ASE GROUP日月光集團　安全融入企業流程才能逐步落實

融入企業流程，資安才會成功
誠如前言所述，基於日月光本身組織體系龐大等因素，導致推動資安管理的難度原本就很高，加以ISMS的流程至為複雜，包括「資訊安全管理體系」、「資訊資產分類與管理體系」、「風險評估」、「ISMS系統安控機制」、「資訊安全國際認證」、「資訊安全作業持續運作」等六大部分，因此吳家名強調，想要導入ISMS自然需整合各部門的流程規範來擬定可行做法，更需輔以公司相關組織體系來貫徹執行，當然高階主管支持與否也是左右ISMS成敗的重要關鍵因素。
因此嚴格說來，日月光在導入ISMS過程中最大挑戰即在於如何將各部門的舊有管理流程相結合，以便讓各部門能夠對於企業的資安規範與認知趨於一致性，才不致因認知問題而造成執行上的衝突與溝通不良，吳家名就舉了制訂資訊安全政策／標準文件做法來談論，他特別強調：「制訂文件本身並不是最困難的，反倒如何讓各廠區能夠一致性遵循相關條文規範才是關鍵因素。」這就必須透過不間斷的部門溝通與協商來整合舊有規範流程，才能達成符合各部門實際需求。而為了達到此一共識目標，日月光內部曾數度開會研商就是希望將相關的資安政策與作業規範、SOP流程等進行重新劃分，最後再訂出適合所有部門的資安政策與標準。
值得分享的是，有別於一般企業在推動資安僅會制訂『資訊安全政策』，日月光更額外制訂『資訊安全標準』，其內容牽涉了諸如委外管理、資訊財產分類與控制、人員安全、實體與環境安全、通訊與操作管理、存取控制、系統開發與維護、業務之持續營運、政策及法規遵循和附錄等10個章節，因此在ISMS制訂遵循規則方面可說更為審慎，尤其制訂過程曾面臨許多問題，例如是否符合公司各部門需求？誰可以為此標準做背書？風險範圍又該如何界定？等，因此制定此一標準前早已針對公司進行大規模的風險評估，先將內部重大問題進行改善，之後再對其他部分進行標準擬定，當然之中仍有許多問題無法立即克服，例如存取控制等；對此，吳家名明確表示，各部門可以提列「適用」或「不適用」條款，但無論提列情況為何，稽核室仍會將其擬定於標準之中，且要求各部門必須階段性進行調整，不會因為無法立即克服而不去重視。
吳家名重申，很慶幸的是，日月光最終能將高雄廠區的資訊安全政策／標準建構完成，雖然由於其他廠區特性不同之緣故，目前這兩份政策與標準僅適用於日月光高雄廠區使用，稽核室仍會針對其他廠區從旁提供適當的建議與修正，至於未來稽核室更將積極建置相關平台來整合各部門資訊，讓各類政策與標準可以更具彈性。

熟悉管控流程讓資安執行更順遂
「打從日月光集團一開始建置資安，至近期逐步進行ISMS機制導入，這一路上都有參與，只是負責的角色不同而已。」吳家名強調，就實際面來說，在「資訊資產分類與管理體系」層面，就是針對包括實體面、網路面等進行流程控管與檢討，除了現階段「資訊資產分類與管理體系」已完成50%～60%，未來將持續進行軟、硬體之文件整合工作；「風險評估」也是重要項目，日月光前後已針對公司內部的風險評估進行3次全面性檢驗；至於各類資安政策／標準和資訊資產分類與管理等都由吳家名與顧問研擬完成，因此自身也對於顧問建議、資安操作模式、流程等都非常嫻熟，以至後來日月光的相關資安工作幾乎都只要藉由部門之間的配合就可以共同達成。
額外一提的，日月光整體資安工作是從IT單位來進行推展，這可以從公司內部制定之政策與標準多半與資訊有關，例如電腦存取、Notebook使用和委外系統等規範，但由於組織變動之故，往往各單位都必須負責相關資安工作，或與其他單位一同合作。吳家名指出，以「企業持續營運計畫（BCP, Business Continuity Plan）」為例，由於演練牽涉工安、機電等業務，至去年開始由廠務部門主導，也在考量安全因素的狀況下，日月光高雄廠區曾在去年進行大規模危機演練，摹擬一旦在發生如中壢火燒事件，該如何讓重要資料、實體設備快速回復等讓公司能夠持續生產、運作。目前日月光高雄廠區已有常設的危機應變中心組織，專責單位也是由廠務單位持續進行主導，在演練之前，各部門也都會收到email資訊得知演練細節和自身應該負責的工作，藉由不同演練結果來蒐集各廠區之安全特性，一旦發生特殊危機狀況時則會立即交由緊急應變小組進行處理。由此也不難發覺，由於日月光本身稽核人員就熟悉完整的資安管理流程與各部門對於IT環境的危機應變，這都會讓日月光高雄各廠區更能達到企業持續營運的實際安全目標。

「積極溝通」與「明確規範」是資安推展重心
不可諱言的是，由於日月光各部門原本就有其複雜管理流程和職權範圍，包括產品總經理、地區總經理、部門總經理等主管各有職責範圍，導入過程如何有效整合流程與界定權責範圍就至為重要，吳家名就表示，為了解決類似問題就必須運用相關技巧來執行，例如，稽核室曾與行政部門主管充分溝通，並可借用先前行政部門、行政流程和行政體系等已擬定的相關做法來推動，不必硬著頭皮重新來過；又如，為了能夠達成實質溝通與協調的功效，除了成立「資訊安全委員會」，且由總經理擔任主委親自負責督導內部資安，也基於高階主管事務繁忙，很難硬要所有高層主管都參與特別召開的資安會議，就將資安議題列入每月定期召開的主管會議中。但無論如何，藉由事前不斷溝通來建立各部門的共通模式才能順利推展資安工作。
此外，為了加深員工對於資訊安全政策／標準的重視程度，衍生相關系統平台管控就至為重要，除了會針對特定資安事件進行懲處，間接讓員工心生警惕，日月光內部更對系統平台進行實際管控，舉例來說，在e-mail系統管理方面，只要一開啟郵件系統就會跳出遵守使用規定之“YES” or “NO”畫面，user選擇『YES』表示遵守相關規則，才得以進入系統，選擇『NO』，則系統關閉無法使用。
至於在執行Mail、Web access control等系統時都會記錄其log，進而列出前10名只上網而不工作，或是上色情網站等名單進行公告、懲處，透過此一方式自然會讓內部員工心生警惕，也慢慢會讓員工逐漸明瞭必須遵守此類規範重要性，目前系統管控較有成效層面包括Patch management、Anti-Virus和Mail Log、Mail Filter的郵件管控，另有垃圾郵件和色情郵件等都有管理、通報流程和懲處等管理辦法和教育訓練，對於不足部分也正積極研擬管理規範；最後，有關新進員工之資安教育訓練也是公司內部非常重視的，且需簽訂認可文件來確保日後遵守相關遊戲規則。
吳家名更特別指出，要在企業內部推動資安觀念非常不易，尤其日月光導入範圍牽涉極廣，包括16個部門，且每個部門都會被要求進行資訊資產分類、風險評估與選擇控管等訓練，為了達到實際宣導和執行功效，相關資安訓練活動安排就至為重要；對此，在「資訊資產分類與管理體系」分3階段計畫，且每階段針對各部門共有40多場教育訓練過程，考慮到大班制人員眾多很難有高品質成效，所以採取小班制。雖然這樣的做法會讓自身更加疲憊，吳家名明確表示：「只能夠達到具體資安成效也就非常值得了。」過程中為了激勵各部門人員積極參與訓練活動，除了會藉由實際演練方式讓員工明瞭不當使用系統將導致資安危機；更會運用些獎勵，如頒發顧問所授予的證書，擴大參與度。
整體說來，日月光已完成資訊安全政策／標準制訂，但仍有許多進步空間，更何況日月光本身組織龐大自然必須面對許多沈重包袱，這都需透過與廠務、法務、行政、IT等部門進行協商與整合，吳家名強調，只要各部門主管階層認同此類管理辦法，除了會請其簽署文件以示認同，未來更將針對各部門強化資安評比措施，也會讓該部門主管進行相關懲處事宜，雖然類似流程多半會令員工感受壓力和衝擊，但最終結果也會讓日月光的資訊安全工作更為具體。

稽核本意在輔導，不在懲處
日月光已針對ISMS導入制訂完成許多政策、技術等遵循規範，吳家名再三表示，稽核室擁有約13～14成員可說是台灣屬一屬二，但導入ISMS最大問題在於，實際有多少人遵守？當中更牽扯了部門個案處理、組織異動等問題，如何讓員工遵守資安規範與資安觀念是否傳遞至各單位等就成為不得不重視的課題，才不致令資安政策與標準僅成為形式而已。目前稽核室做法上除了會透過定期與不定期的持續稽核方式，且將所有稽核報告直接交予相關主管進行改善，但其實稽核室本意是以輔導角度來看，決非僅一味著眼於懲處而已。
對此，吳家名強調，雖然ISMS導入僅限於日月光高雄廠區，對於日月光集團其他分公司而言，包括美國、韓國、馬來西亞等分公司，稽核室在資安管理層面仍會持續進行要求，然而，基於國家與企業文化的不同往往衍生執行層面的問題，以馬來西亞分公司為例，由於當地少有地震發生，對於災難復原的概念就較薄弱等，但無論文化差異為何？為有效落實日月光集團本身的資安工作，稽核室仍會持續輔導各分公司進行資安整合工作，更會依日月光高雄總公司的稽核和訓練做法來要求其共同遵守，因此目前日月光高雄總公司與其他分公司在資安執行程度其實落差不大；但就整體而言，在導入ISMS過程中仍需要一集團跨部門的單位來負責統籌，才能更有效執行所有資安工作。

後記
雖然目前日月光高雄廠已達到ISMS系統安控機制階段，但吳家名再三重申，日月光高雄廠區仍會針對資安工作以PDCA運作模式，因應組織不斷改變，而持續調整改善管理機制。
當然最重要的還是將各類執行辦法與規章訂定清楚，至於未來也會以日月光高雄廠資訊中心做為取得BS 7799國際驗證的首要目標，這對日月光集團的資安形象來說會有更正面提升，對內而言，更可據以擴大影響層面，到其他廠區、甚至各海外單位，因為日月光對於當前與未來的資安重視程度決對不會僅是口號而已。