打造金三角 細水長流~安泰人壽資訊安全室成果豐碩

一般人想到資訊安全的工作，通常會認為那是IT負責的事，因而認定資訊安全的機制，都是在IT之下，所重視的也只是在技術控制層面，而認為自己只是一個小單位或小人物，不會對資安造成多大風險。ING安泰人壽資訊安全室資深協理江韶文則表示，其實資訊安全最大的風險來自於人，所以解決問題不在於技術層面而是在管理機制。只要有人，就有資訊安全的風險，因此，既然人是資訊安全最大的風險所在，那麼資訊安全就是全公司的事，而非單單只是由IT人員，或是由資訊安全專責單位來負責。
最佳管理機制
ING安泰資訊安全室依據BS7799資訊安全管理做標準，再加上其公司文化及實際的需求，擬出目前該公司最佳的管理機制，江韶文稱之為ING安泰最佳管理實務（Best Practice）。其內容大致如下：
1. 資訊安全組織－組織全體員工 共同參與資訊安全工作。
2. 資訊安全政策－依公司文化、 需求，訂出適合安泰的資訊安全政策。
3. 資訊安全認知－教育大家對資 訊安全的重視，資安工作要以細水長流的方式持續的去做。
(以上三點為資訊安全管理基本要項，稱之為資訊安全金三角。)
4. 資安事件回報體系（預防）－ 因風險無處不在，要求全體員工參與，並做好回報工作。
5. 業務持續計畫（事後）－持續 執行資安流程。
6. 風險管理。
a. 稽核－每個人稽核自己，稽 核出來的風險，應落實去執行並改善。
b. 治平(Control Self Assessment) －確認風險、消除風險。

7. 文件管理－資訊安全範籌內之 資料，像是執行資安工作的項目或資安的各種規範以及執行的程序等，每個人都必須以Paper方式做好紀錄。
（一般可能做的很好，但寫的不對；寫對，但做的不好）持續性Review這些文件資料，並檢視執行的成果效益，是很重要的事。

持續性提昇專業能力
因為資訊安全的風險是一動態的風險，隨著新的病毒、新的駭客、新的管道…不斷發生，如果在專業上無法提昇，將對資安工作的持續執行是一大障礙。江韶文認為目前ING安泰最大挑戰是，如何能有效的持續性的吸收外界的資訊以提昇自己在資安的專業，對ING安泰而言，是很重要的事；而這個時候藉助外面專業的委外服務或顧問服務，也是有其必要性的。江韶文表示，委外是必要的，就算像ING安泰已有資訊安全室這樣的一個專職單位，也還是要靠外面的資源。 目前ING安泰在技術上的安全稽核及風險評估，就是透過專業的顧問服務；另外，也藉助認證公司的委外服務，幫助ING安泰在行政部門建立好資訊安全管理機制（建立Model Office機制）。

由於環境一直在變，新的風險不斷產生，所以對資訊安全的專業認知也必須隨時更新，而ING安泰的資訊是如何取得的呢？江韶文表示，經常性的參加各項研討會就是最直接有效的方式之一，除了可以幫助了解有哪些資安新產品外，同時也能了解有關資安新風險的趨勢，因為有新的產品發表，就代表有新的風險產生。除此之外，參加公協組織也是ING安泰獲得資訊的來源，這些公協組織包括有：

國內
˙電腦稽核協會
˙資訊安全學會
˙資訊安全管理協會
˙內部稽核協會
國外
˙電腦稽核協會（美）
˙內部稽核協會（美）
˙安全學會（ASIS）
資訊安全室之未來發展
因應巴塞爾資本公約之要求，內部控制（治平）、營運風險管理漸形重要。雖然巴塞爾資本公約是針對銀行金融業，但壽險業是下一目標，所以ING安泰為了提早做好準備，除了原先已建立好的資訊安全架構，如七大Best Practice管理機制等，同時也將資訊安全擴大延伸，今年起將以內部控制做起，落實推廣至各部門；而下階段則是將範圍擴大至風險管理層面。ING安泰資訊安全室目前的計畫推廣如下：
1. 建立資訊安全管理Model Office
2. 健全資訊安全管理
3. 推動行政部門內部控制
4. 發展營運風險管理
5. 持續全體員工（內、外勤）之 認知教育 對其他企業的建議 一般企業如果沒有類似像ING安泰的資訊安全室部門，資訊安全相關機制該由誰來負責及推動？江韶文表示，有沒有資訊安全相關的獨立單位，並不會影響到MIS有沒有資訊安全的機制。其實真正的問題在於企業主應該優先考慮企業的風險在哪裡？如果風險不只是在電子資訊上，像是內部人員的控管問題，企業主就應考慮該做些什麼來防護，如果還是想到交由IT來做，必定做不好，因為IT只限於技術方面的知識。在沒有特別的單位之下，可以考慮由企業中負責營運風險管理的單位來推動及執行，當然有專門的負責單位來落實執行資訊安全機制，那會是最完美的。

資訊安全愈來愈重要，尤其是對各大企業。「資訊安全很重要，必須長期有效益並且能持續的做，一刻也不能鬆懈」，江韶文如是說。然而要怎麼做好資安呢？並不是人家做什麼就做什麼，資安就可以做好的，惟有不斷地提升對資訊安全的認知，由公司內部做起，並推動公司全體員工真正落實的去做，這樣的資訊安全工作才能真正做好。