https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

永豐紙業高安全服務品質 塑造印刷新價值

2008 / 12 / 01
吳依恂
永豐紙業高安全服務品質  塑造印刷新價值
許多早期導入ISO 27001驗證之公司以科技業為主,但永豐紙業以製造業的特殊產業身分踏入這塊領域,透過資訊安全的驗證標準贏在起跑線。

永豐餘集團於1950年創立,是台灣民營造紙業的先驅,其造紙業務包括了文化用紙、工業用紙、紙容器及家庭用紙等。而永豐紙業主要業務是印製國內商業報表、生產凹版有價證券等項目之民營公司,甚至也生產IC晶片卡等,與國內知名半導體業、銀行金融業等大規模企業多有合作。如此歷史悠久又傳統的產業,何以會對資訊安全驗證ISO 27001感興趣呢?

安全的專家
起因是由於業務導向,但終也成就了公司的安全體質。永豐紙業總經理郭立人說,「我們自詡為安全的專家。」由於手上掌握了不少客戶的機敏資料,這家老字號的公司,更是做到與國家安全等級的機密防護。「雖然我們是民營企業,但我們具有等同國家印製廠之安控實力,並且還同時具有印刷客製化的彈性,價格不僅實惠也有競爭力。」他認為,替客戶做的服務並不只是單純的「印刷」這件事情而已,而是「安全」+「印刷」,這也是將收費價格介定於一般民營企業與國家印刷廠之間的緣故,永豐傾其全力的服務品質,讓印刷不只是印刷,而是在維持良好的印刷品質及美觀下,能讓客戶減少庫存壓力、順暢營運的保證。

身為國內印刷業龍頭的永豐紙業,該土城廠擔負著重責大任,大至印刷銀行債券、支票或IC卡,小至發票、便利商店的集點貼紙,這些信用、塑膠貨幣都是現代交易的重要媒介,因此也幾乎天天有金融單位(甚至由金管會抽查陪同下)等客戶來稽核。而今日客戶的信賴,都是過去永豐紙業在資訊安全方面努力得來的成績。

永豐紙業當時導入ISO 27001的主要關鍵是與台灣電腦彩券樂彩公司的合作,當時也是印刷業的創舉,在印刷業當中獨一無二領先通過資訊安全管理系統驗證。從由台北富邦銀行發行的第1代公益彩券「樂彩」,到現在由中國信託商業銀行發行之「台彩」,永豐紙業一直都是該彩券印製的合作對象。當時,第1代的「樂彩」主要是由國外廠商GTECH主導,該廠商初始時全部由國外進口,該做法不僅成本較高,準備時間也很長,尤其在美國的911、罷工等事件發生後,該公司更考慮從本地尋找廠商的配合,而這次的合作機會,也是永豐紙業土城廠導入ISO 27001安全驗證的契機。

郭立人認為,客戶的需求就是最好的學習機會,此外,證照的取得也對於商業營運相當有所幫助,當年正是他剛升任總經理的時候,他認為取得客戶的信任是相當重要的。他說,「我們不是印刷業,是服務業!客人的資料交到我們手上,我們就要確保它安全無虞!」對永豐紙業來說訂單並不單單僅是印刷而已,重要的是要加入能夠辨識的系統,也就是在印刷載體上建置防偽機制,顯性的像是從紙的厚度、圖文設計便能辨出真偽,隱性的有如網點或是彩絲的結構等,從資料的輸入到最後的銷毀階段,永豐不愧是值得信賴的金字招牌,能夠給予客戶堅定的承諾。當時與樂彩的合作,雖然來自國外廠商的要求很多,但永豐紙業也都能夠一一配合,在歷經過陣痛期後,已經蛻化成具有絕對安全意識的印刷業者,以至於後來的台彩、運彩也都延續與他們合作。

國外經驗啟蒙 未來更上一層樓
永豐紙業生產部協理湯圭民也提到,從工廠的業務流程面來說,因為之前導過國際品質控制的ISO 9001、ISO 14001到後來的ISO 27001、CWA 14641等,一路走來,這些過程都讓永豐累積不少標準導入經驗。在過去的經驗當中,會先由內部成立專案組織、任務分工,也汲取外界專家之意見,進行工作流程的檢討,讓各式各樣的要求,慢慢轉成工作習慣,由於具有豐富的導入驗證經驗,且獲得高層支持,資源較充足,因此剩下需要克服的技術問題也就簡單多了。湯圭民說企業都是需要邏輯、系統性的管理,因此透過導入標準化驗證的方式,可以更有系統化的對企業不同環節進行管理,確保品質或安全等被落實。

永豐紙業土城廠,有一個獨立的資料處理(DP, Data Processing)中心,是在整個印刷製作過程中,以電腦處理為主,主要負責資料處理列印,服務企業用戶而非閱讀大眾。客戶來稿會經由FTP或磁帶、光碟等,經過加密傳輸模式,甚至是檔案根目錄的權限控管等,來到DP Center進行轉檔,將客戶的資料格式轉換成列印檔案。永豐紙業資訊處經理吳棟煇說,由於永豐紙業歷史悠久,從新到舊的程式語言環境都有、都要會,如C、Clipper、VB、Windows AP程式,來自各客戶的資料也必須要轉入自家的資料庫裡,各式各樣的字形與字碼都有,簡直就是「萬碼奔騰」呀!吳棟煇笑著說。而除了較涉及到客戶資料的DP Center以外,97年的ISO 27001換證時,為符合客戶要求,土城廠也擴大了驗證範疇,加入了設計與版型編排的圖文整合中心,務必使得資訊安全系統的推廣更加全面性。而從列印檔案到列印伺服器、列印機台、裝封、交寄等過程結束後,客戶機密資料也設有銷毀日期、期限,具有一套完整的資訊流保護措施。

不過為求安全起見,該單位之工作環境也較為封閉,內部也採用資料監控軟體,除了管理日常系統運作以外,也避免內部人員疏失而造成資料外洩的風險。郭立人說,他們與客戶之間採取的是承諾責任制,如果有價證券上出現錯號、重號,永豐紙業都必須負擔全部的責任,也就是所謂的無限責任,因此在DP Center工作絕不能出錯,不過,永豐紙業也體恤該單位工作較為枯燥且壓力大,設有部門的特別獎勵措施。

除此之外,為求安全,永豐紙業公司內部系統幾乎不委外,由自己的IT團隊一手包辦,甚至也自行開發印刷業所需的ERP系統,還能提供給其他友商客製化的ERP系統,不僅使用WEB介面來傳遞資料,客戶也可以電子化的線上下單,傳輸過程也進行了加密,甚至包括銀行要求提供專線等服務,他們也都能盡量達成。

個體行為的向上提升-群體認知
除了資訊安全系統驗證ISO 27001之外,永豐紙業目前也剛通過歐盟的安全印務認證系統CWA 14641標準,這是一項有價證券印刷業的高安全標準,整個亞洲區通過驗證之廠商也不過3家,永豐為了該驗證斥資億元購買新設備,為了達到安全高標準,也重新調整工廠流程動線,若ISO 27001是著重在資料流的防護,那麼CWA 14641就是著重於實體設備上的部份,比如門窗、照明、警報器等,尤其在印刷的製程上做了詳細的規範,永豐現階段需求便是使這項驗證工作更加落實。

此外,在人員的安全意識培養上也還有改善空間,而其實永豐在面試時,通常也都會要求對方附上警察刑事紀錄證明(俗稱良民證),並且也會在教育訓練時便將安全概念傳遞給員工,郭立人舉例,有價證券的印製,例如禮券、支票、回數票等票面價值都很高,因此該行業更需要成熟自律又兼具傳統道德性格的員工。在安全上的投資毫不吝嗇的原因,便是因為他們從長遠的考量來看,目標是達到絕對的安控!郭立人提到這個行業要求的產品特性-美觀、安全、複雜、困難。儘管客戶要求的任務都相當艱難,但透過多年來的經驗與專注在安全,永豐已經為該公司建立起競爭的高門檻,郭立人說,「安全不是有錢就買得到的,必須投注時間、耐心與精神!」無論是生物辨識、數位印刷等技術,永豐的確已建立起他們的競爭優勢,也在交易中逐漸建立起無可取代的客戶信任。

對資訊安全的未來規劃,永豐紙業預計將朝向以「資訊安全事故次數」、「使用者服務滿意度」、「資訊安全教育訊練」3個議題,建立起資訊安全KPI制度來確保資安的有效控管,並且持續追蹤、落實相關的制度規範。將資安的管理與推動措施從個體行為提升到群體價值與規範,以建立起企業的資安文化。