https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

國外金融不出事的關鍵~專職分工的資訊部門(上)

2004 / 08 / 18
口述 許偉健/整理 卓長熹
國外金融不出事的關鍵~專職分工的資訊部門(上)

我以在英國金融業擔任資訊安全顧問的經驗,及對台灣IT環境的觀察,分享國外對IT組織的重視與作法,盼能為國內的資安人提供更切實的參考。
大體而言,國外的資安小組的責任分工較細而且定義明確,但國內IT組織的職責定義通常比較不清楚。例如談到資訊安全,網管部門光是管理可用性就忙翻了,於是就認為防火牆應歸屬安全管理人員負責。這種做法,似乎把關乎『安全』的事件都歸資安小組管理,但就實際狀況而言,牽涉技術的部分應該是屬網管人員的專業領域。
國內一般銀行的資訊部門做的事情可說是“包山包海”,負責網管、資料處理、應用系統開發、再加上資安;而國外的分工可以切的很細,但工作並不會減少,而是隨著分工愈細而遞增;一有資安事件,則會有資安小組專職處理。
國外的資訊部門可分為以下幾個小組
?變更管理Change Management
?企業永續經營/災難回復
Business Continuity/Disaster Recovery
?發展Development
?網路Network
?資料庫Database
?資訊安全/存取控制Information Security/Access Control
?支援小組Support

變更管理 Change Management
如果我有一個patch要變更,我應該通知誰?我的user有個系統必須更改,我該通知哪些人?我的資料庫要更動,我該通知誰?這便是變更管理小組的職責。
舉一個曾服務的金融投資機構做實例,此銀行的user約900~1400人,其變更小組的編制約2~3人;相對的,若user增加,編制亦會增加。
通常國外每個系統一定有一個owner,每個系統或資料庫也一定有專人負責,這也是變更管理的先決條件,可以從業務及流程上找出最適合的負責人。
例如有個投資管理系統要變更,其維護職責是屬IT部門,使用是業務(投資)單位,所以owner理當屬業務單位。因此若要變更系統則應告知業務單位的owner,經其同意後再於恰當時間做變更動作。
在國外,系統變更是每天都在進行的事務。此小組的任務與流程是各單位有任何變更需求,則由IT人員通知變更小組,變更小組找出owner後,同時email通報知會owner、MIS、資料庫、網管、資訊安全五個組別,在變更前各組別則先檢視評估風險或時間等因素是否適當,待五組分別達成協議後才能進行變更;變更之後各組也會得到變更成功或失敗的訊息,若成功則完成變更程序,若是失敗則啟用恢復機制。此機制優點是減少IT部門或使用單位任意不當變更的傷害。

企業持續計畫(Business Continuity Planning, BCP)
企業永續經營小組的目標主要是災難事件後確定企業的回復與存在。BCP與DRP(Disaster Recovery Planning資訊災害復原計畫 )不同,BCP著重於人和相關作業流程的部分。例如SARS期間許多人員遭到居家隔離,或工作群組集資買樂透,萬一中特獎所有人提前退休,對企業馬上造成營運影響。
BCP包含計畫、執行、演練及考核,必須與各部門接觸,時時評估潛在威脅、甚至如何與媒體接觸等,著眼整個營運的影響,而DRP則著重災難復原的相關機制。
我在待過的銀行中規劃BCP計畫,整整花了一年的時間,經過種種整合、測試、執行後才建立了BCP的基礎。國外的BCP編制約2~4人,在人選上亦是非常優秀而且經驗豐富的人才,因為在業務的接觸範圍已不只是IT人員,更必須經常與CIO、CEO溝通,了解整體的業務範圍並能協調各部門。
BCP亦會有一個常態性的設置風險管理小組專職處理並負責危機事件,相對於台灣的狀況,則大部分只做DRP的部分,認為只做好backup機制就足夠,而忽略了BCP著重於『人』和『作業程序』的重要性,此外BCP人才亦是非常匱乏。

系統開發 System Development
系統開發的主要目標是提供對於銀行內部使用應用軟體的支援;任務則是負責內部軟體及應用軟體的開發和維持既有系統支援。國外有些機構仍在使用COBOL,甚至是DOS的老舊系統,這是源於研發的公司已不存在,所以內部人員便負起維護的職責,更是不敢更新。