從事業務具高度機密性而自發地導入BS7799 為了讓客戶感受到精業做事的認真嚴謹,精業自發性地導入BS7799驗證服務,其客戶還驚訝地問:「是誰要求你們去取得BS7799驗證?」精業的回答是:「我們對自己的要求。」同時,大多的客戶多是樂見其成,尤其是金控業。
在民國87年取得ISO9001,至今已有5年的時間,因此同仁對頻繁的文件作業、稽核制度視為正常工作流程;此外,有感於客戶資料的機密性,為了讓原本嚴謹的作業流程更嚴密,於是更積極地導入BS7799進而取得認證。
精業被高度要求安全保護其來有自,民國78、79年間,偽造假股票事件頻頻發生,所以客戶對於資料機密性的保護非常重視,其對於安全性的要求更高,不希望因資料外洩而影響上市公司的政策或股東會選舉,這一路走來以客戶的安全要求為第一。資訊管理整合服務事業部協理葉振民表示,『由於我們對自我的要求,因此想導入BS7799驗證使其更完整、有效率的管理,將作業環境從硬體、軟體再重新做一次整合,如此一來讓客戶可以更安心於我們的服務,將整個作業環境的風險降至最低。』
資安作業環境的高度要求 在還未導入BS7799之前,對於客戶的機密資料,已經做嚴密的妥善管理,但面對客戶時,不管如何解釋作業流程有多嚴謹,環境是採用雙備援、雙代理、雙檢核、網路環境控管嚴謹、資料處理中心採簡易型電腦設備功能等費盡唇舌地說明,都不如一張不會出聲的驗證書來得有用,資訊管理整合服務事業部處長吳淑貞說:「資訊安全對客戶而言是無形的,是很難利用眼睛可以觀察到的,客戶可能了解到精業資訊處電腦設備不能隨意上網、不能收發e-mal,造成諸多不便,但是客戶還是很難體會我們為此所做的資訊安全措施。」
精業分為四個部門,其為業務處、程式處、資料處及後續處理中心,處理作業的過程中,業務、程式人員首先必須了解客戶需求的帳單格式,客戶確認帳單格式沒問題之後,才請客戶將資料給資料處理人員,將客戶資料製作成帳單格式後,再送到後續處理中心列印帳單,之後裝封整批寄發,依照合約執行客戶要求後,這些資料將保存3個月,之後則將它銷毀,在過程中,只要曾接觸過這些資料的人,都會有詳細紀錄,也方便客戶稽核時查詢。以下即是精業在未導入BS7799驗證服務前的作業環境說明:
1. 雙代理及雙檢核制度
雙檢核部份從程式的開發撰寫等所有作業流程都需要兩個人看過,才可交付出去,是資訊處理業界很難做到的部份,要完成一項完整的作業需要有資訊人員、資料處理人員、列印及裝封人員,過程中都需要兩個人檢視過,才算完成。 此外,為了給予客戶24小時的服務,吳淑貞表示,精業採用雙代理人制度,一件事情一定有兩個人可以處理,當客戶有緊急需求時,可立即解決客戶問題。
2. 簡易型電腦設備及網路環境的控管
網路控管部份,最嚴格的是資訊處的資料處理中心,其電腦設備是不能上網、收發E-MAIL是完全受控管的,需經申請才能開放適度的權限,即使開放權限也是完全為了業務範圍,因而網路環境是完全封閉,此外,電腦設備簡易,只有讀取功能,沒有備份功能,因此無法拷貝或複製檔案,更無法使用USB隨身碟功能,由於資料處理人員每天接觸到幾百萬筆的客戶資料,所以對其作業環境的安全性也更重視。
3.雙備援環境
雙備援製度是從2004年9月開始,精業在三重正式成立備援中心,兩邊可以同時作業,兩個作業區可做為彼此互相的備援外,倘若天災人禍發生時,因不在同一區,可分攤一些風險,假設中和作業中心停電一、二天,即可由三重作業中心代為作業。目前業界多採用同行代工的方式,即得標以後再委外,因為對品質的控管不易,安全品質更難掌控。
三重作業中心平常也是在運作,每個月會定期的去演練,也成立一個緊急應變小組,當天災人禍發生,緊急應變小組就會啟動,其中的成員除了有三個部處主管之外,還有IT人員、服務處人員,列表人員及業務人員等,而其每個月定期會演練一次,倘若真的有必要,可以隨時啟動,其也在ISO和資安的檢核規範,是必須接受稽核的部份。此外,還與外界簽立第三個作業備源中心,也是每個月會固定去演練。
4. 資料處理人員控管
除了做好安全而周嚴的環境,資料處理中心的人員控管,更是資訊安全管理中最重要的部份,精業的新進人員要接受3個月訓練,其含共通課程、專業課程,最後才是前輩帶晚輩,此外,新進人員每星期都須填寫ISO品質手冊、BS7799資安文件的心得報告,在這3個月的過程當中,並定期觀察資料處理人員作業的執行力、嚴謹度及操守,一位優秀的資料處理人員培訓,至少要3年的時間,漸漸才會交付他重大的責任,吳淑貞說:「倘若資料外洩,洩一筆和一百萬筆是一樣嚴重的。」
葉振民表示,簡單地說我們將作業環境做到最安全,將人的影響降到最低,所以比較不依賴調查個人的方式,倘若取得那些人員的調查,也僅能保證過去,無法保證這個人的未來品德、操守。
5.高頻率的稽核制度
民國87年時,精業已取得ISO9001品質認證,當時也因取得其驗證,總公司也特別成立一個部門做內部的定期稽核,因此,每一季都會執行稽核工作,另外,資料處理部門的內部稽核是由主管定期會針對電腦登入記錄做查閱,門禁、監視記錄每週要查閱兩次,此外,內部也特別指派一位處長針對ISO9001及BS7799再做定期稽核,其內部稽核的自我檢視工作次數頻繁。
此外,由於客戶對其委外作業品質的高度重視,幾乎每個月都會來稽核,兩三天就會接受不同客戶稽核一次,因為人面對外部的稽核時,總是處於一個緊張的備戰狀態,客戶定期來稽核,給予一些更客觀的看法,使精業在這方面做得更周嚴,讓客戶更安心。
取得驗證循序漸進 水道渠成由於多年致力於保護客戶資料的機密性,使精業以6個月時間,通過BS7799的驗證,吳淑貞表示,在過程之中,重新調整了作業管理、人員管理、作業硬體環境及網路軟體佈署,原本精業在2001年時就計畫導入BS7799驗證,但當時台灣並未盛行,且公司高層還在評估其效益,而最近整個時機漸成熟就著手執行。 葉振民表示,在BS7799驗證之前,環境也大多符合資訊安全,早期就將資料處理中心隔離,也注意到資料傳輸的安全,所以,再導入BS7799驗證過程中,只是將工作細節流程做得更詳盡,因並不是第一次接觸,所以做起來也是得心應手,因為ISO本身的控管流程和BS7799驗證有很多不謀而合之處,CIA是資訊安全管理檢核的範圍,其中的I (Integrity) 完整性、A (Availability) 可用性,是ISO品質控管中所強調的重點工作,而BS7799驗證強調C(confidentiality)即是機密性,根據我們的經驗是先取得ISO驗證之後,再取得BS7799驗證是會比較得心應手的。
BS7799帶來的具體效益 在接受輔導的過程中,對精業而言,其效益就是將資訊安全管理完全的落實,吳淑貞說:「我們不斷的提醒員工桌面要淨空、要用電腦螢幕保護,這些通則大家都知道,但是否有確實落實呢?再接受BS7799驗證後,則更有效的落實原本就有的要求,加強灌輸每一位員工強烈的資訊安全意識。」
其次,即是文件確實地填寫,吳淑貞說:「我們要求員工想、說、寫、做都要完全一致,寫完之後一一討論,討論大家共同做得到的工作進度,再一一遵守執行,逐一落實在日常生活中。」
此外,與精業往來的維護單位都落實簽定保密協議書及服務水準同意書,這都達到資安的規範,例如,也與合作的貨運行簽定保密合約,配合的貨運行員工也必須簽定保密合約書,在帳單、對帳單運送之前,一定是將它整批用膠膜封裝完成後,再由他們運送。
精業導入BS7799驗證,然而最大的受益者還是客戶,因為相關管理機關非常重視資安品質,使精業的客戶能安然地通過主管機關的檢核。葉振民表示,為了讓客戶對於精業服務品質更安心,所以我們也樂於這麼做,此外,在資料處理業界樹立一個良好典範作用,客戶委外的廠商取得驗證,因其委外的單位非常重視資安品質,使客戶能安然地通過外部其它單位的檢核;然而在其它業界服務領域,倘若品質管出問題可能還來得及補救,但假如是資安出問題,就來不及補救,但在我們的領域,品質和資安是息息相關,不容出有一點差錯。
取得驗證之後 在接受資訊安全系統管理驗證輔導時,大部份的企業、公司都滿腔熱血,但取得之後,往往會鬆散、忽略,在警戒放鬆之時,資安漏洞也會不斷的出現,所以必須要有專責的人去維護,就如買一項硬體設備也需要維護,然而精業認為取得驗證只是一個里程碑,其後續將朝以下方向努力:
1.簽立維護約維持資訊安全管理品質
為了維護資訊安全管理制度,吳淑貞表示,除了驗證公司每半年來做一次稽核,2005年也和顧問公司簽定維護約,請他們來做稽核,為了持續維持每一個人對資訊安全警覺性,讓其自然溶入工作流程中,成為一種習慣,大家自然而然的就去做到這些必備動作,因此,顧問公司除了定期稽核之外,就是每一季不定期會來幫我們的員工做教育訓練,由於人員流動的問題,除了新人需訓練之外,即時是舊員工也容易忘記,所以需要不斷的教育訓練、耳提面命。
2. 將ISO和BS7799納入正常工作流程,並擴及全公司
精業也致力將ISO9001和BS7799的檢核工作,放入各部門正常的標準作業流程中,每個部處都有其各自要強調的資訊安全,也要求每個部處擬寫其各自所必須做的資訊安全管理,甚至與ISO作業流程結合在一起。
葉振民認為將ISO及BS7799之檢核點納入正常的工作流程中,使得作業時可能產生的疏忽降低,而且精業接受稽核的次數頻繁,不用為了稽核,必須額外準備,從平時就做好,隨時可以接受檢核;他也強調取得BS7799驗證之後,最重要的是不斷地教育和督導,因此,非常著重其後續的工作,經由長期的內部稽核和外部稽核,不停地灌輸員工這樣的意識,大家從平時做起,才能持續做的更好。