拜見資安行家(下)

徐子文：安全需要的是T型人才！(台北金融大樓安全室安全總監)
提到台北的新地標，大多數人馬上聯想到位在信義區的101大樓，而光是想像要負責這棟超高大樓的安全性，就令人覺得沉重、艱鉅。曾任UPS、遠傳安全總監的徐子文，目前正是台北金融大樓安全室安全總監，身負確保這棟大樓和內部人員的安全重任，無分實體安全和資訊安全。

海軍退伍後，徐子文的每任工作都和安全習習相關，但由於公司營業性質的差異，要保護的重要資產、面臨的挑戰也大不相同。在UPS時，管轄的領域涵蓋四個國家五個機場，不同地區要因應不同的文化予以管理；而遠傳最重視的則是客戶的資料，因此會偏重於資訊安全；來到101大樓，則又稍微偏重實體的安全性，他在巡視大樓的同時，時常在做的便是觀察人的行為反應，他發現即便同樣身在公共場所，用餐時和逛街時的行為、心態也有差異，同時也在研究人在遇緊急危險事件時會做何反應，犯罪學、心理學都是近來的涉獵領域。

安全主管越老越值錢
「我們不是為了取閱老闆而存在，卻又要老闆付我們薪水，」徐子文指出安全人員在公司內的地位高低，和老闆是否重視安全大有關係，因為老闆要能夠包容這些「烏鴉」，而安全花費的成效雖無法立竿見影，卻是為了保障公司的長遠發展，「我們不直接賺錢，而是強化公司的體質、競爭力，協助公司賺錢。」因此安全人員很難證明自己的價值，重要的是老闆能夠認同、信任。「國外的安全主管是越老越值錢，安全專家是要經過千鎚百鍊的。」其價值便是來自於豐富的經驗累積，才能臨場做出更準確的判斷；而911之後，國外安全人員的薪水更是水漲船高，不過在國內則端視老闆的重視程度而定。

安全需要的是T型人才
在徐子文眼中安全是門應用科學、觀察科學、實用型科學、社會科學，包含著可被檢驗的科學成份，也有著管理人的藝術。除了需要有一專長的領域外，還要能橫跨實體、資安、人事、緊急應變等..，「因此安全需要的是T型人才，」徐了有一核心專長以外，還要對各相關領域有廣泛的涉略。因此相關的法律要懂，要瞭解人、所以心理學、犯罪學也需研究，因此安全人才常是來自各領域，徐子文指出，未必一定要是理工技術出身，但要瞭解資訊科技，「畢竟電腦不犯罪，是人才犯罪，」因此只懂技術，不懂人亦不合適。

安全人員首重自身誠信
除了對人要有興趣外，徐子文認為太嚴肅的人亦不合適，因為較難去說服別人，畢竟安全觀念是需要依賴安全人員去傳播、銷售的。而安全主管更需要時常動腦袋去思考如何在有限資源下做最多的事，找到安全和便利的最佳平衡點，才能贏得老闆的信賴。而更為重要的是個人的誠信，「本身都做不好就不要想來做，」他表示，安全人員本身便是標竿人物，不能自己違反自己下的命令；更不可因為官大了，就忘了自己的身份，自行享有特權。

徐子文認為，未來安全領域一定會朝著實體和資安合流的方向走，但安全觀念和市場要能成熟、普遍可能還需要十幾年。由於是極具潛力的未來市場，且這行重的是經驗累積，「現在正是卡位的好時機，」他鼓勵有興趣的人都可以加入，重點是：你是個T型人才。

江韶文：沒有人做過的事，就不會做錯！(ING安泰人壽風險管理室資深協理)
數學系畢業的江韶文，一腳踏入壽險業20餘年，從一開始的程式設計師到目前ING安泰人壽風險管理室的主管，中間雖然歷經不同職務及工作，但始終如一，不變的是他對工作的投入以及追求新知的熱忱。

目前擔任ING安泰人壽風險管理室資深協理的江韶文，不管是從資訊安全室或是到現在的風險管理室，所負責的工作性質，不外乎處理可能影響公司的危機、災害、事故等，隨時要有應付突發事故的準備及能力；而大部份時間，則是在推動與宣導全公司有關的各項資安活動。因此，目前的他，隨時需要大量與人溝通與接受備詢。

建立六大Best Practices
2001年ING安泰人壽成立資訊安全室，江韶文主要工作任務是負責資訊安全的規畫、推動及建構組織架構等。強調是以管理的方式而非控制，所以在接觸BS7799後，便參考了BS7799的精髓列出六大Best Practices，分別為：組織、政策、認知與訓練、Instant Report、Business Continue Plan及Audit（Monitor）機制等六項，做為ING安泰人壽在資訊安全管理作業推動上的主軸。

為了配合總公司推動ISAP（Information Security Awareness Program），這是全公司的活動，但資訊安全室只有3個人，因此江韶文建立一組織架構，成立資訊安全推行委員會，成員由公司每個部門指派一名人員參與。而有關公司資安活動的推動，就是由這個資訊安全推行委員會來執行，而由其各部門的經理人負責監督。這個組織架構之所以可以落實運作，除了獲得CEO的重視及支持外，各部門經理人的樂意配合，以及最主要的是員工均視為是工作項目之一，自然各項資訊安全活動或專案便可以被推動及執行。

除了藉由資訊安全推行委員會去推動各項資安活動外，他也負責追蹤、輔導被稽核的部門或單位。根據稽核室所查出公司所有的弱點，擬一稽核議題做為追?處理程序，並將各部門承諾要改善處理的結果報表，最後呈至總經理；因為總經理重視且關切這個稽核報表，也因此促使各部門努力去改善所有弱點。


熱愛工作，樂於工作
勇於接受新知及挑戰的江韶文，認為對工作感興趣最重要，所以他可以接受公司新部門及新任務的安排，正如全新領域之於他的資訊安全室。「沒有人做過的事情，就不會做錯」由這句話充分展現他對工作的熱忱及勇於嘗試、接受不同挑戰的個性。也因為這樣的個性，以及提昇自我在工作領域的專業知識，他笑稱自己是最老考取「電腦稽核人員」CISA證照的人。

而要成為IT人員需具備什麼樣的條件與特質呢？IT出身的他以過來人身分建議IT人員，不管在接受新工作及新任務時，不要馬上就自我設限，只做自己喜歡做的事，應該勇於去嘗試不同的領域並廣範接觸新事物；如此，不但可以擴展視野，也可以提昇個人的實力。