在行政院國家資通安全會報的要求下,B級機關需於2011年底前建置資訊安全管理制度並取得驗證通過(ISMS),政策立意雖然良善,但是許多B級機關礙於經費有限,只能採取拖延戰術,或是僅驗證機房以求交差了事,而同樣屬於B級機關的新竹市稅務局,有感於資安對於地方稅稽徵業務的重要性,即便沒有預算,也要落實ISMS驗證導入工作,「要做就要做得徹底,」新竹市稅務局副局長兼資安長施玟麗說。
資安工作重點
新竹市稅務局擁有悠關新竹市民財產權益的稅籍資料,為保障納稅義務人權益,同時響應政府政策,決定導入ISO 27001驗證,將資安工作融入日常作業流程中,藉此降低任何竊取、破壞或入侵稅務資料的可能性,維持稅務運作穩定性。
ISMS建置方法
然而,沒有預算聘請顧問輔導,卻是新竹市稅務局強化資安過程中的重大瓶頸,2009年在高層一聲令下,新竹市稅務局決定靠自己的力量建置ISMS。
自學建置ISMS:派員參與ISMS專業訓練,及參訪其他縣市稅務機關,了解ISMS文件制訂過程,之後由資訊管理科、稅務管理科共同主導,自行製作ISMS四階文件,包含政策、程序書、作業說明書、表單\記錄,全不假手他人,同時還規劃風險評鑑執行流程、並利用Excel軟體製作相關表單。
沿用原有組織架構:由副局長擔任資訊安全長,並結合原有各項資訊安全組織架構,如:資訊稽核小組、風險管理小組等,將ISMS工作融入稽徵作業流程,一方便減緩對原作業流程的衝擊,另一方面也能化解同仁的疑慮,不要讓同仁認為這些是因為要做資安才成立的臨時小組。
主動爭取外部資源:為強化資安意識,主動爭取外部免費教育資源,如:參加由資通安全會報主辦的「政府資安成熟度評鑑-Web應用程式與電子郵件安全」計畫,同時主動申請辦理社交工程演練及模擬災變回復演練。
爭取建置異地備援中心:即便經費不足,仍堅持將場地備援納入風險管理範疇,確保稽徵業務永續運作,除了制定「異地即時同步資料備援機制」,並透過不同管道發聲,以及局長主動提案,向中央主管機關爭取建置異地備援中心。
專職資安編制
在決定導入ISMS認證後,稅務局也設立2名專職資安人員,由薦任6等以上稅務員擔任,並參加ISMS主導稽核員研習班獲得證書,分別編制在稅務管理科及資訊管理科,各有不同職務職掌:
稅務管理科資安人員:擔任資訊安全推行小組、資訊稽核小組、資通安全處理小組及風險管理小組執行幹事,負責資訊安全相關政策、計畫、措施之評估、聯繫、彙整及紀錄等相關事項。
資訊管理科資安人員:負責資通訊之安全技術研究、技術規範、建置及維護等事項,包含防火牆、入侵偵測、流量偵測、環境控制等系統管理及監控,資料庫權限控管及log查核等。
許多企業或組織經常以預算不足、作為推托資安工作的藉口,然而,新竹市稅務局的例子證明,只要有心,即便沒錢也能做資安。
新竹市稅務局副局長施玟麗,ISMS導入最大收穫,就是將資安CIA的觀念融入各部門標準作業程序中。
|
1. 資安團隊:2名專職人員
|
|
2. 服務範圍:約164位使用者、17台伺服器主機、297台電腦
|
|
3. 資安驗證:2009年取得ISO 27001驗證,驗證範圍:全部地方稅稽徵業務及欠退稅等業務流程
|
|
4. 主要特色:
(1) 自學建置資安管理系統(ISMS),範圍涵蓋核心業務流程。
(2) 積極向中央機關財政部提案,於「地方稅資訊平台整合應用計畫」中納入異地備援計畫。
(3) 主動爭取外部資源,參加「政府資安成熟度評鑑-Web應用程式與電子郵件安全」計畫、資安人員職能訓練、辦理社交工程演練及模擬災變回復演練。
|