安全峰会合作伙伴敦促税务专业人士制定数据安全计划
FS-2022-34,2022 年 8 月
随着数据安全事件的不断发生,美国国税局、州税务机构和税务行业,以安全峰会的形式协力合作,敦促税务专业人士制定安全计划。
国税局还提醒税务专业人士,制定安全计划不仅是好的行业操作,而且由联邦贸易委员会所执行的联邦法律要求所有专业代报税人士创建和实施书面数据安全计划。
每年,安全峰会合作伙伴都会推出针对税务专业人士的“保护您的客户; 保护您自己”的夏季活动。本情况说明书补充了与全国税务论坛同期所发布的五篇新闻稿系列,从而帮助教育税务专业人士安全及其它重要课题。
在代报税行业想要成功经营,涉及方方面面,包括查阅税法变化、了解软件更新以及管理和培训员工。而一个经常被忽视但却很重要的部分就是创建书面信息安全计划 ,亦称WISP。
拥有一个WISP可以保护企业和客户,同时在发生安全事件时提供行动蓝图。此外,如果发生可能严重破坏税务专业人士开展正常业务能力的其它事件,包括火灾、洪水、龙卷风、地震和盗窃,WISP也可以提供帮助。
税务专业人士在制定WISP 时,通常不知从何处着手。因此,由税务专业工作组领导的安全峰会,在软件和税务领域的协助下,制定了一个语言通俗易懂的样本计划,税务专业人士可以用来制作自己的WISP。样本计划(英文)可在国税局官网IRS.gov上获得。
安全计划应适合公司的规模、活动范围、复杂性及所处理的客户数据的敏感度。不存在适合所有情况的WISP。例如,与由10位合伙人组成的会计师事务所相比,个体经营者可以使用更精简和简化的计划。
制定WISP
一个好的WISP 应该关注三个方面:
- 员工管理和培训。
- 信息系统。
- 监测和管理系统故障。
联邦贸易委员会的数据泄露响应指南(英文)是一个很好的资源。
作为该计划的一部分,联邦贸易委员会要求每家公司:
- 指定一名或多名员工来协调其信息安全项目。
- 识别和评估公司运营各个相关领域的客户信息的风险,并评估当前控制这些风险的保障措施的有效性。
- 设计和实施保障措施项目,并定期监测和测试。
- 选择能够维护适当保护措施的服务供应商。
- 考虑到相关情况来评估和调整计划,包括公司业务或运营的变化,以及安全测试和监控的结果。
跟进
一个好的安全计划需要定期维护和更新。以下是维持有效WISP的提示:
- 税务专业人员完成WISP后,应将其 WISP 保存为其他人可以轻松阅读的格式,例如PDF或Word。同时鼓励将 WISP用于员工培训。为以防灾害,建议最好将副本进行异地或云端储存。
- 要认识到WISP是一个需要持续更新的文件。重要的是要定期检查和更新任何安全计划,同时调整计划以适应税务专业人士业务的规模、范围以及复杂性的变化。
- 作为安全计划的一部分,国税局还建议税务专业人士制定数据盗窃响应计划,其中包括联系国税局公共事务联络处(英文)以报告盗窃事件。另请参阅上面列出的联邦贸易委员会数据泄露响应要求(英文)。
其它资源
税务专业人士还可以通过查看国税局第4557号出版物,保护纳税人数据(英文)和美国国家标准与技术研究院提供的小企业信息安全:基础知识(英文)来获得有关安全建议的帮助。面向税务专家、个人和企业的国税局身份盗窃中心页面也提供了重要的资讯。
第5293号出版物,税务专业人士的数据安全资源指南(英文),汇总了国税局官网IRS.gov 上可用的数据盗窃信息。此外,税务专业人士应通过订阅税务专业人士电子新闻(英文)和社交媒体(英文)与美国国税局保持联络。
更多信息,请访问国税局官网IRS.gov。