字級:
:::
>回首頁>資訊安全政策
資訊安全政策
關港貿單一窗口資訊安全政策
民國100年10月21日
壹、說明

為保護「關港貿單一窗口」網站(以下稱本網站)核心業務之相關資訊資產之安全(資訊資產包括資料、系統、設備等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,特制訂資訊安全政策(以下簡稱本政策)。

貳、依據

本政策係依據「行政院及所屬各機關資訊安全管理要點」、「行政院及所屬各機關資訊安全管理規範」、「財政部暨所屬機關(構)資訊安全管理準則」及電腦處理個人資料保護法等有關法令與規定,考量通關業務需求訂定。

參、願景

提供便捷安全的通關服務

肆、資訊安全政策
一、
資訊安全本質
資訊安全之本質大致歸為以下三類:
( 1 )
可用性-Availability:
確保各項資訊資產能提供即時且正確的服務,以滿足使用者之需求。

( 2 )
完整性-Integrity:
資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。

( 3 )
機密性-Confidentiality:
適當的劃分資料的機密等級,並依其機密等級予以適當的規範及保護。
依據本網站核心業務之特性及願景,資訊安全即為確保貨物通關自動化系統及其相關業務資訊資產之完整性、可用性與機密性。

二、
目的
為達本網站對資訊安全維護的期許與要求,本網站將以本政策為基礎,依據組織發展需要,並考量資訊資產風險,建立一個完整、可行、有效之資訊安全管理系統(Information Security Management System,以下簡稱ISMS),以為本網站資訊安全提供最佳之保障。

符合ISO27001標準下列控制目標:依照營運要求及相關法律與法規,提供管理階層對資訊安全之指示與支持。-Clause A.5.1 驗證範圍:本網站資訊安全管理系統開發與維護,包含以下貨物通關自動化系統:
1. 海運貨物通關系統
2. 空運貨物通關系統
3. 海運EDI系統
4. 空運EDI系統
5. 貨物網際網路報關系
6. 空運快遞貨物簡易通關系統

三、
政策
為達成上述目的,本總局將相關政策分為定量與定性二類:
( 1 )
定量化政策包括:
1.
確保貨物通關自動化系統服務達到全年99%以上之可用性。
2.
資訊安全事件每半年發生率低於二次。
3.
貨物通關自動化系統之「Q&A單」(文件編號:0154029),自資料處理處收到後,需於五日內完成,全年目標達成率95%。
4.
確保相關之資訊安全措施或規範符合現行資訊安全管理標準、營運及相關法律與法規之要求(每半年至少查核一次)。
5.
維護、測試企業永續經營計畫之可行性(每半年至少測試一次)。
6.
應依其職務、責任並參照「政府機關(構)資訊安全責任等級分級作業施行計畫」所規範之資安教育訓練時數,適當授與全體員工資訊安全相關訓練。
7.
建立資訊資產風險評估作業,至少每年進行一次風險評估。
( 2)
定性化政策包括:
1. 加強內部控制,防止未經授權之不當存取,以確保資訊資產受適當的保護。
2. 適當保護資訊資產之機密性、完整性及可用性。
3. 確保資訊不會在傳遞過程中,或因無意間的行為透露給未經授權的第三者。
4. 確保所有資訊安全意外事故或可疑之安全弱點,都應依循適當通報機制向上反應,予以適當調查及處理。
伍、適用範圍

本政策適用於本網站所有專案相關人員、機關、簽約廠商、委外廠商及所有相關資訊資產。

陸、責任劃分
一、
本網站主管應積極參與資訊安全管理系統(ISMS)活動,提供對資訊安全管理系統(ISMS)之支持。
二、
本網站資通安全處理小組負責財政部關務署資訊安全之維護與落實,關於該小組之職責,請參考資訊安全組織之職掌與劃分程序書。
三、
網站應透過適當程序落實本政策之要求。
四、
本網站所有專案相關人員、機關、簽約廠商及委外廠商都有責任遵循本政策。
五、
上述人員都有責任透過適當通報機制,通報所發現之資訊安全意外事故或可疑之資訊安全弱點。
柒、風險評估與管理

本網站為達到組織之願景,符合定量及定性化政策目標,特制定風險評估暨管理程序書,以有效管理資訊資產面臨之風險,降低風險至可接受範圍。

捌、資訊安全政策之遵循
一、
本網站所有專案相關人員、機關、簽約廠商及委外廠商未遵循本政策或相關資訊安全規定,或行使其他任何危及本網站資訊安全之行為,都將訴諸適當之懲罰程序或法律行動;對於資訊安全法令或技術提供改進意見,經執行確具成效者,應給予適當獎勵。
二、
本專案所有相關人員應簽署「資訊安全責任保密同意書」,並瞭解於本網站所有取得之資訊皆為本專案之資產,且不被允許使用於其他未授權之用途上。
玖、資訊安全政策之修訂

本政策應至少每年評估一次,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。