永豐紙業高安全服務品質 塑造印刷新價值

許多早期導入ISO 27001驗證之公司以科技業為主，但永豐紙業以製造業的特殊產業身分踏入這塊領域，透過資訊安全的驗證標準贏在起跑線。

永豐餘集團於1950年創立，是台灣民營造紙業的先驅，其造紙業務包括了文化用紙、工業用紙、紙容器及家庭用紙等。而永豐紙業主要業務是印製國內商業報表、生產凹版有價證券等項目之民營公司，甚至也生產IC晶片卡等，與國內知名半導體業、銀行金融業等大規模企業多有合作。如此歷史悠久又傳統的產業，何以會對資訊安全驗證ISO 27001感興趣呢？

安全的專家
起因是由於業務導向，但終也成就了公司的安全體質。永豐紙業總經理郭立人說，「我們自詡為安全的專家。」由於手上掌握了不少客戶的機敏資料，這家老字號的公司，更是做到與國家安全等級的機密防護。「雖然我們是民營企業，但我們具有等同國家印製廠之安控實力，並且還同時具有印刷客製化的彈性，價格不僅實惠也有競爭力。」他認為，替客戶做的服務並不只是單純的「印刷」這件事情而已，而是「安全」＋「印刷」，這也是將收費價格介定於一般民營企業與國家印刷廠之間的緣故，永豐傾其全力的服務品質，讓印刷不只是印刷，而是在維持良好的印刷品質及美觀下，能讓客戶減少庫存壓力、順暢營運的保證。

身為國內印刷業龍頭的永豐紙業，該土城廠擔負著重責大任，大至印刷銀行債券、支票或IC卡，小至發票、便利商店的集點貼紙，這些信用、塑膠貨幣都是現代交易的重要媒介，因此也幾乎天天有金融單位（甚至由金管會抽查陪同下）等客戶來稽核。而今日客戶的信賴，都是過去永豐紙業在資訊安全方面努力得來的成績。

永豐紙業當時導入ISO 27001的主要關鍵是與台灣電腦彩券樂彩公司的合作，當時也是印刷業的創舉，在印刷業當中獨一無二領先通過資訊安全管理系統驗證。從由台北富邦銀行發行的第1代公益彩券「樂彩」，到現在由中國信託商業銀行發行之「台彩」，永豐紙業一直都是該彩券印製的合作對象。當時，第1代的「樂彩」主要是由國外廠商GTECH主導，該廠商初始時全部由國外進口，該做法不僅成本較高，準備時間也很長，尤其在美國的911、罷工等事件發生後，該公司更考慮從本地尋找廠商的配合，而這次的合作機會，也是永豐紙業土城廠導入ISO 27001安全驗證的契機。

郭立人認為，客戶的需求就是最好的學習機會，此外，證照的取得也對於商業營運相當有所幫助，當年正是他剛升任總經理的時候，他認為取得客戶的信任是相當重要的。他說，「我們不是印刷業，是服務業！客人的資料交到我們手上，我們就要確保它安全無虞！」對永豐紙業來說訂單並不單單僅是印刷而已，重要的是要加入能夠辨識的系統，也就是在印刷載體上建置防偽機制，顯性的像是從紙的厚度、圖文設計便能辨出真偽，隱性的有如網點或是彩絲的結構等，從資料的輸入到最後的銷毀階段，永豐不愧是值得信賴的金字招牌，能夠給予客戶堅定的承諾。當時與樂彩的合作，雖然來自國外廠商的要求很多，但永豐紙業也都能夠一一配合，在歷經過陣痛期後，已經蛻化成具有絕對安全意識的印刷業者，以至於後來的台彩、運彩也都延續與他們合作。

國外經驗啟蒙 未來更上一層樓
永豐紙業生產部協理湯圭民也提到，從工廠的業務流程面來說，因為之前導過國際品質控制的ISO 9001、ISO 14001到後來的ISO 27001、CWA 14641等，一路走來，這些過程都讓永豐累積不少標準導入經驗。在過去的經驗當中，會先由內部成立專案組織、任務分工，也汲取外界專家之意見，進行工作流程的檢討，讓各式各樣的要求，慢慢轉成工作習慣，由於具有豐富的導入驗證經驗，且獲得高層支持，資源較充足，因此剩下需要克服的技術問題也就簡單多了。湯圭民說企業都是需要邏輯、系統性的管理，因此透過導入標準化驗證的方式，可以更有系統化的對企業不同環節進行管理，確保品質或安全等被落實。

永豐紙業土城廠，有一個獨立的資料處理(DP, Data Processing)中心，是在整個印刷製作過程中，以電腦處理為主，主要負責資料處理列印，服務企業用戶而非閱讀大眾。客戶來稿會經由FTP或磁帶、光碟等，經過加密傳輸模式，甚至是檔案根目錄的權限控管等，來到DP Center進行轉檔，將客戶的資料格式轉換成列印檔案。永豐紙業資訊處經理吳棟煇說，由於永豐紙業歷史悠久，從新到舊的程式語言環境都有、都要會，如C、Clipper、VB、Windows AP程式，來自各客戶的資料也必須要轉入自家的資料庫裡，各式各樣的字形與字碼都有，簡直就是「萬碼奔騰」呀！吳棟煇笑著說。而除了較涉及到客戶資料的DP Center以外，97年的ISO 27001換證時，為符合客戶要求，土城廠也擴大了驗證範疇，加入了設計與版型編排的圖文整合中心，務必使得資訊安全系統的推廣更加全面性。而從列印檔案到列印伺服器、列印機台、裝封、交寄等過程結束後，客戶機密資料也設有銷毀日期、期限，具有一套完整的資訊流保護措施。

不過為求安全起見，該單位之工作環境也較為封閉，內部也採用資料監控軟體，除了管理日常系統運作以外，也避免內部人員疏失而造成資料外洩的風險。郭立人說，他們與客戶之間採取的是承諾責任制，如果有價證券上出現錯號、重號，永豐紙業都必須負擔全部的責任，也就是所謂的無限責任，因此在DP Center工作絕不能出錯，不過，永豐紙業也體恤該單位工作較為枯燥且壓力大，設有部門的特別獎勵措施。

除此之外，為求安全，永豐紙業公司內部系統幾乎不委外，由自己的IT團隊一手包辦，甚至也自行開發印刷業所需的ERP系統，還能提供給其他友商客製化的ERP系統，不僅使用WEB介面來傳遞資料，客戶也可以電子化的線上下單，傳輸過程也進行了加密，甚至包括銀行要求提供專線等服務，他們也都能盡量達成。

個體行為的向上提升－群體認知
除了資訊安全系統驗證ISO 27001之外，永豐紙業目前也剛通過歐盟的安全印務認證系統CWA 14641標準，這是一項有價證券印刷業的高安全標準，整個亞洲區通過驗證之廠商也不過3家，永豐為了該驗證斥資億元購買新設備，為了達到安全高標準，也重新調整工廠流程動線，若ISO 27001是著重在資料流的防護，那麼CWA 14641就是著重於實體設備上的部份，比如門窗、照明、警報器等，尤其在印刷的製程上做了詳細的規範，永豐現階段需求便是使這項驗證工作更加落實。

此外，在人員的安全意識培養上也還有改善空間，而其實永豐在面試時，通常也都會要求對方附上警察刑事紀錄證明（俗稱良民證），並且也會在教育訓練時便將安全概念傳遞給員工，郭立人舉例，有價證券的印製，例如禮券、支票、回數票等票面價值都很高，因此該行業更需要成熟自律又兼具傳統道德性格的員工。在安全上的投資毫不吝嗇的原因，便是因為他們從長遠的考量來看，目標是達到絕對的安控！郭立人提到這個行業要求的產品特性－美觀、安全、複雜、困難。儘管客戶要求的任務都相當艱難，但透過多年來的經驗與專注在安全，永豐已經為該公司建立起競爭的高門檻，郭立人說，「安全不是有錢就買得到的，必須投注時間、耐心與精神！」無論是生物辨識、數位印刷等技術，永豐的確已建立起他們的競爭優勢，也在交易中逐漸建立起無可取代的客戶信任。

對資訊安全的未來規劃，永豐紙業預計將朝向以「資訊安全事故次數」、「使用者服務滿意度」、「資訊安全教育訊練」3個議題，建立起資訊安全KPI制度來確保資安的有效控管，並且持續追蹤、落實相關的制度規範。將資安的管理與推動措施從個體行為提升到群體價值與規範，以建立起企業的資安文化。