權的使用者在需要時可取得資訊與使用設備。

四、法律遵循性（Legitimacy）：確保所欲保護的資訊內容，符合法律法規要求及上級主管機關之資訊安全暨個人資料保護期望。

五、ISO/IEC 27001(Information technology — Security techniques — Information security management systems — Requirements)：資訊技術-安全技術-資訊安全管理系統-要求事項。

陸、管理項目

一、成立專責組織，負責建立並持續推動資訊安全暨個人資料保護管理制度，確認本政策之實施及配置相當資源，並確保個人資料蒐集、處理或利用程序符合相關法規要求。

二、確保本處資訊資產及個人資料之機密性、完整性、可用性與法律遵循性。

三、配合各項內部與外部議題，調整各項適用本處之資訊安全及個人資料保護管理制度要求之落實。

四、資訊安全管理制度及個人資料保護框架及施行程序，另訂定「資訊安全暨個人資料保護管理規範」以為依循。

柒、公布實施

本政策應依業務變動、技術發展及風險評鑑之結果，持續改善其有效性及適切性，以符法令法規、技術及本處營運要求，奉處長核定後實施，修正時亦同