做為半導體科技廠商,看南亞科技如何從人員、稽核、制度各方面,確保公司和技術合作對象的商業機密安全!
南亞科技為國內高科技半導體產業研發、設計、製造和銷售的科技大廠。商業機密、高科技產品研發資料的保護和企業生存、商譽干係重大,而系統是否能夠正常運作更是和企業產能和獲利損失息息相關。南亞科技從多年的經驗學習中,逐步的建立起健全的資安架構,或許可以做為組織在推動資安工作的參考。
南亞科技自動化資訊處副處長陳寬宏對於資訊安全工作的推動,以及資安訊息、新知的瞭解一向不落人後。他表示,南亞科技的資訊安全工作,可以從幾個面向來看,那就是「人員管理」、「稽核落實」、「制度建立」,由點到面構成目前南亞科技的資安體系。
資安長穿針引線 串起資安溝通橋樑
做資安工作的從業人員,總是喜歡提到資安工作的三項組合要素,「人」、「技術」和「流程」,其中「人」可以說是最不確定的一項因素。而如何在組織內做好向上、對下和平行的溝通,更考驗著資安從業人員,尤其是組織內資安領導者的智慧。
陳寬宏說,向上溝通要能夠把握住每一次向高層決策者說明機會,目的就是要不斷提醒,讓他們知道資安是什麼。因為資安的範疇是既深且廣,不像他們所想像的只是電腦中毒、資料外洩等顯而易見的事件而已,而是要能夠將如何確保資訊資產做到符合機密性、完整性、可靠性的要求,一一向他們說明。雖說是簡單的一句話,但卻包含了資訊資產鑑定、風險評估、資料防護制度和系統規劃、備援、災難復原機制等專業。資安C.I.A.所討論的是什麼?該如何做到?都必須透過決策者能夠理解的語言將資訊確實的傳達給他們。
另一方面,資安工作的成效到底做到那些也必須讓決策者看到!從到底做了那些和資安相關的系統建置?目的及效果如何?如果能以一些實際的案例做說明,想必能讓決策者瞭解到資安工作的重要性,並喚醒他們的關切。資安工作不像一些系統建置可以立即看到成效,更要利用機會適時的突顯,讓他們看到資安團隊的表現,而給予更大的支持。
而在跨部門的溝通上,剛開始的確是有一些困難。但在兩年多前,南亞科技開始施行定期的資安月會,使得情況有很大的改觀。透過資安月會,做到了資安觀念的建立,對共識的達成也更有效率,意見回饋和疑慮化解也都能獲得通暢的管道。對於定期召開的資安月會,陳寬宏認為這是南亞科技內對資安工作推展上,非常重要的雙向橋樑!透過資安月會,相關的制度和訊息也可以被確實的逐層宣導到各單位。
而在一些影響層面較大的專案或重大措施中,IT部門也必須帶頭起示範作用,對可能遭遇到的問題,先行瞭解、化解,用專業說服讓其他各部門接受,而不致有太大反彈。
對於資安人員的挑選,除了技術專業能力之外,對公司的文化、制度也要有相當程度的瞭解,另外對品德和道德的要求更是必備要件。資安工作吃力不討好,做為資安人員更要有接受挑戰的強烈意願。目前南亞科技的資安單位仍附屬於IT部門下,結合了系統開發、網路管理以及跨IT領域的人才加入,初期將由IT部門提供支援,並建立起相關的系統和制度。長期的規劃則是要將其獨立出來,從一個制高點的位置,以公平客觀的角度來盱衡企業整體的資安規劃,扭轉企業內部對於資安是IT所應負責的想法,跳脫以IT為本位的思考模式,提供一個更全面的企業資安藍圖。
聞過忽憚改 正面態度看待稽核
而對於南亞科技這樣的上市公司,不時要面對來自公司內外單位的稽核,該用什麼樣的態度來看待稽核?陳寬宏所持的想法,就是展開雙手歡迎的正面態度,更希望稽核單位能夠儘量找出缺失,並且聆聽他們的建議。陳寬宏將稽核人員當成是能夠幫助企業正面改善的幫手,而不是來找麻煩。陳寬宏認為企業花錢找來業界頗負盛名的會計公司來做稽核,目的無非就是要借重他們所累積的豐富經驗、專業和旁觀者清的客觀角度,對企業做出正面積極的助益。
稽核事前的準備工作也不可馬虎,否則稽核工作將只會流於形式。也就是說,許多資安制度應該是早早就落實在日常的工作中。在南亞科技中,稽核工作分成多個層次,首先是部門自主稽核的形式,在每月、每季定期檢視資安工作的執行狀況,這也是資安工作得以落實的最基本步驟;其次,就是公司內部單位的稽核以及來自於和ISO標準有關的品保單位檢核,最後就是外部稽核單位。透過分層、分散的工作準備,在企業內部逐步形成良好的文化和制度。
除了對稽核所採取的正面態度,南亞科技也為稽核工作提供了資訊化的工具,將資料系統化,直接透過電腦、網路即可進行稽核工作,不需要另外再為稽核工作的準備投入人力和時間,因而增加人員的負擔。而稽核準備工作的資訊化另一項好處,就是能即時發現缺失,並檢視資安制度是否有被落實,更能確保稽核資料的真實性!如此在面對各個不同的稽核形式或單位時都無需畏懼,亦不必刻意的如臨大敵般的準備。
流程改善制度化
資訊系統在南亞科技的核心業務中扮演著非常吃重的角色,涵蓋的範圍包括了生產製造、研發及行銷的支援。半導體製造強調一貫作業的全自動化、講求精密,這部份也是南亞科技資訊投入的核心。研發部份則有電腦輔助設計(CAD)的專責部門,IT部門除了協助為其建立聯繫,也負責其安全防護。行銷相關系統則是由集團所集中控管,針對南亞科技的需求部份則由IT協助建置。
南亞科技藉由IT白皮書的制定,定義IT三至五年的中長期方向和目標,做為IT的指導原則,並且在每年都會依科技進步、內部需求和外在環境的改變進行調整。在IT資訊系統的管理上,陳寬宏特別強調務實、合理化和追根究底,而這也是南亞科技企業所一貫追求的精神。對於主管們或其轄下的工程師的反映,必須不斷思考並提出質疑,才能真正解決問題,而不是只看到表面。資訊部門也不能陷入一個迷思,就是使用者所提出的需求都很重要,必須設法滿足他們。因為有時使用者的思考並不是很深入,所提出的要求是否合理恰當都要再評估,而不是一味的配合使用者對電腦化、資訊化的要求,這時候IT如何和使用者詳談,避免予人IT本位的思考方式,將變得格外重要,這時資訊部門也會邀請總經理室下的幕僚單位專案改案組,以一個公正客觀的角色來參與協調。透過更制度化的機制,讓南亞科技的資訊、資安流程改善更具效益!
陳寬宏表示,資訊部門在南亞科技中,目前仍是以後勤支援為主,但在現今IT Service不斷被提及,以及強調用IT Service做為提升企業競爭力的氣氛下,南亞科技也期待資訊部門能夠逐漸的轉型,從支援角色轉化到「Service Provider」。如何達到這樣的目標呢?陳寬宏笑著說,這的確是一個不簡單的任務,但是南亞科技仍然會有計畫的朝目標前進。南亞科技將以人資培訓為開端,對最基層的工程師到主管們施以訓練,使IT服務的觀念能夠被深植和認同,對未來的IT轉型厚植基礎和後盾。
全面性思考 確保資安滴水不漏
今日IT所面對的各項挑戰可說是不一而足。技術的日新月異是其中一項,陳寬宏以虛擬化為例,從幾年前技術觀念被提出到如今已趨於成熟,但是當企業試著要將其導入至組織中,對現有系統的衝擊、應該應用到那些系統、系統虛擬化後又該如何分工管理、該如何導入等都需要詳加評估,所影響的不僅是技術層面,更包含了管理層面的重新規劃。而像服務導向架構(SOA)也是一項新觀念,但是其時機點、成熟度如何、引進規模該多大等相關疑慮,都是企業在思考IT的下一步該如何走時,必須審慎面對的挑戰!
IT觀念進化則又是另一項挑戰,陳寬宏以系統開發為例,早期的系統開發是以儘速滿足使用者需求為優先,但是現今網路服務日益盛行,對開發人員在系統測試、品質要求和安全控管的教育上,都需要資源的投入。
隨著資訊系統的日益擴增,資訊安全的議題也益形重要。陳寬宏是一位積極關心資安的資訊部門主管,從接觸資安議題兩年多來,深切的瞭解到當資訊系統一旦碰到資安風險的相對脆弱性。陳寬宏習慣以全面性的思考來看待資安問題,他並且以木桶理論來說明資訊安全,木桶是由一塊塊木板所箍製而成,如果要讓木桶能盛水,每一塊木板都必須是要完整的,否則水就會傾洩而出。
南亞科技也從過往的經驗中,讓高層深刻的體會到資安投資在企業經營管理中的必要性,以及資訊安全如何在企業更有效推動的重要,因此從組織、措施、制度、教育訓練等方式,不斷的喚起大家對資安的重視與瞭解。並且透過資安月會、資安委員會、高層主管的層層督導和訊息交換,以及資安顧問團隊的專業建議,持續強化資安架構!
對於資安工作推動,陳寬宏表示資安工作吃力不討好,但是如果真的有心,這是一項具有高度挑戰、成就的工作。從過程中可以學到技術,可以培養溝通協調、尋求支持和認同的技巧,並且體認到有所堅持的資安價值!