:::跳到主要內容
回首頁 網站導覽 English 財政部全球資訊網

  • 熱門搜尋:
  • 字級大小
x
首頁 > 財政業務紀實 > 財政資訊 > 財政資訊稽核及資訊安全管理
:::

財政業務紀實

:::
字體小 icon 字體中 icon 字體大 icon 彈窗列印設定
財政資訊稽核及資訊安全管理

發展歷程

1.72年4月19日於財政部財稅資料中心成立「電子作業稽核小組」,推動建立財政部「電子作業稽核制度」,擬定「電子作業災變回復計畫檢查要項」據以實施檢查。嚴格管制屬敏感性較高之各資訊系統,防止洩密及電腦犯罪。

2.76年設置臨編之財政部資訊作業「企劃部門」賡續規劃建置財政部及所屬機關(構)「資訊稽核」制度。

3.78年於財政部財稅資料中心成立「企劃稽核小組」,辦理企劃與資訊稽核業務,並推動部屬機關辦理資訊內部稽核業務,由該中心負責管理財政部資訊稽核業務。

4.91年6月財政部財稅資料中心「企劃稽核工作小組」改制為「稽核小組」,復於92年3月擴編為「資訊安全控制小組」賡續辦理資訊稽核業務,並推動部屬機關加強辦理資訊安全管理及資訊內部與外部稽核業務。

5.100年7月配合財稅資料中心內部業務調整,「資訊安全控制小組」移編「第五組第5科」賡續辦理資訊稽核業務。

6.102年1月配合行政院組織改造,於財政部財稅資料中心綜合規劃組設立資安管理科,賡續推動部屬機關資通訊安全管理、資訊稽核及個人資料管理安全等業務。

7.105年10月成立資安健檢及數位鑑識團隊,由財政部財政資訊中心、關務署、國有財產署及臺灣銀行等派員組成,協助財政部及所屬機關(構)資訊系統之安全健檢作業,以提升財政部及所屬機關(構)自主資訊安全防禦能量。

8.112年財政資訊中心導入紅隊演練,並規劃後續每2年辦理演練作業。透過演練結果掌握駭客可能之入侵管道,及入侵後之橫向攻擊方式,全面檢視財政部稅務系統可能存在之風險,避免單一系統遭入侵後可向其他系統發起攻擊的可能性。

績效與成果

1.資訊安全管理系統(ISMS)認證

  • 95年11月財政部財稅資料中心以綜合所得稅查調管理系統及其相關之國稅平台、內部網路等為範圍建置ISMS,並獲頒ISO 27001:2005證書。

  • 98年11月進行3年1次的ISMS重審作業,獲得英國標準協會(bsi)以「零缺失」通過重審認證作業。

  • 101年9月進行3年1次的ISMS重審作業,獲得英國標準協會(bsi)審查通過,以「零缺失」通過重審認證作業。

  • 102年3月擴大ISMS驗證範圍至財政部財政資訊中心及五地區國稅局,同年4月取得六合一(財政部財政資訊中心及五地區國稅局)ISO 27001:2005證書。

  • 104年4月英國標準協會(bsi)至財政部財政資訊中心進行個人資料管理制度認證作業,並通過認證取得BS 10012:2009證書。

  • 配合ISO 27001驗證標準改版,於104年9月取得六合一(財政部財政資訊中心及五地區國稅局)ISO 27001:2013證書。

  • 106年9月財政部財政資訊中心擴大ISMS驗證範圍至全機關。

  • 107年9月進行3年1次ISMS重審作業,獲得英國標準協會(bsi)審查通過,取得新ISO 27001:2013證書。

  • 110年9月進行3年1次ISMS重審作業,並擴大ISMS驗證範圍至財政部財政資訊中心支援服務室所管之財政部系統,獲得英國標準協會(bsi)審查通過,取得新ISO 27001:2013證書。

  • 111年4月配合資通安全管理法規定,財政部財政資訊中心資訊安全管理系統完成公正第三方驗證,並持續維持ISO 27001:2013證書有效性。

2.辦理外部稽核

  • 定期對部屬機關實施資安外部稽核,獲行政院國家資通安全會報於95年7月31日第11次委員會評定「辦理成效斐然」。

  • 96年財政部資通訊安全稽核人員會同行政院國家資通安全會報稽核服務團,赴財政部台北區支付處、台灣省北區國稅局及高雄關稅局等機關進行年度資通訊業務稽核;各機關落實辦理資安稽核業務,評定結果「非常完整」。

  • 97年會同行政院國家資通安全會報稽核服務團,至財政部台灣省中區國稅局、台中市地方稅務局及台中關稅局等機關進行年度資通訊業務稽核;各機關均落實辦理資安稽核業務,評定結果「非常完整」。

  • 98年會同行政院國家資通安全會報稽核服務團,進行年度資通訊業務之稽核;各機關落實辦理資安稽核業務,財政部關稅總局、賦稅署(中部辦公室)、臺灣銀行及臺灣菸酒股份有限公司評定結果「非常完整」。

  • 99年會同行政院國家資通安全會報稽核服務團,赴財政部所屬三個機關進行年度資通訊業務稽核;各機關落實辦理資安稽核業務,評定結果基隆關稅局及臺北關稅局為「非常完整」,中國輸出入銀行為「尚屬完整」。

  • 100年會同行政院國家資通安全會報稽核服務團,赴財政部所屬三個機關進行年度資通訊業務稽核;各機關落實辦理資安稽核業務,評定結果財政部財稅資料中心為「非常完整」,國庫署及國有財產局為「尚屬完整」。

  • 103年起每籌組「財政部資通安全稽核團隊」,辦理財政部所屬機關(構)資通訊安全實地稽核作業,透過稽核程序檢視受稽核機關(構)資通安全工作辦理情形,協助受稽機關(構)落實與強化資通安全防護工作之完整性及有效性。

  • 111年起財政部財政資訊中心對於核心系統招標案之廠商每年稽核1次,對於非核心系統招標案之廠商至少每3年稽核一次。

3.辦理財政部惡意電子郵件社交工程演練:每年對財政部及所屬各機關(構)施以惡意電子郵件社交工程演練,提高同仁資安警覺性、強化電子郵件社交工程防護能力,透過演練檢視缺失,俾精進整體資安防護作為。

4.資安健檢及數位鑑識團隊

  • 每年執行本部及所屬對外網站之滲透測試作業,並配合行政院或財政部資通安全稽核作業,進行受檢機關(構)資安健診作業。

  • 107年12月14日於「2018 HITCON Defense 企業資安攻防大賽」獲亞軍殊榮。

  • 108年12月27日榮獲臺灣數位鑑識發展協會頒發「數位鑑識發展擊出貢獻奬(機關團體)」。

5.辦理資通訊安全教育訓練:97年起每年定期舉辦「財政部高階主管資安宣導及研討會議」,針對政府資通訊安全政策及資安事件、資安相關法律案例探討及資安發展趨勢分析與解決方案等主題進行宣導。