觀點

財政資訊中心「賦稅再造」資訊整併 資安管理更進化

2013 / 08 / 16
張維君
財政資訊中心「賦稅再造」資訊整併 資安管理更進化

巧婦難為無米之炊,當預算逐年被刪減,但資安威脅卻有增無減,負責掌管財政部及所屬機關資訊業務的財政資訊中心,透過賦稅再造計畫、共構機房等資訊整併專案,讓資安管理品質不降反升。

從財稅資料中心到財政資訊中心

談起賦稅再造、組織改造計畫,這要從兩年前說起,當時聘請台大、政大等外部專家學者從IT技術與治理、組織營運等方向提出組織改造轉型建議計畫書。直到現在,財政資訊中心主任蘇俊榮辦公桌上仍擺著這幾本計劃書,以便時時翻閱。蘇俊榮認為要「以變待變」,先求改變以等待未來的變化,而非以不變應萬變或等到事情發生才以變應變。

過去財稅資料中心的業務是以稅務為主體,與其他財政部所屬機關如國庫署、國有財產局或關稅總局之間則由於作業週期及頻率不同,彼此僅能互為檔案資料交換,各自的資訊系統都是一座孤島,如今轉型成為財政資訊中心,則是希望能從業務流程的角度重新思考跨機關整合性業務的流程再造,例如國產局與土地相關的業務跟地方稅有關,如何能從流程重整的角度,進而資訊整合,「以便讓資訊孤島變成資訊園區」他說。

財政資訊中心主任蘇俊榮指出,要讓過去分散各所屬機關的資訊孤島整合成財政資訊園區而由於「賦稅資訊系統整合再造計畫」,財政資訊中心已於去(2012)年完成與五區國稅局(台北國稅局、高雄國稅局、北區國稅局、中區國稅局、南區國稅局)的資訊服務整合,今年則要陸續進行與23個稅務局(稅捐稽徵處)的資訊集中整併作業。過去地方單位的資安防護向來比中央弱,未來當資訊軟硬體都已在共構機房整併集中管理,資安工作可以做的更好。目前五區國稅局大部分的IT設備以及共通性設備(包含應用系統運作效率、網路連線狀態、主機伺服器健康狀態等)已整合到財政資訊中心的共構機房,而各區局權責的業務,如各局網站、資料庫、就地設備及機房則由五區資訊人員負責維運管理。

有了本身稅務體系的整併經驗,對於國庫署等所屬機關也預計在104年將資訊設備等硬體整併到財政資訊中心的共構機房,雖然這樣會增加財政資訊中心機房的電費等管理成本,但對財政部整體的成本而言卻是下降的。蘇俊榮指出,當每年的預算都以10%逐年被刪減時,這時必須要思考哪些不要做,可以去任務化。例如對資訊預算、人力不足的四級機關來說,就沒有必要自己架網站,自己架站如果沒有管好,反而增加資安威脅。因此IT集中整併管理不僅達到預算節省、提升資安的雙重效益。


一窺國稅新平台IT架構
一、基礎建設部分:
  (一)以虛擬化架構及技術,建置主中心綠能機房,集中進行管理與監控。 
  (二)建置高可用性異地備援中心,全面性備份資料,降低人力、空間、遞送成本與風險,確保業務永續運作。
  共構機房及雲端整合帶來三大效益:(1)節能省電:設備集中共構機房後,每個月的用電度數與舊平台相比約可節省10萬度,節能效益顯著。(2)提升資源使用效率:包括機房實體設施資源及資訊軟硬體設備資源等使用效率均大幅提昇,避免舊平台因資源分散各地導致使用效率低落的問題。(3)降低資訊系統總持有成本。
二、服務平台部分:
  (一)建立服務導向架構(SOA)平台,利於與其他系統或專案之整合,縮短開發時程,降低維運成本。
  (二)建立資訊服務管理(IT Service Management)平台,整合資源訊息監控及事件管理機制。
  (三)建立資料倉儲管理平台,整合跨稅目與跨轄區資訊,另建置專屬的資料市集(Data Mart),發展特定稅目或應用領域之應用系統。
  (四)建立共用應用系統開發平台,以利系統開發及程式部署;建立軟體測試驗證平台,進行系統測試,及早發現、解決問題,確保系統功能符合需求;資安檢測平台,提供程式部署前之掃描,以確認程式品質並符合資安規範。
三、應用系統部分:
  (一)稅務入口網一站式整合服務,提供民眾,線上申辦、查調稅務資訊。
  (二)整合式的財稅內網,以自然人憑證單一簽入,依使用者資安認證與權限,自動銜接後端作業項目,同時顯示待辦業務與訊息通知事項。
  (三)採行自動化稽核機制,提供完整稽核紀錄與自動即時警訊,確保資訊安全。
  (四)新興應用系統部分:建置行動辦公室,提升查核機動性;透過知識管理平台,分享案例及經驗傳承,提高審查效能;運用商業智慧(BI)工具,採多維及向下展開(Drill down)的資訊分析,提供使用者彈性選案,加速審查作業之進行。
資料來源:財政資訊中心提供,2013/08
 


在異中求同與同中求異中 演化ISMS
在這次賦稅再造計畫中,由於本著「資源集中、整合監控、就地管理」政策,因此財政資訊中心與五區局的資訊安全管理系統(ISMS)也著手進行整合。從2011年11月開始整併專案,兩年時間先後經過「異中求同」、「同中求異」階段,財政資訊中心與五區局已於今年3月順利取得整併後的一張驗證證書,均採全組織導入,但驗證核心系統的做法。財政資訊中心副主任也是資安長的李春生認為,整併後最大效益是,建立起強度一致性的資安管理與稽核標準。

財政資訊中心資安長李春生指出,整併後最大效益是建立起強度一致的ISMS與稽核標準
由於各區國稅局以及財政資訊中心早已建立自己的資安管理系統並驗證通過,且各自的作業流程也不盡相同。因此專案一開始,各區局代表歷經6次會議,共同討論整體ISMS並完成「共通資安文件」,於去年7月公佈實施。然而各局均有各自依其作業、資源及組織文化而發展出特有的作業方式。因此,除了共通資安文件外,仍保留可以發展各局「專用資安文件」的做法,也就是各局仍可保有自己過去推動ISMS時所發展出來獨有的三階文件或表單(如下圖)。

當初在專案會議過程中,也是花最多時間在討論哪些一定要進入共通文件,哪些是可以讓各局保留彈性。李春生指出,決定的標準在於,對五區都有利的做法就共同執行,若可有可無就採共識決。目前是在同中求異的階段,但將來這些各局獨有的文件表單,其他局若想採用,未來也可能朝向與其他分局擴大分享的階段──異中求同。由於五區國稅局每年都要接受賦稅機關評比,而財政資訊中心也擁有考核權,因此各局彼此之間存在很好的良性競爭與互相分享的氣氛。

目前中心與5區ISMS整合後,建立起聯合組織,包括資安執行小組與資安稽核小組。目前仍由各區自行執行、自行稽核,但透過這套強度一致的資安管理與稽核標準,包括防火牆、防毒等資安設備上都有一致性的policy設定規則與更改申請流程等,可以確保資安的要求能夠被貫徹實施。等日後運行一段時間,將逐年檢討是否需要擴大範圍,或再與地方稅的維運作業做整合,使整個稅務系統的維運有一致性的資安規範。



財政資訊中心的電子書系統上,列出共通資安文件與專用資安文件
圖片來源:財政資訊中心提供(2013/08)

PIMS與ISMS整合規劃

先經過ISMS整合後,目前財政資訊中心與五區局也正在規劃個人資料管理系統(PIMS),為避免組織內部疊床架屋、提升行政效率,未來也研擬制度整合,統籌相關管理制度,建立共同管理組織,輔以功能分組進行細部分工。但目前考量PIMS仍在發展階段,不宜進行整合,因此採取與ISMS配合的方式進行,也就是對資訊安全已在ISMS規範,PIMS可直接進行相關參照,不需再行訂定。例如,個資法施行細則第12條要求的適當安全維護措施就放到ISMS當中來稽核。

然而財政資訊中心與五區國稅局畢竟由於業務性質不相同,例如國稅局有臨櫃業務、財政資訊中心則以資訊服務的業務為主,因此在這次導入PIMS的過程比ISMS整併專案花更多時間進行討論,包括各區局以往不同的個資管理流程也需再次異中求同,歷經前後8個月進行制度、文件的制訂及盤點,今年9月即將進行預評。預計明(2014)年取得BS10012驗證後,將再進行制度整合,並成立個人資料聯合執行小組分工專責進行相關作業。並將部分維運作業做整合,例如文件管理機制、資安與個資風險評鑑、營運持續與個資事故演練、內部稽核作業及管理審查作業等,以降低維運的成本及提升作業效率。

歷經五區國稅局ISMS整合與PIMS共同導入的經驗,財政資訊中心有更豐富的流程整合經驗,未來對於督導的國庫署、國有財產署、關務署等財政部所屬機關的資訊/資安業務,也期望建立起強度一致性的資安標準,在共同的標準上進行評比管考。