對台灣銀行來說,通過國際標準驗證不是「完成」,而是持續他們穩健、安全之路的開始。 扮演執行政策性任務的角色臺灣銀行總經理羅澤成認為,在次貸風暴與金融海嘯等金融危機暴發後,原來資本主義放任自由的主張,一夕之間被政府介入、部分管理的政策所取代,國營化似也成為拯救金融危機的唯一良方。而台銀本身就是一個百分百公股銀行,對配合執行政策性任務更是責無旁貸。
過去一、兩年國內確實有少數幾家銀行發生經營危機,但最後並沒釀成金融事件,在整件事的幕後,公股銀行-尤其是臺灣銀行扮演了極重要的角色,充分執行資金融通的任務,另有些無法繼續經營的銀行被中央存保公司接管,也是委由台銀代為經營,進行清算整理,再由體質佳的銀行購買,不致因銀行倒閉引發金融市場動亂。
行政院劉院長提出「政府挺銀行、銀行挺企業、企業挺員工」的主張,羅澤成表示,當企業發生經營困頓時,一般民營銀行通常採取抽銀根的作法,但站在公股銀行的立場,是全力支持「銀行挺企業」的主張。當然支持企業持續經營也並非盲目,一開始的授信審查及風險控管就要落實執行。
當今兩岸交流日漸熱絡,國內金融業已摩拳擦掌準備進軍對岸金融。有學者對羅澤成建言,台銀為百分之百的國營行庫,背後有政府的強力支援,大陸也都是國營銀行,雙方金融界初步的溝通、協商及新臺幣與人民幣的清算機制建立,台銀是最適合代表台灣與對岸展開對等談判的工作。羅澤成表示對於兩岸的交往與拓展台銀會盡一己之力,未來要到對岸去拓展、開疆闢土的話,台銀也是義不容辭。
台銀、中信局合併 資源互補、相得益彰 羅澤成認為,在沒有另外聘請顧問公司的輔導之下,順利將不同文化背景的兩家行庫整併成新臺灣銀行,這不僅代表了兩方的體制完整,且具高度專業以及幕後人員健全的準備作業。在這背後展現的是執行力,這也都是經過無數次的溝通與開會。他認為困難點是在於「人」,企業文化的融合尤其重要,應該具備包容性、同理心。他提到,過去由於中信局全科目會計連線作法較原台銀進步,軋帳時間也相對短,不影響同仁下班時間。台銀在合併前雖規劃有3年期程徹底改造全科目會計連線架構,但在合併後,原中信局同仁不適應較耗時的軋帳方式,因此羅澤成也察納雅言,在資訊室人員的努力之下,提前進行原規劃案,到97年5月為止,在維持台銀龐大業務量的狀況下,已經大幅縮短了軋帳時間,拉近與原中信局下班的時間差,而資訊室也預計在年底會做出更多的改革。
此外,「黃金存摺」為原中信局特有的業務,在合併後,經過資訊室與電子金融部的合作,黃金也可定期定額買入,並開發網路下單交易。由於台銀存款客戶多又穩定,透過業務單位的專業宣導,「黃金存摺」的銷售大為熱賣,在這一年多的時間,就由原先的2萬多戶暴增為14多萬戶。羅澤成開玩笑的說「宅男出頭天,在家也可以黃金滿屋!」
將督導資安的責任提升到決策階層 在「行政院及所屬各機關資訊安全管理要點」公布後,台銀隨即就成立了「資訊安全推行」小組,由於該小組需要負責全行的資訊安全政策訂定與推動、追蹤及檢討等工作,這都需要跨部門的合作,羅澤成說既然需要橫向的溝通,因此也應該提高層級,由督導資訊室的副總經理來擔任小組召集人,舉凡重大資安政策,都需先於該小組內形成共識,再提報常董會通過後才實施,讓董事長、總經理也都能確實掌握資訊安全的執行方向。
他是位擁有自銀行基層做起背景的總經理。羅澤成曾待過銀行的信用卡部門,更是能夠深切體認到資料保護的重要性,前些年國內金融界陸續傳出客戶資料外洩事件,恰為羅澤成接任台銀總經理職務之時,當時他也多次指示資訊室不僅要考量軟硬體設備的建置,更要檢討人員管理及作業流程等。他也認為透過公正第三方驗證的ISO 27001標準,除了能夠符合國際規範,更是一個檢視銀行自身安全體質的好方法。
他認為,在這個薄利的時代,Cost Down是相當重要的,除建置全面的資訊作業外,也必須透過加強授信風險及資安管理來控制。安全沒有百分百完美,總是有能夠改善的空間與存在某些風險,因此企業應該致力於營運持續不中斷,並且在系統復原、變革,危機處理等方面有所應變措施。以便於能夠在事件發生前防範,事件發生時處理,以及事件發生後復原。銀行所賺取的利差都是相當微薄的,所以台銀也不容許在資安方面出差錯,必須持續在成本控制及資安管理方面作改善。
他也重申,國內有些民營銀行發生一些風險與虧損,但台銀不僅本身經營在可控制範圍之內,還有餘力能夠在金管會的指導下,對其他銀行伸出援手、接管處理。在經濟不景氣的風暴之下,台灣銀行與其他民營銀行相較之下,展現了不同的國家定位,基於國家、客戶的信任,台銀也更需要擁有相對的安全條件以及風險管理。
臺灣銀行資訊室主任宋孝萱,提到台灣銀行的資訊作業推行已逾30餘年,資訊室在當年便是台銀的一級單位,因此在維持資訊作業運作的架構上,包括政策、辦法、規範、手冊及表單等各階文件也一應俱全。但台銀歷史悠久,隨時間演進的制度是否流於形式,亦是令台銀的決策階層所擔心的事。因此在顧問公司的輔導下,台銀也逐步導入資訊安全管理制度,對既有資訊作業流程、文件及管理做嚴謹的審視,在日常工作中自然融入資安意識。而在通過驗證後,更能證明台銀的資訊安全管理能跟國際接軌,而帶來競爭之優勢。
收攏管理 搶佔安全制高點 宋孝萱提到,這次的導入驗證範圍主要是以整個資訊作業流程為主,由資訊安全管理科主辦,該科主要職掌為資訊安全之規劃、管理及查核事項,今年3月資料管制科正式轉成資訊安全管理科,將資訊安全管理的工作正式集中控管,他說,過去資訊安全管理的工作分散在各科,如資料庫安全由DBA、網路安全由網管來做基礎層面的維護,並且由該科管理,但如今由資安科統一集中管理,定義安全規範並且定期對各科做稽核。
而最明顯的成效改變,他舉例,例如過去系統開發科往往會被要求在一定的時限內,完成業務部門的開發系統需求,若要進一步要求其安全性,往往需要較多溝通,但在導入ISO 27001後,資訊安全管理科亦會介入中間的溝通過程,確實將資訊安全納入該作業環節,一方面兼顧業務需求同時也落實資訊安全政策,而在不斷的溝通、教育訓練以及上級主管大力支持下,各業務單位也逐漸能夠體諒需在便利性與安全性中取得平衡點。
其實,導入驗證只是彌補程序上的不足,過去台銀便對資安相當重視,但平時業務繁忙的同仁往往會疏於資訊資產的管理,恰好利用此次機會,強迫將軟、硬體的資訊資產全面清查,並定出其風險等級,以便於進行管理。同時,也可以藉著文件的檢視,將資訊安全制度落實得更徹底。此外,先針對開放式系統的程式異動,導入了「版本控管系統」,使正式環境的系統品質大幅提昇。另外對必須使用正式環境客戶資料的情形,也訂定了客戶資料遮蔽的規範,確保客戶資料在銀行內部都能受到嚴密的保護。
宋孝萱認為,使用者抗拒是導入ISO 27001過程中必會遭遇之問題,制度建置在本質上屬於管理控制,因此組織變更及各成員意見的磨合也會是面臨的挑戰。當時在導入初期,資訊室內部成立資訊安全管理推動小組,每半年便會召開一次管理審查會議,討論資訊安全策略方向及議定資訊安全重大事項,以期能有效進行評量及檢視目前制度推行之狀況;同時也設立資訊安全執行小組,負責為資訊安全作業進行各項活動事務的跨科協調。
結論 在如今一片不景氣的經濟風暴中,台銀相較於其他民營銀行來說,更顯得穩健踏實,也可以說是國家的銀行,因此資訊安全更顯得重要。自雷曼兄弟破產等現象發生之後,許多台灣民眾紛紛將存款自民間銀行提領出來,再到台銀、土銀等公股行庫去開戶,據稱當時台銀排隊等待開戶民眾號碼牌可拿到100多號,現金都流向這些少數公股銀行,但為穩定國內金融秩序,並維護存款大眾的權益,即使經營成本被墊高了,台銀也未拒絕這些存款,台銀更是在不景氣風暴中,於金管會的指示下,給予受到波及之銀行援助,更顯出可被倚靠的價值。對金融業來說,能夠給予安全及可靠的形象,自然是客戶放心託管交付財產的重要夥伴。
台灣銀行經驗分享
1. 企業能夠順利整併,不僅代表了兩方的體制完整,且具高度專業以及幕後人員健全的準備作業,在這背後展現的更是執行力,關鍵點在於「人」,企業文化的融合尤其重要,應該具備包容性、同理心。
2. 在導入過程中舉辦的教育訓練裡面,不僅是台銀的導入相關人員,甚至還包括了對委外廠商的資訊安全宣導課程,滴水不漏的針對所有參與台銀資訊作業流程的各個關鍵人員進行教育訓練。而導入的教育訓練包括ISMS的導入說明、ISO 27001資訊安全標準介紹、資訊資產搜集、風險評鑑、持續營運、內部查核等13門課程,共有200多人參加,並且針對部份人員分作5個梯次進行考試,更確保教育訓練的成效。不僅是台銀的導入相關人員,甚至還包括了對委外廠商的資訊安全宣導課程。過去,台銀之行員訓練所,本來便設有資訊安全課程,但與ISO 27001之更進一步的相關課程,在未來亦有計畫將之推廣到全行。 |