揮別金融資安夢魘 金融業資訊安全實務研討會

或許是因為金融業者受到前陣子資安事件的衝擊，真正意識到若不趕緊了解及落實金融資安，則日後將有可能須面對無法承受之損失。因此本次活動一經宣布，就吸引大量的金融業者報名參加。為期半天的活動吸引了一百五十餘位聽眾，出席率超過百分之百。

在進入演講活動前，資安人雜誌召集人侍家驊除了代表主辦單位歡迎四位主講者的蒞臨，以及金融業者的熱烈參與外，更提出三點呼籲：首先，中華民國需要資訊部，這點需要凝聚產、官、學、研各界的共識，並加以推動落實；其次，呼籲在座所有金融從業人員善盡個人隱私資料保護的責任；最後，他鼓勵大家利用各種管道，例如上資安人科技網（www.informationsecurity.com.tw）的「專家Q&A」專區，對資安問題充分交流，提出疑問或尋求解答。
資訊安全風險控管
財金公司安控部經理陳柳元主講「資訊安全風險控管」議題，他從「資安與風險評估」、「資安潛在威脅與管控對策」以及「資安風險控管實務」三大面向來說明。 他指出，資訊、系統、網路都是重要資產，金融機構資訊的機密性、完整性及可用性，與機構的競爭力息息相關，因此必須針對資訊安全做全方位的評估，以降低企業的資訊風險。而評估的項目包括資產、資產價值、弱點、威脅、資安風險、資安需求及資安的管控等。 他指出，資安的風險是可以被量化的，且唯有量化，才能讓大家真正感受到它的重要性，並知道該從哪一方面開始著手解決。

導入資訊安全防範措施，可以降低企業受到資安問題的危害。導入前首先仍應做評估，建立風險管理程序，並依實際狀況選擇適合的風險控管方式。 他提到，金融機構所面臨的風險包括市場風險、信用風險、作業風險、流動性風險、法規風險、系統性風險、信譽風險以及策略風險，而其中以信用風險佔最高比例（約60%），其次是作業風險（30%），市場風險及其他風險則各佔5%。 要落實巴賽爾（Basel）對金融機構作業風險的管理，除了內部宣導外，應逐步展開設置專責單位及分派專責人員負責作業風險之辨識、衡量與監控，建置作業風險管理機制；再來，應針對各項作業風險指標進行追蹤與自身重評，並量化作業風險；至於將作業風險管理充分融入整體的風險管理。

最後，他提出幾點成功的要素：1. 有相同於經營目標之安全策略、目標和活動；2. 與組織一致的文化；3.來自最高管理者的承諾和支持；4. 容易理解的安全性要求；5. 對全部同仁的有效推動；6. 適當的訓練與教育。

金融業營運持續管理
第二場由英國BSi標準協會經理蒲樹盛主講「金融業營運持續管理」。蒲樹盛提出幾個針對企業的調查數據，包括：台灣中小企業目前只有不到30%實施網際網路安全政策；94%的英國大企業在2003年曾遭到安全破壞；單一的安全事件中損失最高可達到台幣950萬；美國銀行業由於網路安全問題導致電腦系統中斷，每次的損失平均為1000萬美元；美國證券公司或基金公司每小時的產業停機時間成本是64.5萬美元…等，來印證資訊安全的重要性。

若要企業長治久安，必須能「預料無法預料的事」，而訂定BCM營運持續管理計畫，能從一個全面的管理過程，鑑別威脅組織的潛在衝擊，協助建立彈性的框架，以保護股東、聲望、品牌與價值利益，並有效因應問題的發生。 BCM有其步驟週期，一是瞭解您的營運，包括營運目標為何？符合這些目標所要求的產品或服務為何？需達成的時間為何？誰需要參與以達成目標？以及如何達成營運目標？ 其次，應建立BCM策略。發展BCM策略時，應考慮三種層級：組織（整體）、流程層，以及資源復原等BCM策略層級，而其策略性選項包括：1. 不做任何事承受該項風險；2.流程轉移；3.終止或改變；4.保險；5.緩和損失。 第三，應發展與實施BCM計畫（BCP）。考慮以下內容：1.鑑別並協議所有權責及緊急程序；2.必須在要求時間內完成復原工作，需特別注意與外部的營運依存要件（ business dependency）與合約的適當性；3.程序文件化；4.適當的員工訓練，包括危機管理；5.測試並更新計畫。 第四，應兼顧BCM文化的建立與深化，考量長期過程且可能遇見不可低估的抗拒；針對組織策略與日常管理的重要部分，持續利用教育、認知訓練與參與，造成文化改變；提出計畫—建立企業認知，加強實施、維護、管理與執行BCM所需的工作說明、技巧、知識與經驗；來自主管、資深管理階層同意並簽署書面BCM願景與政策聲明及支援…等。
第五，則是演練、維護與稽核。也就是採用各種技術確保計畫能實際運作，包括： 沙盤推演、狀況模擬、技術性復原測試、測試異地復原、測試供應商的設施和服務、完整演練等。

作業風險管理實務與電腦鑑識
「作業風險管理實務與電腦鑑識」由勤業眾信企業風險管理部副總經理萬幼筠講解。他提到，包括金融全球化、電子商務成長、金融機構大規模整合或合併…，諸多因素都使得金融機構之監理當局開始注意作業風險一事，而法令的要求，也使得金融機構開始做好風險評估與管理。

萬幼筠介紹了Basel II作業風險管理之需求與意涵，他提到 Basel 的精神讓金融業者做好風險管理，就能獲得rewards。他一一講解了Basel II風險管控的需求、作業風險管理要求的現況、整合性風險管理機制等。

整合性風險管理機制的架構中，介紹了作業風險管理的要求、作業風險管理可能的組織架構，並介紹了風險管理中的四大要素：組織、政策、文化與流程之間的關係。 他提到作業風險之七種事件類型，包括：內部舞弊、外部舞弊、人員聘僱實務與工作場所安全、客戶/產品與經營實務、營運中斷與系統失效、實體資產損毀、業務執行/服務提供與流程管理；以及作業風險控管之風險類型：人、程序、系統以及委外。 當然他也提到了風險的移轉與緩解，並強調營運持續計畫（BCP）、保險、強化控管機制的重要性。此外，他並提醒金融機構因委外而產生安全漏洞很多，更應利用整合性的風險管理概念來預防災難發生。

另外，為了因應這些挑戰，萬幼筠也指出金融機構可以充分利用電腦鑑識的方法及工具。 美國金融機構如何做好安全風險管理

CA總部資深產品經理白培瑩，則是由廠商的觀點，輔以一個北美金融機構的案例，來探討金融機構如何落實安全風險管理，並分享各種不同的安全管理實作規劃經驗。 他提到，在FBI每年針對企業做的調查顯示，有80%的安全問題都是來自於內部的員工及管理，而非外部的病毒或攻擊。其實很多金融單位不是沒有資安設備，而是缺乏內部控管。他認為金融機構在安全方面，應做到建立威脅解決方案、存取控管、身分識別控管以及所有安全資訊的管理。 對於安全資料，應主動加以收集、智慧化分析，才能據之而採取有效的行動，如此一來不但可以解決問題，更可以去預測將來可能發生的問題。有效的管理，應兼顧人、程序以及產品。根據FBI的調查，存取控管、身分識別控管可有效做好內部管理，降低作業風險。 案例探討中的主角，是一家位於北美洲，名列Fortune雜誌前100大的金融服務公司，提供包括金融、保險及投資方面的服務，在全球擁有超過20萬名員工，客戶遍布全球100個以上的國家、超過1億人。資產額則超過一兆。 這家金融機構在做了安全風險的評估後，發現在身分管理、存取管理及資安／稽核需求上，都須花費大量的成本。為了減少成本支出，應導入自動識別系統、功能更強大的存取管理、更安全的稽核管理以及做好災難後復原的計畫。最後白培瑩並跟與會者分享了安全管理的實作五點：了解企業環境、人員／流程的自動化與合理化、強化稽核與集中管理。

本次的研討會限於時間關係，很多內容都無法在短短一個上午分享完畢，本刊將持續追蹤更多相關議題，在日後提供更詳細的報導給讀者。