壹、說明

• 貨物通關自動化系統及其相關業務為本署核心業務。為保護此核心業務相關資訊資產之安全（資訊資產包括資料、系統、設備等），免於因外在威脅，或內部人員不當管理及使用，致遭受竄改、揭露、破壞或遺失等風險，特制訂資訊安全政策（以下簡稱本政策）。

貳、依據

• 本政策係依據「資通安全管理法」、「關稅法」、「個人資料保護法」、「財政部及所屬機關構資通安全政策及組織管理規範」等有關法令與規定，考量通關業務需求訂定。

參、願景

• 本署願景如下：

  
  

  提供便捷安全的通關服務

肆、資訊安全政策

• 一、資訊安全本質

  
  

  資訊安全之本質大致歸為以下三類：
  

  (一)

  可用性－Availability：

  確保各項資訊資產能提供即時且正確的服務，以滿足使用者需求。

  
  

  (二)

  完整性－Integrity：

  將資訊資產依重要性分類，並提供適當保護以確保資訊資產完整性。

  
  

  (三)

  機密性－Confidentiality：

  適當劃分資料機密等級，並依其機密等級予以適當規範及保護。

  
  

  依據本署核心業務特性及願景，資訊安全即為確保貨物通關自動化系統及其相關業務資訊資產之完整性、可用性與機密性。

  
  
  

  二、目的

  
  

  為達本署對資訊安全維護之期許與要求，本署將以本政策為基礎，依據組織發展需要，並考量資訊資產風險，建立一個完整、可行、有效之資訊安全管理系統（Information Security Management System，以下簡稱ISMS），以為本署資訊安全提供最佳保障。
  
  符合ISO27001標準下列控制目標:依照營運要求及相關法律與法規，提供管理階層對資訊安全之指示與支持。-Clause A.5.1
  1. 綜合規劃組、稽核業務組、關務查緝組、通關業務組、稅則法制組、統計室、會計室及政風室對貨物通關自動化系統(含：關港貿單一窗口、預報貨物資訊系統)之使用。
  2. 關務資訊組所負責貨物通關自動化系統之開發、維護、使用、操作，及相關基礎設施安全控制。
  
  

  
  
  

  三、政策

  
  

  為達成上述目的，本署以相關政策為基礎，並依此訂定「資訊安全管理系統目標清單」(如附件一)及「有效性量測表」(如附件二) 之指標，以期能有效地監控整體資安制度有效性。
  

伍、適用範圍

• 本政策適用於本署所有同仁（含技工友、約聘/僱人員及約僱職代人員等）、各關、簽約廠商、委外廠商及所有相關資訊資產。

陸、責任劃分

• 一、本署高階主管應積極參與資訊安全管理系統（ISMS）活動，提供對資訊安全管理系統（ISMS）之支持。

  二、關務署暨各關資通安全處理小組負責本署資訊安全之維護與落實，關於該小組職責，請參考資訊安全組織之職掌與劃分程序書。

  三、本署各組（室）應透過適當程序落實本政策要求。

  四、所有同仁、各關、簽約廠商及委外廠商皆應遵循本政策。

  五、上述人員皆應透過適當通報機制，通報所發現之資訊安全意外事故或可疑之資訊安全弱點。

柒、風險評估與管理

• 本署為達到組織願景，符合定量及定性化政策目標，特制定風險評估暨管理程序書，以有效管理資訊資產面臨之風險，降低風險至可接受範圍。

捌、資訊安全政策之遵循

• 一、本署所有同仁、各關、簽約廠商及委外廠商未遵循本政策或相關資訊安全規定，或行使其他任何危及本署資訊安全之行為，都將訴諸適當懲罰程序或法律行動；對於資訊安全法令或技術提供改進意見，經執行確具成效者，應給予適當獎勵。

  二、本署所有同仁、各關、簽約廠商及委外廠商皆應簽署資訊安全責任保密同意書，並瞭解於本署工作期間所有取得資訊皆為本署資產，且不被允許使用於其他未授權之用途上。

玖、資訊安全政策之修訂

• 本政策應至少每年評估1次，以反映政府法令、技術及業務等最新發展現況，確保資訊安全實務作業有效性。

拾、 附件

• 一、資訊安全管理系統目標清單

  二、有效性量測表