財政部為提升稅務服務品質及效能刻正進行賦稅再造專案,依稅務系統整合及因應現今趨勢新增需求,將原有舊的系統轉換至新的系統整合平台,並配合財政部財稅資料中心完成調整國稅系統相關驗測及專案整合實務。遂於民國99年起推動「賦稅資訊系統整合再造更新整體實施計畫」。然而,隨著軟體程式功能的逐漸擴大與複雜度日趨繁雜,在開發程式時,可能衍生的弱點及資安漏洞也有增無減,致使資訊安全問題層出不窮。因此,如何在軟體開發設計的過程之中,加入安全理論與實務技術,在資訊系統開發時考量安全性,撰寫較為安全與研判例外狀況的縝密程式碼,係現行各類大型專案管理上之重要課題。 本研究係針對國稅系統依Fortify SCA(程式碼安全檢測工具)的操作程序逐步實作,藉以進行各個程式構面上的資安漏洞檢測;進而有效達成國稅再造專案之相關資安風險管控與各類安全威脅排除,以改進並提升程式的軟體品質及系統整合,同時針對參與專案之軟體開發專業工程師且具備相關資安素養之32位程式開發專才作為調查對象,透過問卷及深入訪談調查,並運用投票式評選模式與結合AHP(層級分析法),評選ISMS(資訊安全管理系統)中與程式碼安全檢測相關之控制要項,進行深度分析與相關研究,以做為企業導入程式碼安全檢測工具進行系統整合時,一旦要導入ISO/IEC 27001:2005時相關控制措施進行軟體品質改進時之參考。
In this paper, actual experience and achievements of the Chien Hsin University Department of Information Management students participate in hiking with Mitac ITX Nnational Tax Systems project for the sharing of the national tax system according to Fortify SCA (Static Code Analyzer) operation into the exercise program configuration information on the security vulnerability testing, and then to find a solution reconfigurable programmable logic and style, in order to effectively reach a tax recycling rule out the risks and threats of programming aspects of the operational requirements, and Have knowledge of programming information security staff Conducted a questionnaire survey, Related control project selection, Order by degree of effective the achieve, As a business importing code security testing tools which can simultaneously control measures through ISO/IEC 27001:2005 basis.