許多B級機關,礙於經費人力的不足,儘管上有政策的壓力,仍然雙手一攤,能拖就拖,或者僅以機房某個系統小範圍導入,交差了事。然而新竹市稅務局卻用執行力來證明,天助自助者,沒人、沒錢也可以順利推動以核心系統為驗證範圍的資訊安全管理制度。
無論如何 一定要做
在行政院國家資通安全會報的要求下,B級機關原先須在民國97年底前建置資訊安全管理制度並取得驗證通過,後來考量許多機關實務推動的困難而延長至民國100年。新竹市稅務局自96年來亦曾連續三年提報預算,但始終無法通過,就連年底標案餘款也排不上。並非地方首長不重視,實在是地方政府財政預算捉襟見肘。
有感於資安重要性與日俱增。98年,在稅務局高層一聲令下,無論如何一定要做,稅務局開始了ISMS自學的過程。「沒預算(可以請顧問)就靠自己來。」98年由新竹市主計處處長調任稅務局局長的石明紫肯定稅務局同仁積極認真的態度。
就這樣,新竹市稅務局開始ISMS自學過程,沒有顧問公司的協助,前後派員參與71人次355小時的ISMS專業訓練,同時也去參訪台南縣、台北市稅務機關,了解ISMS文件制訂過程,回來後由資訊管理科、稅務管理科主導,開始規劃討論、風險評鑑並著手制定所有文件。
將核心業務──退稅業務納入驗證範圍
「要做就要做的徹底」副局長兼資安長施玟麗說。
由於退稅是稅務管理科主要負責業務,又退稅影響徵銷資料處理(徵銷意指稽徵確實,課稅合理並做好稅籍釐正作業),退稅業務橫跨不同科室,包括全功能服務櫃台人員也需要辦理。因此將退稅業務納入驗證範圍,讓每個單位同仁都必須參與ISMS,都需接受教育訓練。在2009年導入期間,前後舉辦26場次資安教育訓練課程,1,072小時全員參加。
做資安最怕的是應付的心態。由於稅務局所管理的是攸關市民財產權益的稅籍資料,更需要強化資安以降低任何干擾、破壞或入侵稅務資料的可能性,並提高作業風險的應變能力。再加上98年也曾發生過國稅局稅務人員利用職務之便取得納稅義務人的資料,而後進行恐嚇取財的不法事端,更加深了新竹市稅務局同仁對資安工作的認同。「過去時代是要盡量課稅、稽徵,到後來提倡便民服務,但是自發生退稅漏洞的新聞後,同仁更能感受資訊安全也要做好。」稅務管理科科長謝麗珠說。
儘管有著自發性的導入動機,但畢竟資訊安全管理制度對於稅管科或資管科同仁來說都是第一次接觸,過去完全沒有相關知識背景的他們一開始也會惶恐。但他們卻能逐條從頭學起,後來更有稅管科、資管科共3人取得ISMS稽核員/主導稽核員證書。
沿用原有組織架構推動
「其實沒有想像中那麼困難」謝麗珠說。在新竹市稅務局原來的組織架構上就已有相關任務編組,如資訊安全推行小組、法規整檢審議小組、資訊稽核小組、資通安全處理小組及風險管理小組等架構。這是由於早先中央財稅主管機關就已頒布資訊安全手冊,當中就曾要求建立這些任務編組,而新竹市稅務局早在91年就已經按照規定落實建立此一組織架構。對他們來說,如今只是再把ISMS納進來而已。
「在推動過程上,盡量不要改變太多」施玟麗說。沿用原有的組織架構,對同仁來說都很熟悉,不會讓同仁覺得是因為現在要做資安才成立的臨時小組。如此一來,相關同仁便能各司其職,分別負責資安政策、計畫的討論、推動、執行及查核,能讓資訊安全融入實際作業流程當中。
文件制定完整程序嚴謹
在這次導入過程中,配合資訊安全政策訂定,新竹市稅務局一共制定1至4階文件及相關標準作業手冊等多達89項文件。而且法規整檢小組前後召開19次會議並分別送局務會議討論後,由局長核定實施。
許多單位推動資訊安全管理系統時,制度辦法訂的是一套,等到驗證結束外部稽核員離開後,實際做的又是另一套。「這種情形不會在這裡發生」資訊管理科科長黃桂梅笑說。由於整套制度已經落實在實際流程中,每當有新政策頒布,例如前陣子計程車免徵使用牌照稅的新規定頒布下來,稅務局同仁就需要修正程序書。在局務會議上,資安長也會直接下令,「把XX程序書訂出來」。此外,也因為是自己寫文件,更能融入實務流程需要,也會發現更多不同於實際作業流程的情境,便即時新增管理程序。例如過去退稅款項都是以支票支付,現在為了提供更多便民服務,也開始用現金退稅,稅管科就主動新增此項現金退稅作業管理程序書。讓所有作業能更完整。
將資訊安全C.I.A的概念融入各部門工作的標準作業流程中,並且因而修訂文件,施玟麗認為這是導入ISMS所帶來最大收穫之一。
革命多次終於成功 積極爭取建置全國財稅體系之異地備援中心
在新竹市稅務局建置ISMS過程中,一直從旁協助的交通大學資訊管理研究所副教授樊國楨認為,稅務局同仁對於目標達成的要求很高,而且態度積極。他舉例,日前主計處發文要求各機關需訂有營運持續計劃,但公文用語言簡意賅,一方面雖然保留彈性空間,但對執行者而言卻往往覺得無所適從,許多機關承辦人員接到此類公文,便擱置下來。但稅管科承辦人員卻主動積極電話中問個清楚。
當他們完成風險評鑑後,將場地備援(包括全功能服務櫃檯及電腦機房備援)納入風險管理範疇,但眾所皆知,電腦機房備援建置所費不貲,相關軟硬體、網路設備經費動輒千萬元,然而為了永續運作稽徵業務,他們不願降低標準,仍然制定「異地即時同步資料備援」機制。
新竹市稅務局認為「異地即時同步資料備援」機制具全國一致性,不只新竹市,各地方稅務機關都會有相同需求,而各地地方政府也多少面臨財政問題,因此此機制應集中由中央統籌辦理。於是他們透過各種管道發聲,強烈建議行政院國家資通安全會報及財政部財稅資料中心,局長並於財政部第46次全國賦稅會報中提案,終於成功說服財政部納入「地方稅資訊平台整合應用計畫」,可望於102年完成財稅體系之異地備援中心。
創業維艱,凡事第一個做的總是最辛苦,需要舉出具體理由來說服各界反對聲浪,然而對中央主管機關來說,這次「異地備援計畫」可不是新竹市稅務局第一次的驚人之舉。早在95年他們就推出創新的地方稅網路申報系統。
組織文化:
「不能跟我說沒有錢(就不能做)」
現在各地方縣市民眾可以在家就進行地方稅、房屋稅網路申報,非常方便。不但省去現場排隊時間,也省掉需要自己跑一趟地政、戶政單位申請謄本的手續費。當年提出這項便民創舉的新竹市稅務局還因此獲得「第9屆行政院服務品質獎」整體獎。
然而當初這項改變既有作業流程的創舉服務,一開始並未受到中央主管機關的支持。由於民眾從提出申報到列印稅單都不需要到現場辦理,不僅如此,「要做就做徹底」的精神又出現了!新竹市稅務局還主動與地政、戶政單位連線,進行資料交換,讓民眾不用申請謄本,只要網路申報就免附憑證。
這下一來,有別於一般習慣的作業流程方式,引來主管機關各種質疑,例如稅單被偽造的可能,以及對於網路安全的質疑等。在主管機關不甚支持的情況下,稅務局靠自己籌措經費,將標案剩餘款集中在此,並請教外部專家,盡量在需求規格書中要求做到各種資安防護,一一克服財稅資料中心對資安的疑慮。經過無數次的內部、外部說明會議之後,成功將第一個地方稅網路申報系統推動上線,並獲得好評。民眾享受到稅務局所提供的網路報稅好處之後,連帶給其他機關如地政事務所帶來壓力,對於電子化政府網路服務的期待也隨之提高。
是什麼樣的驅動力,讓他們費盡心思去規劃、甚至想辦法克服困難,最後終能加以落實?施玟麗說,由於新竹科學園區業者e化程度相當高,當年在園區與民間企業訪談時,他們常常提及希望可以在網路上報稅。稅務局同仁一開始還可以說已在研議當中,但政府機關的服務總不能一直趕不上民間腳步。然而心有餘而力不足,縱使想做卻又財政困窘…
當時擔任新竹市稅捐處處長馮瑞徵一句「不能跟我講沒有錢」,其強勢領導風格從此為稅務局樹立優良傳統,遇到問題就去思考其他替代方案,運用邏輯與條理來說服持反對意見的同仁。因此,這樣的傳統被沿襲下來,也是這次稅務局能用自學方式建置ISMS的原因。
把握任何免費的機會與資源
能靠自己的就靠自己,遇到專業的問題,就積極尋找免費的資源。人脈,就是源源不盡的資源。「凡是有免錢的課程我們就去上,上完課還可以留下老師的聯絡方式,日後有問題就可以請教!」黃桂梅說。
預算豐富的單位也許難以想像,在資源吃緊的單位,凡事都得要斤斤計較、樽節開支。在這裡,他們沒有多一事不如少一事的想法,反而把握機會,善用中央各種資源,積極參與。例如,2009年主動報名參加行政院研考會舉辦的公務機關電子郵件社交工程演練,以及網站資訊安全成熟度評鑑。從10月先派員接受相關參考指引的訓練,緊接著接受顧問輔導,最後是12月底的實地評鑑。這一連串過程原本都是只針對中央政府機關所舉辦的活動,他們卻積極爭取,不把它視為苦差事,反而是免費的諮詢與協助。
邁向資安治理 形塑資安文化
如今,新竹市稅務局這套ISMS機制已全面建置,緊接著更希望能在稅務局內形塑資安文化,邁向資安治理。相關工作包括:資安推行小組負責在管理審查會中訂定資安治理政策及目標,而資訊稽核小組每年辦理資訊稽核時,依據ISMS進行成熟度評估,制定「資安治理績效成熟度評估準則」。每年10月底前,由資安長與資安推行小組共同檢視資安計畫成果及下年度資安治理政策目標,並且彙整績效向局長陳報。
在退稅流程的ISMS建置起來之後,緊接著99年更計畫逐步將房屋稅、地價稅、使用牌照稅及土地增值稅等核心業務也納入驗證,建立安全及可信賴的租稅環境,讓民眾安心。