全国税务安全意识周第五天:敦促税务专业人士更新书面信息安全计划,防范身份盗窃
IR-2024-308, 2024 年 12 月 6 日 , 华府 — 在全国税务安全意识周的最后一天,美国国税局及其安全峰会合作伙伴敦促税务专业人士重新评估保护自己和客户敏感信息的计划,因为身份窃贼窃取税务数据的企图有所增加。
企图提交虚假税表的身份窃贼,在寻找纳税人数据时不仅瞄准纳税人,他们还瞄准持有大量敏感纳税人数据的税务专业人士。今年,国税局已经收到税务专业人士提交的 250 多起数据泄露事件报告,影响了大约 200,000 名客户。
鉴于税务专业人员遭遇数据泄露的报告不断,安全峰会合作伙伴敦促从业人员查看最新更新的书面信息安全计划 (WISP)(英文)。
联邦法律要求税务专业人员制定书面计划,确定可预见的数据安全风险和保障措施,并制定在发生安全漏洞时采取的行动计划。为了简化这项复杂的任务,来自税务界的安全峰会成员组成的特别团队发布了一份更新的 WISP,税务专业人员可以将其用作应用于自己实践的路线图。
国税局还提醒纳税人,联邦法律要求采取额外的保障措施,如多因素身份验证 (MFA),以更好地保护自己和客户。MFA 提供了额外的安全层,以确保适当的人访问敏感帐户和系统。
“打击身份盗窃是一项集体努力,税务专业人员是保护纳税人信息的第一道防线,” 国税局局长Danny Werfel说。“数百万纳税人将他们的个人数据委托给税务专业人员,我们希望让税务专业人员尽可能轻松地了解他们需要做什么来保护自己和客户的信息安全。书面信息安全计划是税务专业人员防范数据泄露和身份盗窃的重要组成部分,有助于保护他们的客户和他们自己。”
WISP 可在国税局 《第5708号出版物, 为您的税务和会计实践创建书面信息安全计划》(英文)中找到,WISP指导税务专业人员完成制定计划的步骤,包括了解安全合规要求和专业责任。它还提供了一个示例模板,税务专业人员可以在为其业务起草计划时使用。
新版 WISP 是国税局与安全峰会合作伙伴一年合作的成果,其中包括多项更新,例如强调实施多因素身份验证的最佳实践。
在今天结束的第九届全国税务安全意识周(英文)期间,国税局、税务专业人士、税务软件和金融公司以及州税务机构组成的安全峰会合作伙伴将努力提高纳税人和税务专业人士对保护信息以防止身份盗窃重要性的认识。安全峰会成立于 2015 年,旨在通过更好的公私部门协调、加强税务界的内部保护以及提高公众对安全威胁的认识来打击与税收有关的身份盗窃。
税务专业人士在保护纳税人信息的前线。 峰会合作伙伴强调了税务专业人士(无论其业务规模如何)应采取的几个关键步骤,以保护其系统并遵守联邦标准。
WISP和多因素身份验证至关重要且必要
峰会税务专业团队的成员制定了一份实用指南,帮助从业人员快速制定自己的 WISP,为信息安全提供蓝图。
“这份实用指南包含示例模板,为大型或小型企业提供了一个起点,并且可以根据公司的规模、活动范围、复杂性和客户数据敏感性进行扩展,” 国税局代报税人办公室主任兼安全峰会税务专业人士工作组联合主席Kimberly Rogers表示。“没有一种万能的WISP。个体从业人员可以使用比10个合伙人的会计师事务所更简短、更简化的计划。这种灵活性反映在出版物中包含的示例政策和预填充模板中。”
解决税务专业人士的安全问题可能既困难又昂贵。 WISP解决了包含在有效计划中的风险考虑因素,并提供了发生安全事件、数据丢失或盗窃时适用的行动蓝图。
税务专业人士可以查看《国税局出版物 5709,如何为数据安全创建书面信息安全计划》(英文)来了解有关WISP的更多信息。
除了要求拥有 WISP之外,国税局还提醒税务业界,联邦贸易委员会去年更新了其保障标准,现在要求税务专业人士使用多因素身份验证来保护客户信息。 多重身份验证,可包括向用户发送文本/短信验证码或询问其他问题以确认登录系统人员的身份,提供了额外一层的安全保护,以确保适当的人员访问敏感帐户和系统。
“制定和维护一个有弹性的安全计划不仅仅是一项要求 — 它还是税务专业人士及其客户的保障,”全国计算机化税务处理商协会主席、帮助开发 WISP 的峰会成员之一 Jared Ballew 表示。
“安全没有单一的灵丹妙药;有效的保护需要多层防御,”Ballew 继续说道。“我们利用这些资源的目标是帮助税务专业人士创建和加强这些防御层,而 WISP 为启动或增强该过程提供了坚实的基础。安全峰会合作伙伴将继续致力于帮助每一位税务专业人士在当今的数字环境中保持主动性和保护性。”
国税局税务专业人士帐户: 保护专业人士及其客户的数据并节省时间
国税局和峰会合作伙伴还强调,帮助保护敏感信息免遭身份窃贼侵害的另一种方法是通过安全的在线工具,例如税务专业账户(英文)。 这些工具可以管理客户信息,以保护敏感的纳税人和财务数据免受网络威胁。
税务专业账户是一款安全、适合移动设备的数字自助服务应用程序,使税务专业人士能够代表纳税人行事、查看纳税人信息并更有效地管理其授权关系。
作为国税局转型努力的一部分,国税局将在未来继续为税务专业人士帐户添加新功能,以帮助税务专业人士安全高效地为客户服务。
目前, 税务专业人士可以使用税务专业人士帐户将授权书和税务信息授权请求直接发送到纳税人个人的国税局在线帐户。 一旦纳税人批准请求,就会实时处理 — 无需传真、邮寄、上传或长时间等待。
访问IRS.gov上的税务专业人士页面,了解有关电子服务、税务专业账户、雇主身份识别号码、申报、表格、第三方授权以及其他安全可靠的在线工具的更多信息,为您的客户提供服务。
数据泄露:最坏的情况发生时该怎么办
除了必要的书面信息安全计划外,国税局还建议税务专业人员制定行动计划,概述在发生数据泄露或被盗时应采取的措施。税务专业人员现在需要尽快向联邦贸易委员会报告影响 500 人或更多人的安全事件,但不得晚于发现之日起 30 天。
有效行动计划的一个关键要素是知道联系谁。除了向国税局报告数据丢失外,税务专业人员还应联系执法部门、相关州、客户和安全专业人员。
发生数据泄露时,可获得帮助的地方:
- 国税局公共事务联络处(英文)-国税局建议首先向当地的公共事务联络处报告数据盗窃。 联络处将代表税务专业人士通知国税局刑事调查部和内部其他人员。 速度至关重要。 如果报告迅速,国税局可以采取措施阻拦以客户名义提交的欺诈性税表。
- 联邦贸易委员会(英文) – 现在,涉及 500 人或更多人的数据泄露事件必须尽快向联邦贸易委员会报告,不得晚于发现之日起 30 天。
- 联邦调查局(英文)– 当地办事处。
- 特勤局(英文)– 当地办事处(如果有指示)。
- 当地警方 – 就数据泄露事件向警方提交报告。
联系税务专业人士准备州税表的州:
- 税务管理员联合会(英文) – 税务专业人士可以访问这个特殊的“报告数据泄露”网页来获取受害者向各州报告的指示。
- 州检察长(英文) – 大多数州要求将数据泄露情况通知州检察长。
其他资源
- 请访问 2024 年全国税务安全意识周(英文)了解更多信息。
- 有关防止税务信息被盗的更多信息,请访问安全峰会(英文)。
- 身份盗窃的受害者,可访问身份盗窃中心。
- 《出版物 4557,保护纳税人数据》(英文)
- 《出版物 5293,适用于税务专业人士的数据安全资源指南》(英文)
- 《出版物 4524, 纳税人安全意识》(英文)
- 美国国家标准与技术研究院 — 《小企业信息安全:基础知识》(英文)
- 联邦贸易委员会的小型企业网络安全(英文)。
税务专业人士应通过订阅税务专业人士电子新闻(英文)及其社交媒体网站(英文)来与国税局保持联系。