主掌全國2,300萬人財政資訊的財政部財政資訊中心,每年要處理全國民眾上千萬筆報稅資料,一旦政策有了轉變,不只全臺高達600萬戶家庭和140萬中小企業財產權益都受影響,甚至更會影響國家未來財政政策推動方向,因此一舉一動,都備受外界關注,新官上任的財政部財政資訊中心主任陳泉錫,新官上任三把火,接下來將端出的財政資訊新政策是什麼,大家都等著看。
未來5年目標要替政府省下10億張發票用紙
剛上任滿半年的陳泉錫祭出推動未來財政資訊新政策的三箭。徹底實現電子發票無紙化是陳泉錫射出的第一箭。陳泉錫表示,去年全臺電子發票總數高達60億張,占總發票量的6成,不過當中真正採用免紙張開立的電子發票只占少數,只有16%,若扣除公用事業開立部分,真正靠店家開立的無實體電子發票比例不到1成,多數都還是紙本開立,原因在於,無實體電子發票載具申請程序不方便,所以較少人願意使用。
所以,陳泉錫計畫推出2大新措施,來提高免紙張電子發票載具的使用比例。第一項便是要強化電子票證,如悠遊卡、iPASS一卡通等服務,與手機NFC功能整合,以簡化發票載具申請程序。以悠遊卡為例,陳泉錫表示,未來民眾只要將悠遊卡放置手機背面並利用NFC功能來感應,就能將電子發票記錄到你的手機App中,不只申請流程更簡便,而且還能幫你對獎,並透過手機號碼或E-Mail通知領獎,甚至還將規畫未來2千元以內的中獎金額,都能自動匯到民眾登記的悠遊卡內,連到超商櫃檯領取的步驟都幫你省下。
陳泉錫接下來更進一步,還要將無紙化的電子發票與電子支付結合,未來民眾採用支付方式來付款後,商家會將你購買物品索取的電子發票上傳至財政部的電子發票雲平臺,再由電子支付業者將發票跟你的購買明細,下載到用戶端的手機App上,藉此養成消費民眾拿免紙張發票的習慣。
除了這兩項新措施,再加上,往後若能有更多電子商務店家都能導入免紙張電子發票的話,「無實體電子發票占比5年內最高將提升到40%。」陳泉錫說,這是有機會能夠達成的目標。電子發票無紙化比例將翻倍,代表每年將可替政府多省下逾10億張發票用紙量。
陳泉錫對處理財政資訊業務其實並不陌生,他資訊生涯的第一份工作就是在以前的財政部財稅資料中心,從最基層的約雇程式設計師做起,一路升上副組長、組長,而且一待就是18年,直到1998年調任法務部擔任資訊處處長,這一離開也同樣是18年,再回來,他已是財政資訊中心主任。「連我自己都沒料想到。」陳泉錫笑著說。
早年,陳泉錫擔任財稅資料中心組長期間,主要負責財稅系統技術及架構規畫,以技術面開發為主,但自從升任中心主任後,他說,現在做決策時,不單單要考慮技術層面,更要從業務角度,來看待下達的每個決定能不能符合內部業務單位需求、來自國會挑戰,以及廣大民眾期待,這是一大挑戰,也逼得他要在最短時間內掌握財政資訊業務,推出他的財政資訊新策略。
成立實戰資安健檢及鑑識小組來強化資安
當然在推動新資訊政策,來打造更多深化的財政應用前,陳泉錫還有個更重要任務是要強化資安,畢竟資安若是沒有嚴格把關,一旦遭到駭客入侵,不只是民眾財稅資訊可能外洩,嚴重甚至可能造成國家身陷財政危機,所以,陳泉錫一上任後,就開始對內強化資訊安全保護,並從兩大資安策略方向著手。
陳泉錫特別重視政府內部數位證據保全與資安應變能力,上任不到半年,他便成立一個專門從事資安健檢及數位鑑識的資安小組,希望訓練IT人員有能力在遇到資安問題時,就能先一步保全數位證據,以便往後數位鑑識工作進行,甚至靠自己就能獨自完成初步資安診斷,而不是當資安事件發生時,只能被動等待其他資安偵辦機關,如調查局、偵九隊來救火。
目前財政資訊中心新成立的資安健檢及數位鑑識小組成員共有13人,其中專責資安人力只有1人,其他多是以兼任為主,除了有從財政資訊中心各組調派的資訊人力外,成員組成也有包括來自關務署、國有財產署和臺灣銀行方面派來的人。
但畢竟這些成員並不是專業資安人員,平時不善於資安分析工作,為了降低資安技術門檻,陳泉錫也借用他在法務部開發的一套數位證據保全工具,具備有簡易分析功能,能協助資訊人員做到初步資安風險判斷,例如當分析結果顯示為紅燈,代表有高資安風險,須進一步鑑識分析,假如是綠燈則是安全。另外陳泉錫還將他在法務部制定出來的數位證據保全標準作業程序,變成資安團隊未來能夠採行的一套數位證據保全標準。
即使有了資安證據保全能力還不夠,陳泉錫對這個資安鑑識小組更高的期待是,未來每位成員至少都要有基本資安分析和鑑識技巧,能站在資安第一線位置,搶先一步找到問題來阻斷攻擊源,將損害降到最低。而資安實戰演練是陳泉錫認為最快培養資安技巧的作法,因此,他要求,所有學員必須邊學習同時邊完成他不定期交付的資安演練任務,像是以財政部及所屬機關作為假想攻擊目標,利用弱點掃描軟體或其他的工具,來執行滲透測試,從外部或內部網路蒐集系統的相關資訊,來找出更深層次的漏洞,來幫助各機關早期發現異常問題。
陳泉錫表示,未來會以輪替方式,由他們自己的資安鑑識小組和委外健檢廠商,各自輪流替相關財政部門進行資安健檢和滲透測試工作。他解釋,這麼做的好處是,一方面能藉由專業資安廠商協助政府資安團隊,找出以往沒發現的資安問題;另一方面,也能夠檢視委外廠商有沒有認真在做事。這也是陳泉錫資訊政策的第2隻箭。「未來更以能替政府培育出一群具有專業資安分析能力的白帽駭客為目標。」他表示。
將建立更嚴格確實執行的資安稽核制度
在內部資安管理上,陳泉錫接下來也計畫建立一套能真正有效落實資安保護的資安稽核制度,來加強內部人員的資安自我檢查能力。儘管目前財政資訊中心已設有不少資安管理規範,如資訊安全管理制度(ISMS),或是ISO 27001資安認證等,不過在陳泉錫看來,這些資安管理規範內容並沒有真正「做到位」,多是屬於抽象或行政管理面的稽核,並無法讓資安保護徹底紮根。
「政府資安稽核制度要能夠到位,得先有一套明確資安管理規範。」陳泉錫也以常用的郵件來當作範例。他說,政府部門平時都會再三叮嚀員工,要求他們看到可疑郵件不能亂開,但哪些郵件是屬於可疑信件這件事太過抽象,並沒有明確規範而難以落實。所以,陳泉錫從去年開始著手建立新資安稽核制度,一部分借鏡他在法務部任內制定的資安管理規範,希望建立一套可供嚴格確實執行的資安稽核標準作業程序,並依據這些標準文件來確實嚴格進行稽核。
陳泉錫表示,未來這些對內公布的資安管理規範,會清楚條列出每位員工必須遵守的資安標準作業程序,例如要求員工開啟郵件時,必須先用純文字模式打開,待確認內容沒有安全疑慮後,再轉成HTML網頁格式;又或是使用隨身碟存取資料前,須遵守先將隨身碟預設的自動執行功能關閉等。
陳泉錫計畫今年3月初步完成部分管理規範標準先實施,並循序漸進開始推動落實資安稽核制度。往後還會定期考試或增加抽查項目,惟有嚴格執行,「才能符合民眾對全國最高財政資訊機關的資安所賦予更高標準的期待。」他說。
減少系統委外,培養資訊人員自主開發能力
除了內部要建立能更嚴格執行的資安稽核制度,陳泉錫上任後也同時要強化IT自主開發能力。陳泉錫坦言,政府機關IT業務繁瑣,很難做到系統完全自主開發,但若是全部委外,IT部門沒有自主開發能力,將可能承擔更高的風險。陳泉錫也以經濟學常用的財務槓桿的經濟模型,來解釋資訊委外槓桿產生的高風險,一旦當政府將IT全部委外,就如同財務槓桿是以借別人的錢來幫自己賺錢,借的錢越多,得承擔投資風險也越高,一旦操作不當,投資者必須得承擔虧損甚至是負債後果,同樣道理,政府資訊部門若是完全沒有自主開發能力,全權交由委外廠商處理,後果也將承受無法掌控系統開發品質,以及安全性的高風險。
不過,為了盡可能減少政府內部阻力,陳泉錫一開始選擇先以培育新進資訊人員為主,在去年內部成立了新的系統設計及訓練科,開始要求每位新進員工分發前,都必須先到這個新部門受訓半年,期間也會指派他們來獨立完成業務單位提出的專案需求。
目前第一期受訓新進人員有10多人,陳泉錫計畫先從一些較獨立、小型規模的系統,改由他們自行接手維運和系統開發做起,而當越來越多的資訊人員具備自主開發能力後,不只能更快支援業務單位的需求,更重要的是「IT人員能夠判斷廠商交付的系統品質、安全夠不夠好。」他說。
CIO小檔案
陳泉錫
財政部財政資訊中心主任
學歷:政治大學資管系博士
經歷:於財政資訊中心任職18年,擔任過副組長、組長多項IT職務,曾主導財稅系統及架構規畫,也擔任過法務部首位CIO,一手建立法務部資訊系統架構,更是「資訊基本法草案」起草人。去年6月正式接掌財政資訊中心主任,提出未來3大資訊政策推動方向
機關檔案
財政部財政資訊中心
● 網址:www.fia.gov.tw
● 地址:臺北市信義區忠孝東路4段547號
● 成立時間:1968年
● 主要業務:負責財政部及所屬機關資訊業務
● 主管機關:財政部
資訊部門檔案
● 資訊中心主管職稱:主任
● 資訊中心主管姓名:陳泉錫
● 資訊中心人數:約388人
● IT預算:約6億6千萬元(2016年)
● 資訊部門分工:綜合規劃組、國稅組、地方稅組、徵課管理組、資通營運組、資料處理組、電子發票推廣小組與支援服務室
IT部門大事紀
● 2010年:推動為期4年賦稅資訊系統整合再造
● 2011年:完成電子發票系統上線、建置綜合所得稅稅額試算系統服務上線
● 2013年:建置一站式稅務系統服務上線、開始推動財政資訊雲建置計畫,以整併財政部及其所屬機關機房
● 2015年:開始小規模試用開源OpenStack架構建立財政雲開發測試平臺
● 2016年:部門新設立系統設計及訓練科,以培養資訊人員自主開發能力、成立資安健檢及數位鑑識小組,負責辦理財政部相關網站滲透測試、弱點掃描、資安事件數位證據保全及鑑識分析等作業