https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

安全「不動」!土地銀行藉ISMS向下紮根

2008 / 09 / 22
編輯部
安全「不動」!土地銀行藉ISMS向下紮根
隨著環境的變遷,土銀運用IT提供客戶完善服務,日前甫通過ISO 27001資安認證,為目前公營行庫中,第一家通過ISMS認證的單位。

土地銀行是台灣不動產融資、土地信託龍頭的金融機構,從購地、提供建商建築融資、建案完成後的分戶貸款及社區金流通路,構建為「一條龍」的服務,並致力於成為客戶主力銀行,其業務範圍從一般民眾延伸至中小企業,提供全方位的服務;然而在提供客戶服務的過程中,投注更多的關心與責任,體認資訊安全機制不可輕忽,資訊室主任羅永棟充滿信心的表示,土地銀行雖由傳統銀行轉型為全方位綜合銀行,但IT技術,絕不會輸給其他銀行。

運用IT 提供優質服務
羅永棟細數土地銀行IT幾項指標性發展,民國72年完成全行營業單位連線作業,所有資料都集中在台北的電腦中心。75年設置自動化服務設備並開展跨行連線業務。民國90年建置彰化第二電腦中心及網路銀行,IT應用層面更加廣泛。然而,各行庫皆面臨一個難題:如何在競爭激烈的金融業中,獨佔鰲頭?伴隨著銀行結構的改變,土銀開始規劃資料倉儲,運用資料採礦(Data Mining)技術,建立客戶關係管理(CRM, Customer Relationship Management),以客戶為中心,進行資訊整合及分類管理,利用交叉行銷以多元性的金融商品滿足客戶需求。對強敵環繞的金融界而言,因業務需要存有眾多客戶機敏資料,因此維持系統正常運作極為重要,必需依現有的狀況隨時更新修正。
土銀於96年正式將徵授信流程自動化上線,各種放款機制都納入電子化作業,以提昇客戶服務品質。隨著資訊科技的日新月異,資訊安全的範圍也大不同,土銀早期在進行跨行連線時,便要求所有交易皆須保持資料的正確性且要求高效率之回應時間,所謂的資訊安全著重交易層面的控管,隨著網路銀行發展及虛擬通路的盛行,土銀就面臨到全新的挑戰,如防堵駭客攻擊、木馬程式等惡意程式入侵,因此,提供防火牆、病毒碼自動化更新、弱點掃瞄、防入侵偵測系統等控管作業也隨之而生,資訊安全的範圍也由銀行內部封閉式系統一直延伸到開放式的電腦。
客戶資料對銀行業者而言具高度重要性,但近幾年銀行將客戶資料外洩的新聞屢見不鮮。有鑑於客戶資料一定要在業務及提供服務範圍內運用,但在保障客戶資料卻不影響工作效能的情況下取得平衡,成為當前的課題。目前土銀的作業方式,即便是測試的資料都須經過遮罩(mask),加以處理、保護,來降低資料外洩機會,同時仍需建置完整持續的測試案例,以確保系統如期上線,確為資訊室同仁工作的一大挑戰。

負責人:吳繁治
成立時間:1946年
資本額:250億元
員工人數:約5,800人
IT人力:198人
主要業務:土地貸款、建築融資、土地信託、不動產證券化、房屋貸款及個人理財等。
ISO 27001認證範圍:資訊室(包含所有資訊系統)、位於彰化第二電腦中心、位於高雄的集線中心
參與認證成員:約250~300人。

劃分使用權限 建立風險評估
土銀從75年即建置電腦稽核制度對資訊室進行查核作業。由於許多資安事件是因內部員工有意或無意洩漏出去,因此對內部各個單位職權的劃分,如使用設備人員、軟硬體資源是否合法,接觸客戶資料是否在符合內部安全標準下進行,都是電腦稽核查核時特別重視的部份。什麼樣的人做什麼事,權限越大,所能接觸的系統就越少,羅永棟笑說,他的門禁卡雖能進出資訊室所有的部門,但對於系統使用權卻較其他中階主管來的少;土銀從上至下,各個單位都是依循相同模式進行。
銀行作業就是IT的作業,以Basel II(巴賽爾資本協定)來看,作業風險會有風險資料庫的蒐集,依照不同風險類型建置各風險資料庫,對應不同的風險權數,採取適當安全機制及控制措施,才能確保事故發生時即時應變,將風險降至可接受程度。土銀為強化資安制度建置,資安相關作業除經資訊室資訊安全小組審查外,並須經資訊策劃審議、業務發展應用及安全推行委員會再次審查。歸納起來資訊資產可區分為:人員、 資料、文件、軟體、硬體、通訊、環境等7大類,土銀並將ISO 27001標準所含之133個控制項與查核事項整合,以強化風險控管及內部控制機制。

資安消息 高階主管密切關注
然而資安工作並非一兵一卒即可完成,高階主管的支持是推動資安的重要關鍵。羅永棟表示,進入土銀近30年,雖歷經不同領導者,但各個高階領導者都具有相同觀念─銀行作業和資訊作業密不可分,電腦中心如同心臟一般,資訊系統持續運作,銀行才能營運。羅永棟笑說,同業偶有資安相關報導出現,他常會接到董事長及總經理等高階主管對於報導內容的關切電話,因此,羅永棟現在會請資訊室輪值同仁提前整理第一手相關剪報,以供相關主管即時掌握資安動態訊息。
由於重視資訊安全,土銀對資安設備投資佔IT整體比例頗高,對於資安設備購建之優先性,沒有第2句話!土銀在彰化第二電腦中心設有一套異地備援系統,並維持與資訊中心資料同步作業,以強調全年無休及迅速正確。但安全不管做的多完善,天災人禍仍無法預料,土銀每年會定期進行備援演練,在資訊中心及彰化第二電腦中心完成相關作業後,即將連線作業切換至彰化備援中心,並提供客戶進行提款等交易,演練完成後並重新將連線作業切回資訊中心,以確保備援演練有效性執行。

廣大認證範圍 一次做足!
土銀對於資安的推廣向來不遺餘力,羅永棟表示當初推動ISMS除了為與國際接軌,另一個原因是通過ISO 27001認證已成為趨勢。他指出,現在很多理財專員名片上都寫著其服務的機構有通過該認證。土銀從去年11月開始進行ISO 27001資安認證,歷時8個月。不同於其他單位階段性進行,土銀一口氣將資訊室 (包含所有資訊系統)、位於彰化之第二電腦中心、位於高雄的集線中心,都納入本次的驗證範圍,而參與人員更囊括了資訊室同仁,並含委外廠商(系統維護廠商、機電、清潔、保全人員等),約莫250~300人。羅永棟笑談,因為資訊作業於去年11月已經由主計處等外部稽核機構查核評鑑結果為「非常完整」單位之一,原以為一切都準備好了,獲取認證應該不難,但沒想到親臨戰場仍是相當辛苦!
這次推動ISO 27001是由作業管制科人員依專案進度與主辦科先行討論,再與各科副科長成立的專案小組進行第二階段研討,並由副主任召開資訊安全小組審查會議,再將最後成果交由主任檢視。但因各科的立場不同,爭議難免,加上資訊室同仁除了要配合認證進度,符合驗證公司的多項標準,執行各項調整作業外,對於既有業務的工作仍需維持相當水準,持續配合業務進行開發作業更讓整個驗證過程大不易。繁複的工作,讓資訊室同仁倍感壓力,針對客戶資訊安全保障需求,及公司內外部可能遭遇之系統威脅,進行鑑別、管理、減少和持續改善資訊資產所面臨的風險,終於如期在8個月內建置出國際標準的資訊安全管理制度。
而這次的驗證機關BSi稽核人員對資安訊全驗證程序更是鋪天蓋地,羅永棟舉例說明,例如使用資料庫會依照權限做劃分,以決定使用人員可否對資料作修改,使用完畢後,也都需留下證據,但後序軌跡的完整性及程序的統一性,都是需考量的點。在目前的資訊作業環境下因有太多的制度與程序,資訊資產必須一個個檢視,要做到100%完善,是項大考驗。像文件需分為機密、敏感、一般表單等,還要再依此類別區分等級,土銀為符合規定,花了很多時間,將這些資料重新調整,並且與現行規範制度整合調整,以落實制度之執行;而BSI稽核人員在檢查業務系統時,更會監看實際操作過程,以印證是否符合規定;土銀已將委外廠商於駐點之使用範圍做實體隔離,查核人員實地從外部查看是否能與內部網路連線;對已限制員工使用USB的規定,仍要拿USB親自到每台電腦上操作以為驗證;連傳真機、影印紙及桌上不必要的文件都必須移除,檢查程序繁冗;然而驗證過程雖嚴謹,既定工作時程並未被延誤,土銀資訊室延續下來的加班文化,讓同仁都會全力以赴完成手邊工作。
但也因本次驗證的嚴格規範,讓土銀從中獲得許多效益;第1,驗證規定若資訊安全事故發生時要進行資安事件通報,做根因分析採取即時矯正措施,並持續的整體改進、管理追蹤。第2,因為文件詳細的歸類,讓土銀上下不管在表單、流程上,都有統一標準可遵循。第3,年前為配合政府政策需在10天內建立勞工紓困的系統,然而時間雖緊迫,系統安全卻不可疏忽;由於土銀已建立了安全開發機制,讓其在安全與效率上兩者兼顧。第4,在查核期間,同仁們一邊受檢一邊汲取稽核經驗,強化對系統的了解及自我評斷的能力。然而,透過這次認證過程,將大家的觀念拉到同條船上,凝聚彼此的心,更是最大的收穫。

確保安全 培育專才
羅永棟表示,土銀對於資安人才培育,都藉由內部訓練。他認為,求助外力無法滿足其業務需求,像土銀的電腦稽核人員,都是曾服務於資訊室系統開發的幹部;
而除了高階主管觀念明確,銀行內部員工亦要對公司企業文化有所了解,方能更順利推動資安。那麼要如何喚起員工對資安的正確觀念?羅永棟指出,除了對企業文化有所認識,土銀也會對員工進行約50~60小時的教育訓練,除了鞏固觀念外,也提供一個機會讓老中青三代同堂相互交流。
對於未來,羅永棟表示,土銀仍遵循資訊發展計劃逐步推動,因為平時就要做好資安,才能應付各種突發狀況。最重要的,是要「穩健發展」;現階段該做的都做了,最辛苦的時間也都過了,除了要在既有的制度中保持穩定,不脫離軌道,也要持續培養專業之續航能力。未來,土銀將會面臨眾多新的挑戰,絕不能掉以輕心!
1.強化資安事件通報機制,問題發生能進行根因分析,持續追蹤改善。
2.文件詳細歸類,表單、流程有統一標準遵循。
3.建立安全開發機制,讓安全與效率兩者兼顧。
4.從認證過程中,學取稽核經驗。
5.資訊人員對資安觀念的一致性。