小巨人寶工實業：導入ISMS才擁有真實安全感

不是受到主管機關或國外客戶的要求，寶工自發性地建置涵蓋全公司、全流程的資訊安全管理系統，在有限資源下不斷將資安工作PDCA下去…。

「以前問MIS資料有沒有保管好、防護有沒有做，他們只回答都做了，但直到這次透過外部顧問導入ISMS，建立了制度與檢核表，所有程序都留下記錄，我才真正知道我們實際做到什麼程度。」寶工實業執行副總經理詹愛貞道出ISMS（資訊安全管理系統）對中小企業主的意義。
專注於電子五金工具與測試儀器製造、銷售的寶工，曾獲得經濟部中小企業處主辦的第四屆小巨人獎。他們大部分營收來自自有品牌Pro''sKit產品的銷售，僅極少部分是代工生產，因此他們不是因為受到客戶的要求才導入ISMS，而是早就明白要利用IT來強化企業競爭力，「要用IT提供客戶更好的服務，來拉開與競爭者的距離。」詹愛貞指出，雖然寶工以自有品牌在電子五金市場已有相當不錯市佔率，但許多後進者也陸續循其商業模式進入市場，因此寶工接下來希望利用IT創造公司新的價值，要拓展現有B2B的電子商務模式，擴大到B2C來，而ISMS就是在為將來的B2C電子商務作準備。

執行副總帶頭全程參與，將資安內化為公司文化
也正是因為資訊化程度很深，所以寶工很早就體認到資安的重要。詹愛貞舉了一個例子，自從那次之後他們真正開始重視資安管理。當初為了讓高層主管在家也能進入企業內網查看系統資料，因此有開放遠端存取的權限，一次竟然有同仁回來說在合作廠商那裡也可以進到寶工內網來！這下可不得了，所有資料可能都被看光光了。除了趕緊請IT人員進行補救，封鎖IP之外，也知道要開始進行存取權限的控管。
早就知道要做，但卻不知道自己這樣做到底是否正確、是否還有遺漏，因此十分希望有外部專業顧問來協助評估公司的資訊安全環境，並給予改善建議。於是知道有經濟部補助中小企業建立ISMS的輔導計畫後，便積極爭取參加。
與其他公司導入的過程一樣，寶工也經歷訪談、訂定公司資安政策(Policy)、制定文件、教育訓練等過程。負責寶工ISMS輔導的NII產業發展協進會顧問吳昭儀表示，寶工之所以能導入十分徹底，主要是執行副總詹愛貞親自參與ISMS導入過程。
因為有執行副總親自主持會議，各部門主管當然也全程參與，因此遇到有爭議時便直接討論決定。比方說在訂定資安管理政策時，各部門主管對管控程度有不同的意見時，詹愛貞便在會議上直接裁決。
制定文件也是，詹愛貞每一份程序文件幾乎都親自看過。這是因為寶工早在1997年開始導入ISO 9000品質管理系統，這幾年下來詹愛貞十分明白文件化以及「說－寫－做」一致的重要。詹愛貞舉例，一次有同仁送上一份文件，她看了就說『程序書上不是這樣寫的喔』，那位同仁也表示『但這樣做比較有效率』，聽完解釋後詹便說『那你去把程序書改一改』。他們落實PDCA管理的精神由此可見。
然而ISMS接著要推導到全體員工，如何化解員工初期的抗拒心理並配合各項使用者檢查，教育訓練是絕對少不了的。經過幾場對全體主管及各部門資訊種子的教育訓練後，已大幅提升全員對資訊安全的認知。在寶工服務長達10多年的資訊管理專員盧昱俐笑說，這大概是因為管理制度、安全觀念已經在公司形成一種文化，因此在推動時沒有遇到太大的反彈。NII執行長吳國維補充，要順利推行任何一項IT管理辦法，不要只要求員工照著做，最好能告訴他們為什麼要這麼做，讓大家知道這些管理辦法的目的是在保護公司同時也保護自己。
資安制度帶來安全的同時難免會造成一些不便，安全與便利畢竟難以兩全。對此詹愛貞分享了過去在引進垃圾郵件過濾系統時所領悟到的溝通技巧，就是在同仁抱怨之前先提出解決方案。當時，系統建置後沒多久就有業務單位抱怨客戶寄過來的訂單被系統擋掉！當下IT人員是以可設定白名單的方式來回應使用者。詹愛貞表示，其實這種情形也許100封才發生1封，但如果讓很多人都同時反應的話，IT工具會比較難推動。所以後來就知道要推行新的IT管理辦法盡量先想到同仁會有的反應，並在同仁提出抱怨前，先說出解決之道！

IT創造企業新價值，做好資安無後顧之憂
對中小企業而言，不像上市／櫃公司擁有較多資源可以運用，往往每一分錢都要花在刀口上。而寶工又將IT視為領先同業的競爭武器，所以在IT預算的編列上詹愛貞自有一套拿捏原則：以必要的設備支出列為優先項目，再依據最後一季公司實際損益情形提撥盈餘作為IT升級之用。詹愛貞認為，即使是中小企業也要有一定比例的IT升級與投資，否則等到需要了才來思考或被客戶要求了才做，就太遲了。「網路世界，誰資訊化的腳步超前，就掌握了最新的訊息及客戶動態！」她說。
所以，寶工已投入相當資源在硬體設備及ERP資料庫的運用上，除了已整合ERP與報表分析工具讓管理階層能隨時掌握營運資訊外，更提供客戶線上即時查詢訂單訊息，包括出貨狀態、歷史交易明細等。詹愛貞說，要做到這一點，資安的控管就很重要，除了要確保網站資料安全外，客戶登入系統後的存取權限也需注意，不能看到其他客戶的採購記錄等。
此外，由於寶工在上海、深圳都設有營運據點，各是30、20人的規模，因此均連線回台灣的ERP伺服器，當地僅有PC，而將來為了達到更好的資安控管與遠端遙控管理，預計要導入精簡型電腦搭配Terminal Service的方式，台灣本地也打算逐步將老舊PC汰換為精簡型電腦，以期能減輕每年為數不小的軟體授權費用負擔。

持續改善ISMS，為B2C做好準備
在ISMS導入之後，詹愛貞談到未來要再加強的是將資安手冊與程序文件依照公司情形具體改寫成實際可行的手冊及程序，確實達到說寫做一致，畢竟在這次有限的顧問輔導時間裡，許多文件描述的是比較大的架構與規範；在教育訓練方面，在此次建置ISMS之後，深刻體認所有重大資安事件60%都是人為因素造成，因此要持續加強員工在職資安認知訓練，而未來對於新進員工，也會新增設一堂資訊安全課程，傳達公司的資安政策與辦法；至於在持續改善方面，則計劃要培訓公司合格的稽核員來擔任起內部稽核的角色，確實每季進行稽核、要求改善。此外，若在資源許可的情形下，也希望能請專業機構定期進行外部稽核。
最後，根據寶工近程的IT計畫，2008年是電子商務準備年，詹愛貞深知網站安全就是讓B2C網站交易能被信任的關鍵，因此未來計劃增聘電子商務程式設計師專門負責這部份的系統開發。被問到為什麼不考慮委外開發時，詹愛貞強調，為顧及將來的系統擴充性，自行開發較能掌控進度與需求，此外系統自行管理、維護也比較有安全感！看來，寶工對於安全的要求真是比起大企業有過之無不及！