觀點

泓越科技 溝通讓資安管理更有效率

2005 / 01 / 01
林青蓁
泓越科技 溝通讓資安管理更有效率

中毒事件引起對資安的重視
「在西元2002年,那時由於公司剛才成立沒多久,許多電腦系統仍是沿用母公司系統,而且,由於業務上需要,和母公司之間聯繫相當頻繁,同時,那時候是公司草創期,高層主管們都致力於業務的發展,對於任何資安安全防護並不那麼重視,直到有次母公司電腦發生中毒事件,連公司也受到波及,造成各部門運作受到影響,那時公司IT部門也只有二個人,只好趕緊拚命地到各部門去作解毒動作,讓系統能夠儘快地恢復運作。」呂詠翔說。

經過這件事件後,也讓公司高層主管對於公司資安措施變得相當重視,資訊處每年都會提出公司資安計劃,並會作年度評比,若有實施不足或疏失之處,再加以改進。

因此,就加強外部資安防護的措施,像在防禦及防毒上,就採行四層的防火牆架構,希望能夠達到最佳的防成效,就連和母公司的系統間的防火牆也都建置相當完整,經由不分彼此的IT部門互相溝通交流。

當然,還有建置VPN、Anti-SPAM等防護措施,另外,在門禁管制上也相當嚴格,而且,若是有任何外來訪客或客戶來訪時,都只能在會議室,嚴禁到各部門,甚至於連他們若需要使用自己的筆記型電腦連線查資料時,都得受到管制。

資料控管層層關卡
同時,目前該公司的RD人員占公司員工的七至八成,約有近4百人,因此,公司最重要的資產也是以研發的資產即軟體開發原始碼為主,也是資安防護的重點部分,也是目前內部資安控管的重心,所以,在控管上相當嚴格。

「在開始進行研發初期,就有許多資料會出現及進行傳輸,為防止在這些過程中,資料被盜取或外洩出去,例如和任何合作夥伴的電子郵件傳送上,都必須透過加密方式進行,同時,在設計程式的過程中,就有人會作成技術文件,以作為流程控管,並可以有個記錄,以備日後所需。」呂詠翔指出。

當然,程式設計完成後,就有軟體開發原始碼,這也是公司最重要的資產,關於軟體開發原始碼的控管上,呂詠翔說,該原始碼通常由軟體研發部主管和IT主管專門管理,並都有經過加密,而且,要有key才能拿取,並不是一般使用者就可以輕易取得,同時,連大陸廠的所設計出的程式原始碼都由台北總公司的設計部主管保存。

「雖然都是由主管級的人員控管,因為有這是有智財權(IP)的資產,所以,即使這些主管將這些原始碼帶走或是賣給其他公司的話,也不會有人敢使用,同時,也會被公司控告,甚至於吃上官司,因此,沒有人敢將原始碼外洩出去。」呂詠翔強調。

備份完善著重異地備援
在資料備份及異地備援方面,呂詠翔指出,所有重要的研發資料都放在台北總公司,除了儲存在電腦中之外,還會利用磁帶及光碟片作備份,並分別放在保險櫃及由設計部主管自行保管,連我們IT部門主管都不知道他們的保管地點。

除了資料備份外,也相當重視異地備份,像存放在台北的資料除了放在中和總公司外,並在土城也有備份,至於大陸分公司的資料則是全部放在台北,以防不時之需。

「內部資安並不好作,其實有許多公司資料會外洩都是由員工所造成的,所以,會控管I/O資料存取,並進行網域管理,公司內部嚴格禁用MSN,而以Live Commucation service方式,作為聯繫之用,就連操作平台都是統一使用同一個系統,這樣才可以在資安管理上比較有效率。」呂詠翔毫不保留地表示。

同時,為能夠達到資料管理單一性及集中化管理,預計明年將會計畫性導入「PLM產品生命週期管理」解決方案,呂詠翔說,一方面可以加速產品的開發流程,更能利用資料的一致性,來維持產品的品質,並能夠精密地落實研發文件版本控管及進行資訊擷取方式的控管,再加上運用網路即時會議等多元化資訊服務,以加速產品設計的研發效率,縮短時間成本,讓研發時間可以縮短至1.5個月,增加公司競爭力。

兩岸IT管理方針不會“一國兩制”
除了台北總公司外,泓越科技並在上海設立大陸分公司,目前當地人員共有270人,RD人員為180人,占大陸員工的78%,其IT政策及最高指導原則由台北總部訂立,建立複製成功範本的標準手冊後,便能以最少人力最高效率,將大陸廠的IT設施建立完成。

「前陣子,上海廠進行遷移,由原本500多坪的一樓廠房搬到四層樓的廠房,在短短二天內就完成搬遷,隔天工廠就開始正常開工及恢復運作,馬上沒有受到影響,主要是因為已有藍圖及標準程序讓大陸當地廠房員工可以按圖索驥將所有的設備重新拆卸、搬運及重新組裝好。」呂詠翔並舉例說明。

呂詠翔並指出,在不得變動最高原則的情況下,管理命令須簡單化,在大陸當地在展開實施步驟時仍可因地制宜,但嚴格要求當地幹部要建立維護計劃及檢核清單,讓台北總部能掌握當地的IT運作狀況,並即時檢核與要求改善,如此一來,才能落實兩岸IT管理,達到企業整體目標,這樣也不會出現一國兩制的情形。 最重要的是,一旦上海廠的運作模式建立起來後,就可以作為日後其他大陸各廠的建置及運作的範本,而且,在聯繫管理上,其他各地區只要和上海進行聯繫,再由上海統一和台北總公司聯繫,可以讓管理更具有效率。

著重人性管理和溝通
讓資安政策真正被落實,最主要是在於對人的管理,注重內部使用者的需求,並積極溝通獲得全員支持,讓IT部門和使用者建立起服務夥伴關係,呂詠翔不諱言地說,對人的管理是難的,事實上,有許多使用者和IT部門因為控管關係,是站在敵對的立場,甚至會將責任推給IT部門, IT部門也常常是被視為花錢及賠錢的單位,所以,資安控管並不是很容易進行。

「在泓越科技內部,則是從人性來下手,站在使用者立場進行管理,儘量滿足各部門及員工的需求,讓他們對IT部門不會產生反感,而且,公司內部有七成以上都是屬於RD研發設計人員,對他們的管理就相當民主且不嚴格,像他們要使光碟機存取資料,可以跟IT部門申請光碟機後,就可以使用。」呂詠翔說。 雖然嚴禁員工自行帶個人筆記型電腦到公司,但若有員工需要用到個人筆記型電腦時,公司也是會提供給員工使用,不過,是限用公司提供的筆記型電腦,這樣也可以作到資產管理,並能夠減少風險。

每年資安政策也是重點,呂詠翔指出,每年都會提出一資安政策,但事先都會跟各部門主管協調,站在他們的立場,並去溝通協調,且會徵詢他們及了解所需,並儘量滿足他們要求,再制定出資安政策,如此一來,也才能讓資安政策推動更加順利。

雖沒有百分之百的資安,但仍要去做
事實上,風險不可能是零,像許多電子大廠每年花了大筆經費在作資安,但仍然還是有資料被外洩,因此,資安沒有百分百可言,「花再多錢在資安設備上,還不如直接從人的管理下手,而且,花那麼多錢買來很多資安軟體或設備,但卻不去管理及推動,實際上,其效率是零。」呂詠翔再度強調。

雖然,資安沒有百分之百,不過,還是要有期望值,訂定出每個資安政策實施的目標來努力,一步步來進行部署,呂詠翔就指出,像目前已花三個月作好某個資安政策,接下來就要再訂定下個步驟的資安政策,再循序漸進去完成,才能將資安政策完整地落實。