台北市國稅局率先透過電子流程將局內稅務資料傳遞電子化,杜絕人為因素造成資料外洩的可能。
五月,時值報稅季節。中央主管機關財政部特別對外說明,已要求所屬各國稅機關強化各項資安防護措施,同時為了確保綜合所得稅網路申報的資訊安全,也加強相關防護作業。的確,財稅體系十分重視資訊安全,包括台北市國稅局在內的5個國稅局及財稅資料中心已陸續建置資安管理系統,並取得驗證通過。緊接著,今年下半年財稅資料中心更有「賦稅(國稅)資訊系統整合再造更新計畫」,未來藉由稅務流程改造、系統整合,預計達到資源共享的目標。面對未來可能的改變,台北市國稅局電子作業科科長蓋銘姿說,「我們準備好了」。
創稅務體系先例 稅務資料流程E化台北市國稅局在2006年4月就已建置資安管理系統,由於台北市國稅局轄下13個分局與稽徵所的資訊作業都集中總局電子作業科(簡稱電作科)管理,因此ISMS以台北市國稅局全局為導入範圍,而以電作科所有業務為驗證範圍。電作科業務包括稅務資料處理、登打以及IT部分。當國稅局取得ISO27001驗證通過後,負責稅務資料處理的外包廠商明白資安的重要,也跟進導入ISMS取得驗證。可說是政府帶動民間企業的最佳寫照。
5年前,蓋銘姿自稽徵所調回電作科時,面對原資安小組成員報告資安推動的難處,當時為了公平起見,她下令電作科所有人一起做資安。這個決定,現在她看來,仍認為是非常重要的關鍵。現在,在電作科沒有專門的資安小組,而是把10幾項重要資安工作分別交由電作科6個股負責,由一名分析師擔任窗口,負責與使用單位的聯繫。因為,「資安不是工作,而是觀念」她說。
與其他單位相同,導入ISMS,從制定資安政策、程序書、作業規範及標準作業手冊等文件開始。然而更大的效益是在,去年完成將上述文件、表單e化,導入電子表單系統之後。
透過電子表單系統,一來所有的表單送審必須依照流程及權限設定來簽核,符合稽核規定。二來,電子表單系統不僅能達到無紙化,更可降低在紙本資料往返的過程中,人為因素導致的資料外洩機率。蓋銘姿舉例,在導入系統之前,過去編制納稅人的財產查調紀錄清冊,電作科同仁需要進入後台大型主機系統,將所有資料列印成報表,再經由人員確認。不難想像,過程中大批的紙本資料,若稍有疏失很容易造成資料外洩。而在導入線上系統後,完全在系統上做確認,不僅省時還將資料外洩風險降到最低。
尤其,在69張電子表單陸續上線後,電作科同仁更進一步集思廣益,成立工作圈,與IT廠商共同合作完成系統整合,寫好API程式,目前台北市國稅局的線上流程平台已可與後端稅務主機部分整合,當前端使用者提出查詢需求,經簽核通過後,電作科同仁就可撈資料在表單中帶查詢結果的附件回覆使用者。「透過機器傳遞,避免人工介入,才能有效降低資料外洩風險」蓋銘姿說。
資安稽核小組深入業務細節 台北市國稅局推動資安不僅在電作科而已,同樣的資安制度、政策是推行到所有分局、稽徵所。對一般同仁建立資安認知,不僅需要靠教育訓練,也需要各種工具來輔助,除了在內部入口網站設置資安專區,提供相關文件說明以及宣導資訊之外,還導入資安數位學習課程,有效利用資源。
特別的是,電作科為了讓同仁留下深刻印象,特別打造「資安寶寶」來為資安宣導活動代言,每年自行設計出2張資安海報,發送各分局、稽徵所,除了製造話題也讓大家保持新鮮感。
有制度、有宣導,接下來就是要確實稽核。蓋銘姿說,由於稅捐稽徵法第33條規定,「稅捐稽徵人員對於納稅義務人之財產、所得、營業及納稅等資料,除對下列人員及機關外,應絕對保守秘密,違者應予處分;觸犯刑法者,並應移送法院論罪…(以下略)」。不僅稅務機關同仁普遍知道資訊安全的重要,局長、副局長也對於資安高度重視,因此資安工作在局務會報當中向來是重要的一環。然而資安如何推導到業務單位,讓前線各個業務單位同仁都比照辦理,靠的則是稽核力量。蓋銘姿說,「我們的資安稽核小組是由業務單位同仁所組成。」
台北市國稅局的資安稽核團隊陣容堅強,由主任秘書擔任稽核小組組長、政風室主任擔任副組長,帶領來自各業務單位優秀同仁所組成的10人稽核小組。這群稽核小組在接受過稽核訓練後,開始負責每半年1次的內部資安稽核工作。業務單位同仁最了解業務面可能出現的疏失,因此這群稽核小組對局內資安推動功不可沒。儘管業務同仁沒有資訊專業背景,但由於稽核小組成員必須到各單位稽核,有機會可以學習其他業務單位推動情形,因此同仁十分積極,對於電腦稽核的學習求知慾也很高,在實際業務面執行起資安稽核工作,均能切入要點,蓋銘姿觀察。
不僅稽核小組負責業務單位的內稽,在電作科的6個股,也會進行股與股之間的相互稽核。如此重視稽核,不愧是稅務單位。「稽核工作一定要進行,即使沒真正稽查出問題,但有稽核就是有宣傳導正效用,」她說。
成效明顯,未來擴大驗證範疇推動資安進入第4年,資安工作需要不斷持續改善,因此每半年固定召開風險評估與管理會議,2年多來增修53項風險控制措施,並指派專人負責維護、修訂資安管理辦法與文件。在技術面,為了強化縱深防禦,去年陸續建置資安監控中心(SOC)、無線網路安全檢測、IP/MAC監管系統、每季定期進行弱點掃瞄及滲透測試、每半年業務持續營運管理災害回復演練等。資安威脅不曾減緩,資安工作也永遠做不完。
推動資安,電作科同仁十分積極,曾透過廠商的安排介紹,去參訪其他推動資安有多年經驗的銀行,互相觀摩求進步。現階段對台北市國稅局來說,在資安防護上,希望能迅速了解各種資安問題、威脅訊息的通報,並期望在資通安全會報技服中心對於「關鍵業務」訂定出通報標準後,通報平台能發揮更大的作用。
至於未來計畫,蓋銘姿的下一步是準備讓業務單位能導入ISO 27001制度,執行方式她也已經有了初步構想。許多單位推動資安一直侷限於資訊部門,畢竟跨到業務單位困難度更高。然而蓋銘姿十分肯定ISO 27001導入效益,除了強化資安體質之外,還有一附加價值,她舉例,制度建立起來後,由於各種表單文件齊全,因此資安工作若有其他新人接手,也能在最短時間內瞭解作業程序、迅速上手,不會有太長的摸索期導致業務停擺。
從ISMS、電子表單到全局的資安推廣,對於未來實施「賦稅(國稅)資訊系統整合再造更新計畫」可能面臨的變動,以及所希望達到提供e化迅捷服務措施的目標時(包括擴大稅務網路服務範圍、增加民眾網路查調資料等服務項目),台北市國稅局有信心說,他們準備好了。
管 理 經 驗
重視團隊合作、代理人制度
在電作科裡,約80人屬於IT部門,帶領這群團隊,蓋銘姿相當重視代理人制度。不僅日常作業流程,包括重要的IT災備等,代理人都需同樣參與演練。而在某些關鍵性業務方面,蓋銘姿也會召集所有人集思廣益開會討論。有時單靠一個人想的解決方案不夠周全,但在這裡,常常可見小組開會,成立工作圈,一起腦力激盪。這樣的組織文化,讓他們積極推動各種IT新計畫。
與外部顧問合作,各自做好準備
回想當初建置過程中沒日沒夜地辛苦加班,團隊成員「睡覺以外的時間,幾乎都在搞資安」。尤其在顧問輔導階段正好遇上BS 7799改版ISO 27001:2005,所有人全力投入建置作業,卻忽略了重要的改版訊息,已依照舊版條文進行政策擬定、文件製作,被突然告知需重來一遍,可以想見團隊成員的錯愕以及結案時間逼近的壓力。所幸後來在顧問公司投入更多顧問輔導人力之下,順利完成建置,但第一次與外部顧問合作,就遇上這樣的突發事件,讓蓋銘姿印象深刻。 |
台北市國稅局經驗分享
1.不成立專職資安小組,讓電作科各股共同負責資安工作。股與股進行相互稽核。 2.電子表單流程平台與後端稅務主機整合,資料傳遞電子化,降低外洩風險。 3.系統管理者擁有最高權限,但卻不用共同帳號,如此才能將責任歸屬到個人。 4.每年設計資安海報,時時提升同仁資安意識。 5.資安稽核小組由業務單位同仁組成,深入業務稽核重點。
|