哥伦布、匹兹堡及各地消息

 

安全峰會合作夥伴敦促稅務專業人士

制定數據安全計劃

 

 FS-2022-34,2022 年 8 月
   隨着數據安全事件的不斷發生,美國國稅局、州稅務機構和稅務行業,以安全峰會的形式協力合作,敦促稅務專業人士制定安全計劃。
   國稅局還提醒稅務專業人士,制定安全計劃不僅是好的行業操作,而且由聯邦貿易委員會所執行的聯邦法律要求所有專業代報稅人士創建和實施書面數據安全計劃。
   每年,安全峰會合作夥伴都會推出針對稅務專業人士的“保護您的客戶; 保護您自己”的夏季活動。本情况説明書補充了與全國稅務論壇同期所發佈的五篇新聞稿系列 ,從而幫助敎育稅務專業人士安全及其它重要課題。
   在代報稅行業想要成功經營,涉及方方面麵,包括查閲稅法變化、瞭解軟件更新以及管理和培訓員工。而一個經常被忽視但卻很重要的部分就是創建書面信息安全計劃 ,亦稱WISP。
   擁有一個WISP可以保護企業和客戶,同時在發生安全事件時提供行動藍圖。此外,如果發生可能嚴重破壞稅務專業人士開展正常業務能力的其它事件,包括火災、洪水、龍捲風、地震和盜竊,WISP也可以提供幫助。
   稅務專業人士在制定WISP 時,通常不知從何處着手。因此,由稅務專業工作組領導的安全峰會,在軟件和稅務領域的協助下,制定了一個語言通俗易懂的樣本計劃,稅務專業人士可以用來製作自己的WISP。樣本計劃(英文)可在國稅局官網IRS.gov上獲得。
   安全計劃應適合公司的規模、活動範圍、複雜性及所處理的客戶數據的敏感度。不存在適合所有情况的WISP。例如,與由10位合夥人組成的會計師事務所相比,個體經營者可以使用更精簡和簡化的計劃。
制定WISP
一個好的WISP 應該關注三個方面:
*員工管理和培訓。
*信息系統。
*監測和管理系統故障。
聯邦貿易委員會的數據泄露響應指南(英文) 是一個很好的資源。
作爲該計劃的一部分,聯邦貿易委員會要求每家公司:
*指定一名或多名員工來協調其信息安全項目。
*識別和評估公司運營各個相關領域的客戶信息的風險,並評估當前控制這些風險的保障措施的有效性。
*設計和實施保障措施項目,並定期監測和測試。
*選擇能夠維護適當保護措施的服務供應商。
*考慮到相關情况來評估和調整計劃,包括公司業務或運營的變化,以及安全測試和監控的結果。
跟進
一個好的安全計劃需要定期維護和更新。以下是維持有效WISP的提示:
*稅務專業人員完成WISP後,應將其 WISP 保存爲其他人可以輕鬆閲讀的格式,例如PDF或Word。同時鼓勵將 WISP用于員工培訓。爲以防災害,建議最好將副本進行異地或雲端儲存。
*要認識到WISP是一個需要持續更新的文件。重要的是要定期檢查和更新任何安全計劃,同時調整計劃以適應稅務專業人士業務的規模、範圍以及複雜性的變化。
*作爲安全計劃的一部分,國稅局還建議稅務專業人士制定數據盜竊響應計劃,其中包括聯繫國稅局公共事務聯絡處(英文) 以報吿盜竊事件。另請參閲上面列出的聯邦貿易委員會數據泄露響應要求(英文)。
其它資源
   稅務專業人士還可以通過查看國稅局第4557號出版物,保護納稅人數據(英文) 和美國國家標準與技術硏究院提供的小企業信息安全:基礎知識(英文) 來獲得有關安全建議的幫助。面向稅務專家、個人和企業的國稅局身份盜竊中心頁面也提供了重要的資訊。
   第5293號出版物,稅務專業人士的數據安全資源指南(英文) ,匯總了國稅局官網IRS.gov 上可用的數據盜竊信息。此外,稅務專業人士應通過訂閲稅務專業人士電子新聞(英文) 和社交媒體(英文) 與美國國稅局保持聯絡。
更多信息,請訪問國稅局官網IRS.gov。