IRS — 安全峰会合作伙伴今天公布了一项特殊的新样本安全计划,旨在帮助税务专业人士(尤其是那些小规模的)保护其数据和信息。
该特殊计划,称为书面信息安全计划 WISP,由一份29页的文件进行了概述,该文件由安全峰会成员编写,包括税务专业人士、软件和行业合作伙伴、州税务团体与国税局的代表。
联邦法律要求所有专业报税人士制定和实施数据安全计划。安全峰会小组(美国国税局、各州以及全国税务行业之间的公私合作伙伴关系)发现一些税务专业人士在制定书面安全计划方面持续遭遇挫折。
为响应这一需求,由税务专业人士工作组带领的峰会,花费数月时间制定了一份特殊的样本文件,让税务专业人士能够迅速将重心放在制定自己的书面安全计划上。
「税务专业人士在我们国家的税务系统中发挥着至关重要的作用,」美国国税局代理报税办公室主任兼峰会税务专业小组联合负责人卡罗尔‧坎贝尔(Carol Campbell)表示。 「但对于许多税务专业人士来说,制定安全计划要从何处开始,很难着手。峰会成员协力制定了本指南,在制定书面信息安全计划时需要考虑的诸多因素方面一步一步地指导税务专业人士,从而保护其业务和客户以及遵守联邦法律。」
每年,安全峰会合作伙伴都会推出针对税务专业人士的「保护您的客户;保护您自己」夏季活动。此稿是今年该系列五篇提示中的第四篇。此系列新闻稿每周二发布,以配合全国税务论坛,帮助教育税务专业人士安全及其它重要课题。
在报税行业想要成功经营,涉及方方面面,包括查阅税法变化、了解软件更新以及管理和培训员工。而一个经常被忽视但却很重要的部分就是创建WISP。
拥有一个WISP可以保护企业和客户,同时在发生安全事件时提供行动蓝图。此外,如果发生可能严重破坏税务专业人士开展正常业务能力的其它事件,包括火灾、洪水、龙卷风、地震和盗窃,WISP也可以提供帮助。
「任何经营税务业务的人都无法绕过它。制定书面安全计划是一个良好的行业惯例,而且是法律要求的,」峰会税务专业团队的联合负责人兼电子税务管理咨询委员会(ETAAC)的新任主席、来自Drake软件公司的贾里德·贝卢(Jared Bellew)表示。 「该样本为您制定计划提供一个出发点,考虑了有效计划中需包含的风险因素,并提供了在发生安全事件、数据丢失和盗窃时可采用的行动蓝图。」
税务专业人士所面临的安全问题可能是令人生畏的。峰会团队尽可能地努力使这个文件易于使用,这就包括了帮助税务专业人士获取所需信息的特殊版块。
「我们尽量避免使用复杂的专业术语,从而使该文件对税务专业领域的更多人具有实用价值,」坎贝尔表示。 「这个文件并不是书面信息安全计划的终稿,它旨在为税务专业人士为其业务起草计划、提供了一个理解与尝试的出发点。」
税务专业人士在制定WISP 时,通常不知从何处着手。因此,由税务专业工作组领导的安全峰会,在软件和税务领域的协助下,制定了一个语言通俗易懂的样本计划,税务专业人士可以用来制作自己的WISP。样本计划可在国税局官网IRS.gov上获得。
安全计划应适合公司的规模、活动范围、复杂性及所处理的客户数据的敏感度。不存在适合所有情况的WISP。例如,与由10位合伙人组成的会计师事务所相比,个体经营者可以使用更精简和简化的计划,这在安全峰会小组的新样本WISP中有所体现。
制定WISP
一个好的WISP 应该关注三个方面︰
- 员工管理和培训。
- 信息系统。
- 监测和管理系统故障。
联邦贸易委员会的数据泄露响应指南是一个很好的资源。
- 作为该计划的一部分,联邦贸易委员会要求每家公司︰
- 指定一名或多名员工来协调其信息安全项目。
- 识别和评估公司运营各个相关领域的客户信息的风险,并评估当前控制这些风险的保障措施的有效性。
- 设计和实施保障措施项目,并定期监测和测试。
- 选择能够维护适当保护措施的服务供应商。
- 考虑到相关情况来评估和调整计划,包括公司业务或运营的变化,以及安全测试和监控的结果。
跟进
一个好的安全计划需要定期维护和更新。以下是维持有效WISP的提示:
税务专业人员完成WISP后,应将其 WISP 保存为其他人可以轻松阅读的格式,例如PDF或Word。同时鼓励将 WISP用于员工培训。为以防灾害,建议最好将副本进行异地或云端储存。
要认识到WISP是一个需要持续更新的文件。重要的是要定期检查和更新任何安全计划,同时调整计划以适应税务专业人士业务的规模、范围以及复杂性的变化。
作为安全计划的一部分,国税局还建议税务专业人士制定数据盗窃响应计划,其中包括联系国税局公共事务联络处以报告盗窃事件。另请参阅上面列出的联邦贸易委员会数据泄露响应要求。
其它资源
税务专业人士还可以通过查看国税局第4557号出版物,保护纳税人数据和美国国家标准与技术研究院提供的小企业信息安全︰基础知识来获得有关安全建议的帮助。面向税务专家、个人和企业的国税局身份盗窃中心页面也提供了重要的资讯。
第5293号出版物,税务专业人士的数据安全资源指南,汇总了国税局官网IRS.gov 上可用的数据盗窃信息。此外,税务专业人士应通过订阅税务专业人士电子新闻和社交媒体与美国国税局保持联络。
更多信息,请访问国税局官网IRS.gov。