主管機關除了要求、還需引導

2014 / 12 / 01

編輯部

    站在登機口的一隅，一眼就看到一位過往一起工作過的同事V。幾年不見，對方現在已經是國內某家銀行香港分行的主管。在這樣的場合碰面，大家總是覺得想要聊的議題太多，也因為這樣的機緣，除了在海外換來一頓米其林主廚的港式點心，更對國外的資訊環境有了更深一層的瞭解。

     對V而言，來到不同的地區，除了語言上的差距外，對於資安的議題，有著完全不同的想法。不管在國內國外，金融業本身就是對資訊安全高度敏感及重事的行業，尤其是網路銀行的興起以及行動支付的盛行，主管機關對於資安的要求相對提高。他說剛到香港的時候，面對主管機關的問卷根本不知道如何回答。無法作答的原因，並不是在於平常有沒有做，而是香港主管機關考量的都是風險，除了技術面的，連業務上的風險都必須考量進去。

     舉個例子來說，如果機房要搬遷，可能對於我們來說，就是要搬那些機器設備，那些人員需要參與，或是什麼時間要搬。到了香港，主管機關在意的，從你機房地點的選擇就列入考量的範圍，甚至於搬運公司，在搬遷的過程有沒有採取適當的保護措施，以避免機器於搬遷時受到損害都要列入考量，如果有機器設備需要合併的，包括機器合併的測試計劃，或是合併之後如果失敗的復原計劃，都是整體考量的一個環節。甚至於你在網路上有沒有適當的教育使用者，如何避免上到錯誤的網站。這些可能在台灣運作時，都只是某次會議中的一個議題，很多時候連會議記錄上都不會有。但是在香港這樣的做法是完全不可行，測試要有測試計畫及記錄，還要確認這些計劃和記錄是彼此有關連性的。從頭到尾每一個環節都要清清楚楚，還要找獨立第三方確認所有的項目都符合主管機關的要求，才能有後續的動作。

    沒想到逐漸適應當地主管機關的要求，接下來居然有阻力的是公司內部，高階主管的第一句話就是，為什麼要做這個東西，我們在台灣都沒有做，主管機管也沒有要求，那為什麼那邊的主管機關就會要求做這些?其他的同業是不是都有做? 如果不做會怎麼樣?還是我們拿現成的文件取代就好? 明明你是分行，為什麼資訊作業由我代管，還要對我進行查核，那要不然在香港自己找人做就好了，但這些成本要由你們負擔。內部溝通不知說了多少次當地的主管機關就是這樣要求，還在那邊想有沒有其他的旁門走道可以走。反正簡單的一句話，就是要少花錢，至於是不是會有資安的風險，反正到時候碰到再說。

    這樣的環境，對於一位資安從業來說，是有壓力的，但是也是讓人羨慕的，當資安的議題，是多方真正關注的焦點，能防範或解決問題的，而不是沉溺於有沒有簽名，或是文件有沒有用那幾個字，有沒有辦法臨時產生一些查核所要的結果。這樣的環境，是需要大多數的人一起去創造的，我期待這樣的日子能夠早點到來，也惟有整個環境成熟了，這些平日辛苦的資安人員，才會有真正被重視的一天。

企業溝通支持資安訓練