壹、說明

• 貨物通關自動化系統及其相關業務為本署核心業務。為保護本署此核心業務之相關 資訊資產之安全（資訊資產包括資料、系統、設備等），免於因外在之威脅，或內 部人員不當之管理與使用，致遭受竄改、揭露、破壞或遺失等風險，特制訂資訊安 全政策（以下簡稱本政策）。

貳、依據

• 本政策係依據「資通安全管理法」、「關稅法」、「個人資料保護法」、 「財政部及所屬機關構資通安全政策及組織管理規範」等有關法令與規定，考量通關業務需求訂定。

參、願景

• 本署願景如下：
  提供便捷安全的通關服務

肆、資訊安全政策

• • 一、資訊安全本質

    • 資訊安全之本質大致歸為以下三類：

      • 1. 可用性－Availability： 確保各項資訊資產能提供即時且正確的服務，以滿足使用者之 需求。

      • 2. 完整性－Integrity： 將資訊資產依重要性分類，並提供適當的保護以確保資訊資產 的完整性。

      • 3. 機密性－Confidentiality： 適當的劃分資料的機密等級，並依其機密等級予以適當的規範 及保護。依據本署核心業務之特性及願景，資訊安全即為確保 貨物通關自動化系統及其相關業務資訊資產之完整性、可用性 與機密性。

  • 二、目的

    • 為達本署對資訊安全維護的期許與要求，本署將以本政策為基礎，依據組織發 展需要，並考量資訊資產風險，建立一個完整、可行、有效之資訊安全管理系 統（Information Security Management System，以下簡稱ISMS），以 為本署資訊安全提供最佳之保障。符合ISO27001標準下列控制目標：依照營運 要求及相關法律與法規，提供管理階層對資訊安全之指示與支持。 -Clause A.5.1
      驗證範圍：

      • 1. 綜合規劃組、稽核業務組、關務查緝組、通關業務組、稅則法制組、 統計室、會計室及政風室對貨物通關自動化系統(含：關港貿單一窗 口、預報貨物資訊系統)之使用。
        2. 關務資訊組所負責貨物通關自動化系統之開發、維護、使用、操作， 及相關基礎設施安全控制。

  • 三、政策

    • 為達成上述目的，本署以相關政策為基礎，並依此訂定「資訊安全管理系統目標 清單」(如附件一)及「有效性量測表」(如附件二) 之指標，以期能有效地監控整 體資安制度的有效性。

伍、適用範圍

• 本政策適用於本署所有同仁（含技工友、約聘/僱人員及約僱職代人員等）、各關、簽約 廠商、委外廠商及所有相關資訊資產。

陸、責任劃分

• 1. 本署高階主管應積極參與資訊安全管理系統（ISMS）活動，提供對資訊安全管理系 統（ISMS）之支持。
  2. 關務署暨各關資通安全處理小組負責本署資訊安全之維護與落實，關於該小組之職責 ，請參考資訊安全組織之職掌與劃分程序書。
  3. 本署各組（室）應透過適當程序落實本政策之要求。
  4. 所有同仁、各關、簽約廠商及委外廠商皆應遵循本政策。
  5. 上述人員皆應透過適當通報機制，通報所發現之資訊安全意外事故或可疑之資訊安全 弱點。

柒、風險評估與管理

• 本署為達到組織之願景，符合定量及定性化政策目標，特制定風險評估暨管理程序書， 以有效管理資訊資產面臨之風險，降低風險至可接受範圍

捌、資訊安全政策之遵循

• 1. 本署所有同仁、各關、簽約廠商及委外廠商未遵循本政策或相關資訊安全規定， 或行使其他任何危及本署資訊安全之行為，都將訴諸適當之懲罰程序或法律行動； 對於資訊安全法令或技術提供改進意見，經執行確具成效者，應給予適當獎勵。
  2. 本署所有同仁、各關、簽約廠商及委外廠商皆應簽署資訊安全責任保密同意書， 並瞭解於本署工作期間所有取得之資訊皆為本署之資產，且不被允許 使用於其他未授權之用途上。

玖、資訊安全政策之修訂

• 本政策應至少每年評估1次，以反映政府法令、技術及業務等最新發展現況，確保資訊 安全實務作業之有效性。