觀點

良好體制與專業人才 彰銀塑造資安新視野

2008 / 06 / 10
編輯部
良好體制與專業人才 彰銀塑造資安新視野

百年銀行─彰化銀行,憑藉著完善的人才培育與系統,培養出全方位IT主管,以因應高變動、高挑戰的銀行資訊安全環境。

金融機構需極重視隱私的保護,「客戶機敏資料」成為各家銀行的寶貴資產。彰化銀行亦然;彰銀在海外設有分行,以往系統都在各分行分散管轄,除了造成管理不易,安全亦是一大考量。彰化銀行資訊處處長曾芳明因曾於海外部門任職,對於系統分散管理問題所在具有深刻體認,因此,於去年傾全力將各分行資訊系統拉回總行。

海外的法規遵循 挑戰銀行資安工作
彰銀在歐、美、日、香港、新加坡分別擁有分行,提供海外服務。除了需遵守多不勝數的國內銀行法規,不同的海外據點更有其應所依循的當地法規。目前關於國外銀行法規,主要有:(1)防恐與防治洗黑錢:嚴格控管美國財政部外國資產(OFAC)與聯合國所管制之名單,禁止他們進行金融交易(2)巴賽爾協定:可分成3大支柱,第1為最低資本適足計提(自有資本與風險資本),可試算巴賽爾所要求的資本,利於銀行資本規劃,這部分彰銀已建置完成;而第2、3支柱則為監理審查程序及市場紀律,相關規章彰銀將會相繼進行(3)沙賓法案:分為3大重點,強化監督、加強公司管理者責任、上市公司每5年須更換簽證會計師。
ISO27001 國外主管機關信賴關鍵
但凡事都有解決之道,彰銀資訊處於4年前開始導入ISMS資訊安全管理系統,原本就以當時的BS7799標準持續進行,並於去年(2007年)取得認證。也因此無心插柳,有了國際認證的背書,逐漸讓海外主管機關卸下心防,放心將核心系統的管理營運,交給台灣總部集中負責。
4年前彰銀因發生Sasser(殺手病毒)攻擊,雖在第一時間立即隔離處置,但仍有總行部份單位及少數分行,電腦停擺近2小時;對於金融業而言,每一秒都是極大損失,萬一類似情況再度發生,彰銀經得起考驗嗎?有鑑於此,彰銀便下定決心,除加強資安防護系統外,更引進以BS7799為標準的管理系統。其過程分為3階段:
I.資訊安全管理系統(ISMS)第一階段建置(94/9~95/6)
BS7799(2005年改版為ISO27001)管理系統觀念導入:
本處先挑出4套系統(電子票據系統、IDS、防火牆及電子郵件系統),先行導入BS7799資訊安全管理系統,規劃接受BS7799之認證。讓參與的人員有資訊安全管理之概念,逐步將資訊安全管理制度建立起來。
II.資訊安全管理系統(ISMS)第二階段建置(95/7~96/6)
經過第1階段資訊安全管理之教育訓練後,資訊處人員對資訊安全有初步的了解。計畫挑出26套資訊系統正式導入ISO27001/BS7799資訊安全管理系統,並且從26套資訊系統中遴選出5套(e通、e-loan、存摺存款系統、資料倉儲、證券系統),規劃通過ISO27001/BS7799之認證。
III.資訊安全管理系統(ISMS)第三階段建置(96/7~97/10)
在第2階段擴大建立資訊安全管理系統,並且有5套系統通過ISO27001之認證。第3階段就是資訊處所有系統完全導入資訊安全管理系統,建立制度化之資訊安全管理方式,培養資安種子人員未來自行維護ISMS之能力,規劃資訊處(含機房維運作業)申請通過ISO27001國際認證。
我們在採訪過程中,的確親自感受到他們對外部人員的嚴格管制措施。同樣的,協力廠商的進出亦需經由公司人員陪伴。除此之外也現場看到任何員工在使用可攜式媒體,影印、列表機等設備,都需進行管制。曾芳明更表示,現在每一次在雇用人才時,都會取得當事人同意去做個人信用資料調查,他堅信,如果個人信用有問題,是無法保護幾百萬客戶的個人重要資產。

「編、核、放」 網銀3層防護機制
網路銀行是銀行新興型態之業務範圍,對銀行而言商機無限,而對使用者來說也可省去舟車勞頓的奔波,但卻因安全漏洞層出不窮,網路銀行的安全性儼然已成為金融機構的重大挑戰。
彰銀欲成為企業用戶的主力銀行,因此對於客戶資料的可用性、安全性必定更加重視;目前彰化銀行總計400多萬的客戶群,其中有100萬戶為網路銀行使用者。彰銀在這部分的建置防護工作,除採用2道基礎防火牆建設,網銀有其專屬的伺服器,透過EAI(企業應用軟體整合,Enterprise Application Integration)與外部核心交換器連結控管,曾芳明表示:「EAI系統是3年前所建置,3年下來的確有為公司網站帶來實質的保護功效。」
彰銀今年將會把EAI系統升級,並瞄準3大主軸:(1)財富管理(2)成為企業用戶的主力銀行:企業可透過ERP(Enterprise Resource Planning)系統,經由網路銀行與彰銀連線,進入核心帳戶的系統,可進行海外資金調度等行為(3)資訊安全的控管。
而一般來說,網銀對於大型企業的交易多採取3層機制:編輯─支付款項申請;核定─會計審核;放行─負責人放行,將每一筆款匯金額層層把關。彰銀還建議客戶將重要核定工作拆給兩個人負責,在此層面機制完善,強化雙方的稽核作業,將安全工作做到滴水不漏。 

資安推手─對的政策,對的人
彰銀於1905年設立至今,能在眾多金融機構中堅如磐石,其公司政策及對員工的培訓功不可沒,彰銀總行成立一IT委員會(IT Committee),成員包含總經理、4位副總經理、資訊處處長及2位副處長,總計8人,主要負責所有IT預算開支的決策;各單位IT專案需求,如超過一定金額,則交至IT委員會審議,除了制定良好的程序,亦可讓高層主管了解提案原因並從中分析效益。
而進入金融體系長達31年的曾芳明,一開始從業務做起,進而轉向IT人員、海外部、處長等職位;從事IT工作的人員多半有個迷思,因長期處在IT環境,常以IT本位去思考,對於其他部門的需求、了解不夠深刻,以致溝通不良;也因此,彰銀在人才的培訓便希望能多方涉略,像海棉般吸取各部門的經驗、溝通語言,日後方能用更精闢的決策去落實、維運體系的經營。或許因為有這番經歷,曾芳明成為一位會說商業語言的主管,依循著此一模式,資訊處用人唯才,在升遷制度上,先將部門主管調至其他分行,聆聽多方聲音,使培育出優秀的專業人才。而念金融管理的曾芳明,對於資安推動更是不遺於力,在做IT決策前,都要比業務提前了解需求,並找出解決方案,也因有著強烈責任心及自我要求,讓彰銀的資安推動工作能更快速且有效落實。
彰化銀行能在競爭激烈的眾多金融機構中歷經百年歷史,除了長年對客戶良好信譽的建立,彰銀憑靠著對「安全」議題的重視,針對客戶的實際需求及公司內外部系統之弱點,不斷建構新型態之IT設備、基礎建設,而公司從以前承襲至今的完善制度及對員工資安觀念的教育、落實,更是其歷久不衰之故。彰銀在公司營運學習成長上,不曾停下腳步;好還要更好,是企業在公司營運上的重要理念,彰銀秉持著此一信念,持續向下一個百年邁進!