觀點

第一屆《資安貢獻獎》─得主心得分享

2009 / 01 / 23
iseditor
第一屆《資安貢獻獎》─得主心得分享

不讓美國Security 7專美於前,本刊明年即將舉辦第2屆資安貢獻獎,以下是2007年第1屆資安貢獻獎得主分享此項殊榮對他們的影響及改變。

台灣大哥大
台灣大哥大客戶服務暨品質管理副總經理朱黃傑:資安貢獻獎提供了另一種實現企業社會責任的平台。
台灣大哥大的資安工作已經推動4年,這一路走來從無到有,包括資安制度訂定、資安意識培養到整套管理機制建立等,背後是同仁投入大量心血的成果。而得到資安貢獻獎除了給默默辛苦的資安人員直接肯定之外,全公司同仁都受到鼓舞與激勵,這對後續資安工作的推展上更是如虎添翼。尤其是當我們所服務的客戶也知道我們獲獎時,對於與我們合作都更為放心。
做資安,一般都認為要低調,只能做不能說,但是我們認為現在是全民防詐騙的時代,應該將正確的資安認知推廣到社會,不僅企業要重視資安,一般民眾也要知道保護個人資料的重要,而資安貢獻獎其實也是一種對社會大眾資安認知的機會教育,因此參與資安貢獻獎活動也是另一種企業社會責任的表現。
在貢獻獎活動中,我們很高興與其他得主有進一步交流討論的機會,經過嚴格的評選而選出的得主們都相當實至名歸,雖然許多單位也都陸續通過ISO 27001的認證,然而貢獻獎是由其他面向的考量公正客觀地評選出。希望將來評鑑標準與品質能繼續維持下去,讓資安貢獻獎能成為台灣資安的諾貝爾獎。

群益證券
群益證券執行副總裁賈中道:推動資安要讓客戶知道
去年得到資安貢獻獎之後,經由媒體的披露,使公司同仁更加了解我們推動資安的目的,全公司對於資安都有共識,所以我們後續在相關資安作業流程的推動上不需要再多做解釋,例如未何不能提供完整的客戶資料,為何部分資料需要遮蔽等,因為資訊安全已經成為群益的文化。而由於我們金融服務業的特性,客戶對於其下單資料或我們提供的財富管理服務都希望能絕對的保密,因此得到貢獻獎之後也獲得客戶不少好評,對我們來說,推動資安就是要讓客戶知道,資料可以放心的交給群益。甚至我們主管機關也認定通過ISO27001資安認證的券商,可免例行資安檢核,這也是另一種附加價值。
對我們來說,取得ISO 27001資安認證為的是讓客戶放心,而才剛通過的BS25999營運持續管理(BCM)認證則是要對股東負責,確定企業有持續營運的能力。有了資訊安全的內部文化,在BCM的推動上,就更容易廣泛落實。這次的BS25999營運持續認證,涵蓋範圍包括證券、期貨、複委託、債券、衍生性商品、興櫃、電子交易、財務、結算等群益所有業務及重要後勤作業,確保群益有能力在發生災難或意外時,所有業務及公司運作仍可進行。由外而內的次序,從服務客戶到對股東負責,接下來,就應該進行資訊部自己的強身健體,從財務的角度,以更有效益及效率的方式,來提供滿足服務水準要求下的資訊服務。因此,我們正在進行資訊服務管理的再強化,無論景氣如何,時時刻刻保持高運作效益的資訊部。
其實現在越來越多企業陸續通過ISO 27001認證,要取得認證並不難,然而推動資安的困難之處,在於如何讓企業高層及所有部門的人都能接受資安的價值,畢竟資訊安全剛推動時,大家的確會不習慣,需要逐步調整適應。所以取得認證只是資安推廣的開始,能否持續地推動,每年都能再通過複評,確認不斷的有效改善,在內部建立起紮根的資安文化,才是真正的落實,才更為關鍵。我想這才是獲得資安貢獻獎的價值所在。

財稅資料中心
財政部財稅資料中心資訊安全控制小組專門委員謝棟梁:此項殊榮成為日後推動資安工作的助力!
對中心內部而言,貢獻獎不但增加了同仁做資安的信心及成就感,同時也讓我們成為財政部內其他機關或單位在佈署資安設備或制度的參考對象,像之前中心內有進行實體隔離,獲獎後,部內各機關都跟著遵循這項規定。此外,現在部內所有的個人電腦皆不得裝非法軟體、P2P點對點傳輸工具,並要求定期做弱點掃描、提供教育訓練,各項有關資安的措施,同仁也都欣然接受。而財政部次長及我們黃主任對資安的重視,也反應在資安預算的增加與核准,有關資安的建置皆更容易獲高層認可。現在中心內的資訊安全控制小組每個月都需提報資訊安全的相關指標給本部首長參考,包括有無定期進行教育訓練、弱點掃瞄、使用非法軟體等,透過指標讓首長了解弱點,並給予補強。
今年甫發生民眾下載FOXY傳輸工具至電腦,導致民眾電腦內所存的個人報稅資料外洩事件,在得到資安貢獻獎後,我們較易獲得相關單位的協助,像是當時尋求警調單位協助調查該案件,後來發現P2P平台上的資料,僅是偽裝成納稅人資料外洩檔案,其內都是不堪入耳的髒話及木馬程式,民眾若點選,就會中木馬病毒;同時我們和FOXY也在各自的官網上張貼公告,如勿在不明確的網站上報稅、勿安裝P2P分享軟體、勿在公眾電腦報稅、隨時更新電腦修補程式等,提醒民眾報稅時的注意事項,諸如此類,都讓各機關給予我們大力協助。
然而儘管對內對外資安推動較為順利,但我們很擔心新修訂的個資法通過,不論罰款或刑責都會加重,對資安人員會造成無形的壓力。雖然目前市面上有許多自動化稽核及防駭工具,將可收預防及嚇阻之效,但對擁有大量個人資料的機關或組織,仍是一項揮之不去的夢魘,因此我們盼望行政院等相關單位能擬訂一套個資法可能帶來的衝擊及資安人員如何防範的完善計畫,協助資安人員有效防範個資外流的措施,如強制各機關接觸個人資料時,存放的資料庫一定要加密等;從源頭降低風險,方能達到外洩風險降低之效。

法務部資訊處
法務部資訊處處長陳泉錫:現在我們會用更嚴格的標準去審視資安工作,以維持這份得來不易的榮耀。
坦白說,得獎後,行政院主計處給予本機關的資安預算仍舊和往年一樣,資訊主管還是得主動尋求資金來源,像是行政院提出的擴大內需政策等,我們都會積極向研考會、金建會爭取額外經費,預算並未因得獎有明顯改變。然而,貢獻獎是份榮耀,對同仁在工作上的鼓勵,是有一定幫助的,透過這次的活動,使我們得到其他政府機關及民間單位的肯定,日後在機關內的政策推行也更具說服力,同時,這也是激勵我們向上的動力,現在我們都會用更嚴格的標準去審視資安工作,以維持這份得來不易的榮耀。
而現階段對我們而言,最大的挑戰在於「人」。推動資安需與人密切接觸,隨時掌握各單位需求,提供立即服務,管理重於技術;因此要有單位負責執行,監控,資安工作方能精確、完善。
再來是公家機關常遇到的狀況,資訊委外佔多數比率。委外對人力及技術的支援是有一定幫助,但現在政府機關系統開發及維護大多都交由外部廠商,機關內部IT人員逐步失去規劃與技術等核心能力,豈有安全可言?不親自規劃、操作技術,就不易掌握實際狀況,因此政府機關應保有基本的業務知識與開發技術能力,方能有效管理廠商。我常提一個「資訊委外槓桿」概念,這是相對於財務槓桿的觀念,亦即太少資金操作太大投資,將帶來極大風險。相同的,太少自有人力操作過度的委外,亦將給機關帶來極大的風險。有多少能力就做多大的應用;先培養好自己的能力,才能維持主控性,確保內部的資訊安全,方進一步尋求委外。我認為資訊部門倘若都將資訊開發維護委外,IT人員未來只負責採購行政等工作,不但無法得到他人的尊尊敬,員工亦會得不到成就感,甚至再也無心從事資訊工作了。

工業技術研究院資訊中心
工業技術研究院資訊中心組長黃芳猷:得獎,是對執行同仁的莫大肯定,也可藉此提高內部人員對資安的重視,加重資安工作的責任並投入更多的資源與努力。
工研院每一年都會進行資安工作的風險評鑑,對所發現較高風險之處做較大比例的投資,我們於近年購買可針對後門程式及系統弱點進行掃描的軟體,除了需負擔購買IT工具的費用,其最耗費人力與資金的投資是對既有程式、系統進行掃描後的弱點修改動作,且IT人員都將會涉及資安工作,造成額外工作量增加,但所幸我們IT人員接受IT新技術的程度高,透過不斷的溝通,讓同仁慢慢接受,希望藉此推動「全民做資安」。
而對外,亦可成為對外推廣服務引用的好標竿與口碑。我發現客戶與合作夥伴常以是否有通過國際驗證的指標去檢視合作對象,考量是否具專業性及其所交付的資料是否有外洩之虞;相對的,若有得到國際認證或是類似資安貢獻獎等獎項時,就代表著高品質,有一管理機制,不但對自己加分,也加強了對方的信心!
對於資安風險與日俱增,資安管控工具又多樣化,如何選擇工具,及投入適當資源,做到有效的防護,是我們所面對的挑戰與目前工作重點,像如何有效杜絕後門程式以降低資安風險及逐步加強網頁應用程式的安全弱點檢查,包括自行開發與委外開發的資訊系統或網站,一步步去打造資安防護網!
得獎其實是種壓力,高層雖然會給予肯定,但相對的,審視標準會更加嚴格,IT人員所要投入的心力也會更多。但是,這也成為驅使工研院努力推動資安的動力,讓內部的資訊系統及制度越來越完善。