IRS — 安全峰會合作夥伴今天公佈了一項特殊的新樣本安全計劃,旨在幫助稅務專業人士(尤其是那些小規模的)保護其數據和信息。
該特殊計劃,稱為書面信息安全計劃 WISP,由一份29頁的文件進行了概述,該文件由安全峰會成員編寫,包括稅務專業人士、軟件和行業合作夥伴、州稅務團體與國稅局的代表。
聯邦法律要求所有專業報稅人士制定和實施數據安全計劃。安全峰會小組(美國國稅局、各州以及全國稅務行業之間的公私合作夥伴關係)發現一些稅務專業人士在製定書面安全計劃方面持續遭遇挫折。
為響應這一需求,由稅務專業人士工作組帶領的峰會,花費數月時間制定了一份特殊的樣本文件,讓稅務專業人士能夠迅速將重心放在製定自己的書面安全計劃上。
「稅務專業人士在我們國家的稅務系統中發揮著至關重要的作用,」美國國稅局代理報稅辦公室主任兼峰會稅務專業小組聯合負責人卡羅爾‧坎貝爾(Carol Campbell)表示。 「但對於許多稅務專業人士來說,制定安全計劃要從何處開始,很難著手。峰會成員協力製定了本指南,在製定書面信息安全計劃時需要考慮的諸多因素方面一步一步地指導稅務專業人士,從而保護其業務和客戶以及遵守聯邦法律。」
每年,安全峰會合作夥伴都會推出針對稅務專業人士的「保護您的客戶;保護您自己」夏季活動。此稿是今年該系列五篇提示中的第四篇。此系列新聞稿每週二發布,以配合全國稅務論壇,幫助教育稅務專業人士安全及其它重要課題。
在報稅行業想要成功經營,涉及方方面面,包括查閱稅法變化、了解軟件更新以及管理和培訓員工。而一個經常被忽視但卻很重要的部分就是創建WISP。
擁有一個WISP可以保護企業和客戶,同時在發生安全事件時提供行動藍圖。此外,如果發生可能嚴重破壞稅務專業人士開展正常業務能力的其它事件,包括火災、洪水、龍捲風、地震和盜竊,WISP也可以提供幫助。
「任何經營稅務業務的人都無法繞過它。制定書面安全計劃是一個良好的行業慣例,而且是法律要求的,」峰會稅務專業團隊的聯合負責人兼電子稅務管理諮詢委員會(ETAAC)的新任主席、來自Drake軟件公司的賈里德·貝盧(Jared Bellew)表示。 「該樣本為您制定計劃提供一個出發點,考慮了有效計劃中需包含的風險因素,並提供了在發生安全事件、數據丟失和盜竊時可採用的行動藍圖。」
稅務專業人士所面臨的安全問題可能是令人生畏的。峰會團隊盡可能地努力使這個文件易於使用,這就包括了幫助稅務專業人士獲取所需信息的特殊版塊。
「我們盡量避免使用複雜的專業術語,從而使該文件對稅務專業領域的更多人具有實用價值,」坎貝爾表示。 「這個文件並不是書面信息安全計劃的終稿,它旨在為稅務專業人士為其業務起草計劃、提供了一個理解與嘗試的出發點。」
稅務專業人士在製定WISP 時,通常不知從何處著手。因此,由稅務專業工作組領導的安全峰會,在軟件和稅務領域的協助下,制定了一個語言通俗易懂的樣本計劃,稅務專業人士可以用來製作自己的WISP。樣本計劃可在國稅局官網IRS.gov上獲得。
安全計劃應適合公司的規模、活動範圍、複雜性及所處理的客戶數據的敏感度。不存在適合所有情況的WISP。例如,與由10位合夥人組成的會計師事務所相比,個體經營者可以使用更精簡和簡化的計劃,這在安全峰會小組的新樣本WISP中有所體現。
制定WISP
一個好的WISP 應該關註三個方面︰
- 員工管理和培訓。
- 信息系統。
- 監測和管理系統故障。
聯邦貿易委員會的數據洩露響應指南是一個很好的資源。
- 作為該計劃的一部分,聯邦貿易委員會要求每家公司︰
- 指定一名或多名員工來協調其信息安全項目。
- 識別和評估公司運營各個相關領域的客戶信息的風險,並評估當前控制這些風險的保障措施的有效性。
- 設計和實施保障措施項目,並定期監測和測試。
- 選擇能夠維護適當保護措施的服務供應商。
- 考慮到相關情況來評估和調整計劃,包括公司業務或運營的變化,以及安全測試和監控的結果。
跟進
一個好的安全計劃需要定期維護和更新。以下是維持有效WISP的提示:
稅務專業人員完成WISP後,應將其 WISP 保存為其他人可以輕鬆閱讀的格式,例如PDF或Word。同時鼓勵將 WISP用於員工培訓。為以防災害,建議最好將副本進行異地或云端儲存。
要認識到WISP是一個需要持續更新的文件。重要的是要定期檢查和更新任何安全計劃,同時調整計劃以適應稅務專業人士業務的規模、範圍以及復雜性的變化。
作為安全計劃的一部分,國稅局還建議稅務專業人士制定數據盜竊響應計劃,其中包括聯繫國稅局公共事務聯絡處以報告盜竊事件。另請參閱上面列出的聯邦貿易委員會數據洩露響應要求。
其它資源
稅務專業人士還可以通過查看國稅局第4557號出版物,保護納稅人數據和美國國家標準與技術研究院提供的小企業信息安全︰基礎知識來獲得有關安全建議的幫助。面向稅務專家、個人和企業的國稅局身份盜竊中心頁面也提供了重要的資訊。
第5293號出版物,稅務專業人士的數據安全資源指南,匯總了國稅局官網IRS.gov 上可用的數據盜竊信息。此外,稅務專業人士應通過訂閱稅務專業人士電子新聞和社交媒體與美國國稅局保持聯絡。
更多信息,請訪問國稅局官網IRS.gov。