國外金融不出事的關鍵~專職分工的資訊部門(上)

我以在英國金融業擔任資訊安全顧問的經驗，及對台灣IT環境的觀察，分享國外對IT組織的重視與作法，盼能為國內的資安人提供更切實的參考。
大體而言，國外的資安小組的責任分工較細而且定義明確，但國內IT組織的職責定義通常比較不清楚。例如談到資訊安全，網管部門光是管理可用性就忙翻了，於是就認為防火牆應歸屬安全管理人員負責。這種做法，似乎把關乎『安全』的事件都歸資安小組管理，但就實際狀況而言，牽涉技術的部分應該是屬網管人員的專業領域。
國內一般銀行的資訊部門做的事情可說是“包山包海”，負責網管、資料處理、應用系統開發、再加上資安；而國外的分工可以切的很細，但工作並不會減少，而是隨著分工愈細而遞增；一有資安事件，則會有資安小組專職處理。
國外的資訊部門可分為以下幾個小組
?變更管理Change Management
?企業永續經營/災難回復
Business Continuity/Disaster Recovery
?發展Development
?網路Network
?資料庫Database
?資訊安全/存取控制Information Security/Access Control
?支援小組Support

變更管理 Change Management
如果我有一個patch要變更，我應該通知誰？我的user有個系統必須更改，我該通知哪些人？我的資料庫要更動，我該通知誰？這便是變更管理小組的職責。
舉一個曾服務的金融投資機構做實例，此銀行的user約900～1400人，其變更小組的編制約2～3人；相對的，若user增加，編制亦會增加。
通常國外每個系統一定有一個owner，每個系統或資料庫也一定有專人負責，這也是變更管理的先決條件，可以從業務及流程上找出最適合的負責人。
例如有個投資管理系統要變更，其維護職責是屬IT部門，使用是業務(投資)單位，所以owner理當屬業務單位。因此若要變更系統則應告知業務單位的owner，經其同意後再於恰當時間做變更動作。
在國外，系統變更是每天都在進行的事務。此小組的任務與流程是各單位有任何變更需求，則由IT人員通知變更小組，變更小組找出owner後，同時email通報知會owner、MIS、資料庫、網管、資訊安全五個組別，在變更前各組別則先檢視評估風險或時間等因素是否適當，待五組分別達成協議後才能進行變更；變更之後各組也會得到變更成功或失敗的訊息，若成功則完成變更程序，若是失敗則啟用恢復機制。此機制優點是減少IT部門或使用單位任意不當變更的傷害。

企業持續計畫(Business Continuity Planning, BCP)
企業永續經營小組的目標主要是災難事件後確定企業的回復與存在。BCP與DRP(Disaster Recovery Planning資訊災害復原計畫 )不同，BCP著重於人和相關作業流程的部分。例如SARS期間許多人員遭到居家隔離，或工作群組集資買樂透，萬一中特獎所有人提前退休，對企業馬上造成營運影響。
BCP包含計畫、執行、演練及考核，必須與各部門接觸，時時評估潛在威脅、甚至如何與媒體接觸等，著眼整個營運的影響，而DRP則著重災難復原的相關機制。
我在待過的銀行中規劃BCP計畫，整整花了一年的時間，經過種種整合、測試、執行後才建立了BCP的基礎。國外的BCP編制約2～4人，在人選上亦是非常優秀而且經驗豐富的人才，因為在業務的接觸範圍已不只是IT人員，更必須經常與CIO、CEO溝通，了解整體的業務範圍並能協調各部門。
BCP亦會有一個常態性的設置風險管理小組專職處理並負責危機事件，相對於台灣的狀況，則大部分只做DRP的部分，認為只做好backup機制就足夠，而忽略了BCP著重於『人』和『作業程序』的重要性，此外BCP人才亦是非常匱乏。

系統開發 System Development
系統開發的主要目標是提供對於銀行內部使用應用軟體的支援；任務則是負責內部軟體及應用軟體的開發和維持既有系統支援。國外有些機構仍在使用COBOL，甚至是DOS的老舊系統，這是源於研發的公司已不存在，所以內部人員便負起維護的職責，更是不敢更新。