快訊
利多激勵 歐股收高
#金融股配息表 #今日花蓮地震速報
熱門
本週話題人物事件簿

財政資訊中心未來新政有三箭,第一步先消滅十億張紙本發票



掌管全國上百萬家戶和中小企業財政資料的財政資訊中心,新官上任提出未來3大財政資訊政策,將加速電子發票無紙化,為深化財政應用強化資安,對內更要提升IT自主開發能力。

主掌全國2,300萬人財政資訊的財政部財政資訊中心,每年要處理全國民眾上千萬筆報稅資料,一旦政策有了轉變,不只全臺高達600萬戶家庭和140萬家中小企業財產權益都受影響,甚至更會影響國家未來財政政策推動方向,因此一舉一動,都備受外界關注,新官上任的財政部財政資訊中心主任陳泉錫,新官上任三把火,接下來將端出的財政資訊新政策是什麼,大家都等著看。

未來5年目標要替政府省下10億張發票用紙

剛上任滿半年的陳泉錫祭出推動未來財政資訊新政策的三箭。徹底實現電子發票無紙化是陳泉錫射出的第一箭。陳泉錫表示,去年全臺電子發票總數高達60億張,占總發票量的6成,不過當中真正採用免紙張開立的電子發票只占少數,只有16%,若扣除公用事業開立部分,真正靠店家開立的無實體電子發票比例不到1成,多數都還是紙本開立,原因在於,無實體電子發票載具申請程序不方便,所以較少人願意使用。

所以,陳泉錫計畫推出2大新措施,來提高免紙張電子發票載具的使用比例。第一項便是要強化電子票證,如悠遊卡、iPASS一卡通等服務,與手機NFC功能整合,以簡化發票載具申請程序。以悠遊卡為例,陳泉錫表示,未來民眾只要將悠遊卡放置手機背面並利用NFC功能來感應,就能將電子發票記錄到你的手機App中,不只申請流程更簡便,而且還能幫你對獎,並透過手機號碼或E-Mail通知領獎,甚至還將規畫未來2千元以內的中獎金額,都能自動匯到民眾登記的悠遊卡內,連到超商櫃檯領取的步驟都幫你省下。

陳泉錫接下來更進一步,還要將無紙化的電子發票與電子支付結合,未來民眾採用支付方式來付款後,商家會將你購買物品索取的電子發票上傳至財政部的電子發票雲平臺,再由電子支付業者將發票跟你的購買明細,下載到用戶端的手機App上,藉此養成消費民眾拿免紙張發票的習慣。

除了這兩項新措施,再加上,往後若能有更多電子商務店家都能導入免紙張電子發票的話,「無實體電子發票占比5年內最高將提升到40%。」陳泉錫說,這是有機會能夠達成的目標。電子發票無紙化比例將翻倍,代表每年將可替政府多省下逾10億張發票用紙量。

陳泉錫對處理財政資訊業務其實並不陌生,他資訊生涯的第一份工作就是在以前的財政部財稅資料中心,從最基層的約雇程式設計師做起,一路升上副組長、組長,而且一待就是18年,直到1998年調任法務部擔任資訊處處長,這一離開也同樣是18年,再回來,他已是財政資訊中心主任。「連我自己都沒料想到。」陳泉錫笑著說。

早年,陳泉錫擔任財稅資料中心組長期間,主要負責財稅系統技術及架構規畫,以技術面開發為主,但自從升任中心主任後,他說,現在做決策時,不單單要考慮技術層面,更要從業務角度,來看待下達的每個決定能不能符合內部業務單位需求、來自國會挑戰,以及廣大民眾期待,這是一大挑戰,也逼得他要在最短時間內掌握財政資訊業務,推出他的財政資訊新策略。

成立實戰資安健檢及鑑識小組來強化資安

當然在推動新資訊政策,來打造更多深化的財政應用前,陳泉錫還有個更重要任務是要強化資安,畢竟資安若是沒有嚴格把關,一旦遭到駭客入侵,不只是民眾財稅資訊可能外洩,嚴重甚至可能造成國家身陷財政危機,所以,陳泉錫一上任後,就開始對內強化資訊安全保護,並從兩大資安策略方向著手。

陳泉錫特別重視政府內部數位證據保全與資安應變能力,上任不到半年,他便成立一個專門從事資安健檢及數位鑑識的資安小組,希望訓練IT人員有能力在遇到資安問題時,就能先一步保全數位證據,以便往後數位鑑識工作進行,甚至靠自己就能獨自完成初步資安診斷,而不是當資安事件發生時,只能被動等待其他資安偵辦機關,如調查局、偵九隊來救火。

目前財政資訊中心新成立的資安健檢及數位鑑識小組成員共有13人,其中專責資安人力只有1人,其他多是以兼任為主,除了有從財政資訊中心各組調派的資訊人力外,成員組成也有包括來自關務署、國有財產署和臺灣銀行方面派來的人。

但畢竟這些成員並不是專業資安人員,平時不善於資安分析工作,為了降低資安技術門檻,陳泉錫也借用他在法務部開發的一套數位證據保全工具,具備有簡易分析功能,能協助資訊人員做到初步資安風險判斷,例如當分析結果顯示為紅燈,代表有高資安風險,須進一步鑑識分析,假如是綠燈則是安全。另外陳泉錫還將他在法務部制定出來的數位證據保全標準作業程序,變成資安團隊未來能夠採行的一套數位證據保全標準。

即使有了資安證據保全能力還不夠,陳泉錫對這個資安鑑識小組更高的期待是,未來每位成員至少都要有基本資安分析和鑑識技巧,能站在資安第一線位置,搶先一步找到問題來阻斷攻擊源,將損害降到最低。而資安實戰演練是陳泉錫認為最快培養資安技巧的作法,因此,他要求,所有學員必須邊學習同時邊完成他不定期交付的資安演練任務,像是以財政部及所屬機關作為假想攻擊目標,利用弱點掃描軟體或其他的工具,來執行滲透測試,從外部或內部網路蒐集系統的相關資訊,來找出更深層次的漏洞,來幫助各機關早期發現異常問題。

陳泉錫表示,未來會以輪替方式,由他們自己的資安鑑識小組和委外健檢廠商,各自輪流替相關財政部門進行資安健檢和滲透測試工作。他解釋,這麼做的好處是,一方面能藉由專業資安廠商協助政府資安團隊,找出以往沒發現的資安問題;另一方面,也能夠檢視委外廠商有沒有認真在做事。這也是陳泉錫資訊政策的第2隻箭。「未來更以能替政府培育出一群具有專業資安分析能力的白帽駭客為目標。」他表示。

將建立更嚴格確實執行的資安稽核制度

在內部資安管理上,陳泉錫接下來也計畫建立一套能真正有效落實資安保護的資安稽核制度,來加強內部人員的資安自我檢查能力。儘管目前財政資訊中心已設有不少資安管理規範,如資訊安全管理制度(ISMS),或是ISO 27001資安認證等,不過在陳泉錫看來,這些資安管理規範內容並沒有真正「做到位」,多是屬於抽象或行政管理面的稽核,並無法讓資安保護徹底紮根。

「政府資安稽核制度要能夠到位,得先有一套明確資安管理規範。」陳泉錫也以常用的郵件來當作範例。他說,政府部門平時都會再三叮嚀員工,要求他們看到可疑郵件不能亂開,但哪些郵件是屬於可疑信件這件事太過抽象,並沒有明確規範而難以落實。所以,陳泉錫從去年開始著手建立新資安稽核制度,一部分借鏡他在法務部任內制定的資安管理規範,希望建立一套可供嚴格確實執行的資安稽核標準作業程序,並依據這些標準文件來確實嚴格進行稽核。

陳泉錫表示,未來這些對內公布的資安管理規範,會清楚條列出每位員工必須遵守的資安標準作業程序,例如要求員工開啟郵件時,必須先用純文字模式打開,待確認內容沒有安全疑慮後,再轉成HTML網頁格式;又或是使用隨身碟存取資料前,須遵守先將隨身碟預設的自動執行功能關閉等。

陳泉錫計畫今年3月初步完成部分管理規範標準先實施,並循序漸進開始推動落實資安稽核制度。往後還會定期考試或增加抽查項目,惟有嚴格執行,「才能符合民眾對全國最高財政資訊機關的資安所賦予更高標準的期待。」他說。

《詳細內文請見iThome電腦報(www.ithome.com.tw)》