跳到主要內容區塊

個人資料保護暨資通安全政策

1. 目的

宜蘭縣政府財政稅務局(以下簡稱本局)為強化個人資料保護及資通安全管理,確保機敏資訊、個人資料及相關系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,特訂定個人資料保護暨資通安全政策(以下簡稱本政策),本政策未規定事項依政府其他資通安全、個人資料保護法規辦理,以達成資訊之機密性、完整性、可用性與適法性,俾建立資通安全管理與個人資料保護機制,以強化資通安全防護水準。

2. 名詞解釋

本政策所稱資訊安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。

  • 2.1 機密性(Confidentiality)指確保只有經過授權的人才能存取資訊資產。
  • 2.2 完整性(Integrity)指確保資訊資產其處理方法的準確性及完整 (Completeness)。
  • 2.3 可用性(Availability)指確保授權的使用者在需要時,可以使用資訊資產。
  • 2.4 適法性(Legality)符合本國相關法令規範。

3. 適用範圍

本政策適用於各項資訊資產(含個人資料資產)及其資訊使用者,資訊使用者係包含員工、建置維護廠商及其他經授權使用資訊資產之人員。

4. 依據

本政策係依據「資通安全管理法」(簡稱資安法)及其子法、「個人資料保護法」(簡稱個資法)及其施行細則、「行政院及所屬各機關資訊安全管理要點」,「行政院及所屬各機關資訊安全管理規範」、行政院頒布「國家資通訊安全發展方案」等有關法令、計畫,參酌「資訊安全管理系統標準(ISO/CNS 27001:2013)」及「個人資料管理制度(BS 10012 :2017)」,並考量本局業務需求,據以制訂。

5. 組織

為統籌個人資料保護及資通安全管理等事項之協調、規劃、稽核及推動,特成立跨單位之資通安全推動組織,幕僚作業由計畫處負責,並依下列分工原則,配賦有關單位及人員權責:

5.1 個人資料保護

  • 5.1.1 個人資料保護政策之擬議。
  • 5.1.2 「個人資料管理制度」之推展。
  • 5.1.3 個人資料隱私風險之評估及管理。
  • 5.1.4 個人資料保護意識提升及教育訓練計畫之擬定。
  • 5.1.5 「個人資料管理制度」基礎設施之評估。
  • 5.1.6 「個人資料管理制度」適法性與合宜性之檢視、審議及評估。
  • 5.1.7 其他個人資料保護、管理之規劃及執行事項。

5.2 資通安全管理

  • 5.2.1 資通安全政策、計畫及技術規範之研議、建置及評估等事項,由計畫處負責辦理。
  • 5.2.2 「資訊安全管理制度」之推展。
  • 5.2.3 資料及資訊系統之安全需求研議、管理、有效性量測及保護等事項,由各業務單位負責辦理。
  • 5.2.4 資訊機密維護及安全稽核等事項,由政風處會同相關單位負責辦理。

有關「資訊安全管理系統」驗證實施範圍及推動組織應另訂「YL-IMS-PR-12 適用性聲明書」及「YL-IMS-PR-01 組織與分工程序書」。

6. 實施範圍

有關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效:

相關實施程序應另訂「YL-IMS-PR-02 資訊安全實施程序書」。

7. 內容

7.1 個人資料保護

  • 7.1.1 當事人依個資法第十條及第十一條第一項至第四項所定請求之考核。
  • 7.1.2 個資法第十一條第五項及第十二條所定通知之考核。
  • 7.1.3 個資法第十七條所定公開或供公眾查閱。
  • 7.1.4 個資法第十八條所定個人資料檔案安全維護事項督導。
  • 7.1.5 個資法法令之諮詢。
  • 7.1.6 公務機關間個人資料保護業務之協調聯繫。
  • 7.1.7 單位內個人資料損害預防及危機處理應變之通報。
  • 7.1.8 非自動化方式檢索個人資料安全事件之通報。
  • 7.1.9 重大個人資料外洩事件之民眾聯繫單一窗口。
  • 7.1.10 本局個人資料保護方針及政策之執行、單位內個人資料保護之自行查核。
  • 7.1.11 其他單位內個人資料保護管理之規劃及執行。

7.2 資通安全

  • 7.2.1 導入「資通安全管理系統」及通過公正第三方驗證。
  • 7.2.2 有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。
  • 7.2.3 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。
  • 7.2.4 防護未經授權的修改以保護資訊及資通系統之完整性。
  • 7.2.5 確保經授權之使用者當需要時能使用資訊及資通系統。
  • 7.2.6 符合法令與法規要求。
  • 7.2.7 評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。
  • 7.2.8 落實資通安全教育訓練,以提高員工之資訊安全意識。
  • 7.2.9 落實人員辦理業務涉及資通安全事項之獎懲機制。

8. 實施與修正

  • 8.1 本政策每年應至少評估一次,以反映政府機關各項安全政策、法令、技術及業務之最新狀況,確保安全實務作業之可行性及有效性。