:::回首頁English網站導覽聯絡方式加入我的最愛
:::
Back
資訊安全
財政部關務署基隆關資訊安全政策
列印圖示友善列印 [檔案下載統計] 分享到臉書 分享到噗浪 分享到Google+
壹、說明

海運貨物通關自動化系統及其相關業務為財政部關務署基隆關(以下簡稱「本關」)之核心業務,為保護本關此核心業務之相關資訊資產(資訊資產包括資料、系統、設備等)之安全,防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件,以確保本關資訊處理作業能安全有效地運作,進而保障海運貨物通關業務,特制訂資訊安全政策(以下簡稱本政策)。

貳、依據

本政策係依據「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」、「財政部暨所屬機關(構)資訊安全管理準則」、「財政部關稅總局暨各關稅局資訊安全管理作業規定」、財政部關稅署資訊安全政策、關稅法及電腦處理個人資料保護法等有關法令與規定,考量通關業務需求訂定。

參、適用範圍

本政策適用於本關所有同仁(含約聘人員、工讀生、技工友、替代役男)、外部人員(包含簽約廠商、委外廠商等)及所有相關資訊資產。

肆、定義

資訊安全之本質大致可歸為以下3類:

  1. 機密性-Confidentiality:
    使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。
  2. 完整性-Integrity:
    保護資產的準確度(accuracy)和完全性(completeness)的性質。
  3. 可用性-Availability:
    經授權個體因應需求之可存取及可使用的性質。

除了以上3項基本性質外尚可依業務狀況考量認證性(authenticity)、可歸責性(accountability)、不可否認性(non-repudiation)或可靠性(reliability),其說明如下:

  1. 認證性-Authenticity:
    確保使用者登入時有適當的驗證程序。
  2. 可歸責性-Accountability:
    確保使用者執行任何動作均有適當的軌跡可追蹤至執行者。
  3. 不可否認性-Non-repudiation:
    確保使用者無法否認於系統上完成的交易。
  4. 可靠性-Reliability:
    確保作業執行皆有一致結果。

伍、資訊安全願景

提供便捷安全的通關服務

陸、資訊安全管理指標

為達成本關對資訊安全維護的期許與要求,本關將以本政策為基礎,依據組織發展需要,並考量資訊資產風險,建立一個完整、可行、有效之資訊安全管理系統,以為本關資訊安全提供最佳保障,並依此訂定以下指標,以期能有效地監控整體資安制度的有效性:

  1. 機密性
    • 海運通關系統及關務行政系統應有良好帳號權限控管機制,每年至少需清查帳號權限1次。
    • 每年因報關資料洩漏之資訊安全事件少於3次。
    • 重大資安事件(如:機密資料外洩、遭駭客攻擊)發生次數每年低於2次。
    • 海運通關系統及關務行政系統未經授權存取之事件每季0次。
    • 確保相關機密資訊均有適當防護程序,且每年應至少進行1次機密等級之重新審視。
  2.  完整性
    • 資訊系統的存取權限、威脅與弱點要加以控管,以維持其完整性。
    • 資訊資產價值為3及4之伺服器,其重大Windows Update漏洞及技術服務中心通知之「漏洞/資安訊息通告」發布後,需於1個工作日內完成,全年目標達成率90%以上。
  3. 可用性
    • 確保本關人員所使用海運貨物通關之基礎網路服務達到全年99%以上之可用性。
    • 每年至少進行1次檢討、維護、測試營運持續經營計畫,結果應證明計畫可達到目標回復時間之要求。

柒、責任劃分

  1. 資訊安全小組:由本關資訊安全長擔任召集人組成,負責本政策增修之審核。
  2. 本關各組、室、分關、辦事處應透過適當程序落實本政策之要求。
  3. 所有同仁、簽約廠商及委外廠商都有責任遵循本政策。
  4. 上述人員都有責任透過適當通報機制,通報所發現之資訊安全意外事故或可疑之資訊安全弱點。

捌、資訊安全責任

  1. 資訊安全小組應定期召開管理審查會議,審核本政策之修訂,以確保本政策符合現行需求。
  2. 本關高階主管應積極參與資訊安全管理活動,提供對資訊安全之支持及承諾。
  3. 本關應定期提供同仁資訊安全訓練課程,提昇人員資訊安全認知。
  4. 本關為達到海關之願景,符合政策目標,應制定風險評估暨管理程序,進行風險評估與管理,以有效管理資訊資產面臨之風險,降低風險至可接受範圍。
  5. 本關所有相關同仁皆須應遵循本關資安事件通報機制,通報所發現之資訊安全事件或資訊安全弱點。
  6. 本關所有相關同仁若未遵循本政策或發生任何違反本政策之行為,將依相關規定處置。
  7. 本關所有委外廠商皆須簽署保密協議書,並遵循本政策以及相關程序之規定,不得未經授權使用或濫用本關之各類資訊資產。

玖、資訊安全政策之修訂與公告

本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。

中華民國 102 年 01 月 28 日
[基隆關]