「電子發票加值服務中心」導入 ISO/CNS 27001 勢在必行！

圖片來源：freepik

在超商、餐飲、量販等場域都常見到電子發票的開立，對於業者來說，使用電子發票除了有助於節省紙張列印及寄送之成本外，將電子發票上傳至財政部電子發票整合服務平台，利於查詢及維護發票交易資料，也可透過「加值服務中心」代為處理，免去自行處理的繁複流程。

但也因使用電子發票的普及化，未來電子系統將會觸及到更可觀的數據資料，所以近期政府加強這一部分的資安審核，若您是加值服務中心（可參考：稽核機關核准已的148家），因應本次的法令變動，請務必留意以下內容！

電子發票加值服務中心，2023年前未重審恐將失資格

根據行政院財政部-電子發票加值中心辦法規定要求，於2018年7月18日通過的《電子發票實施作業要點》，需在2023年 (民國112年) 須具備 ISO 27001 資訊安全驗證。

依據此法規要求，政府以業者的資訊與資安能力作為申請門檻，因此加值服務中心須檢具第三方公正機構驗證其電子發票系統之資訊安全管理制度是符合 CNS 27001 國家標準 或 ISO 27001 國際標準的證明文件。

因此，加值服務中心若未重新審查資格者，其資格將於2023年12月31日失效！考量到導入資訊安全管理系統（ISMS）所需投入的人員、物力及時間資源，若是企業尚未取得 ISMS 第三方認證，建議企業主應盡早導入管理標準。
-
參考來源：中華民國財政部《電子發票實施作業要點》條例

《電子發票實施作業要點》Q＆A 大哉問

Q1：如何擔任加值服務中心？

　a）依據《電子發票實施作業要》點第十二點，營業人具備下列條件者：

1. 截至前一年底財務報表之稅前淨利無累計虧損。
2. 截至前一年底財務報表負債占資產比率低於百分之五十，計算公式：負債總額／資產總額。但上市(櫃)公司不在此限。
3. 無積欠已確定之營業稅及罰鍰、營利事業所得稅及罰鍰。

　b）營業人若已擔任加值服務中心，應先向財政資訊中心申請電子發票系統檢測，申請書及文件參考如下：

1. 符合前項第一款及第二款規定之證明文件。分支機構辦理申請者，應提示總機構營利事業之前開文件。
2. 電子發票服務計畫書及承諾書。
3. 電子發票證明聯及銷貨退回、進貨退出或折讓證明單樣張。
4. 以憑證使用電子發票者，已依第五點規定申請憑證之證明。
5. 電子發票系統之資訊安全管理制度符合 CNS 27001 國家標準或 ISO 27001 國際標準之證明文件。

Q2：如何維持加值服務中心的資格？

　a）依據財政部《電子發票實施作業要點》第十三點，營業人經取得主管稽徵機關核發擔任加值服務現在就是最佳時機中心核准函後，每五年須重行審查，應於核准期間屆滿前九個月起之一個月內，向財政部財政資訊中心申請電子發票系統檢測，於核准期間屆滿前九個月起之四個月內符合前點第一項規定，並備齊前點第二項規定文件，向所在地主管稽徵機關申請審查。經審查通過，得自前次核准期間屆滿之翌日起算五年內，繼續擔任加值服務中心。

　※ 備註：加值服務中心未於前次核准期間屆滿前九個月起之六個月內通過審查核准者，自原核准期間屆滿之翌日起不得繼續擔任加值服務中心。

Q3：什麼是 ISO 27001 國際標準?

　a）CNS 27001 國家標準或 ISO 27001 國際標準 基本上是適用於各種產業及組織之資訊安全管理系統標準，該標準採 PDCA 管理循環（Plan-Do-Check-Act）架構，附錄則包含了114個控制項。由於舉凡人力資源安全、通訊安全、資訊安全事故處理等重要管控議題都已列入管控，可做為組織思考提升資安能量的重要依據與參考。領導力企管將標準架構及附錄控制項整理如下：

ISO 27001：2013架構圖：

資安管理制度附錄控制項如下：

A.5 資安政策

A.6 資安組織

A.7 人力資源安全

A.8 資產管理

A.9 存取控制

A.10 密碼學

A.11 實體與環境安全

A.12 作業安全

A.13 通訊安全

A.14 系統獲取、開發與維護

A.15 供應商關係

A.16 資安事故管理

A.17 資安營運持續管理

A.18 遵循性

加值中心採雲端機房，控管成本更彈性

許多加值服務中心採用「雲端機房」做為電子發票系統之解決方案，這屬於 IaaS (基礎設施即服務) 之雲端服務模式，供應商提供雲端運算服務所需的設備，例如伺服器、雲端硬碟儲存等，讓用戶能夠使用各種基礎運算資源，在使用上具彈性及成本管控的優點。( 相關文章：雲端世代七項資安新標準再升級 )

至於選擇雲端機房前，可了解對方是否通過 ISO 27001、ISO 27017、ISO 27018 等相關國際標準外，建議也需確認是否有相關法遵規範，並了解其使用者權限 ( User Privileges ) 及資料整合與隔離 ( Integregation / Segregation ) 之規範是否周全，確保資料放在安全可靠的伺服器上。

加值中心導入 ISO 27001 勢在必行！

綜上所述，若需申請擔任及定期複審的加值服務中心，除了須檢附電子發票系統檢測並通過文件、服務計畫書等相關證明之外，由於加值服務中心需進行資料拋轉及程式介接相關作業，因此還要確保資訊系統運作，以及資料內容的完整性、可用性、可歸責性及資料不外洩。這些要求都一再考驗著加值服務中心的資訊安全的能量，也說明了《電子發票實施作業要點》第十二點及附件申請書當中皆要求加值服務中心其電子發票系統須符合 ISO / CNS 27001 的原因。

-

若您有 ISO 27001 資訊安全系統 導入計畫或疑問的朋友，及早導入及早適應新規，也能有較充裕的文件準備期，歡迎立即留言 與我們聯絡！