為強化客戶機密智財的保護,中華凸版建置資安管理制度橫跨資料處理與客服雙流程,歷經流程改造建立統一作業標準,資安成為企業差異化的競爭優勢。
在IC製造過程中扮演重要關鍵角色的光罩廠,主要負責將來自上游IC設計業者的檔案資料開模、製模,再交由晶圓廠進行IC製造。目前半導體產業除了台積電、Intel等部分業者擁有自己的光罩廠外,其餘IC製造廠均尋求光罩廠提供外包服務。
因此,現今企業除了保護自己本身內部的智慧財產外,更擴大到對上下游合作廠商的資料保管要求。時常接觸到客戶機密元件資料的中華凸版,清楚地明白要能成為受信賴的光罩公司就必須先致力於保護客戶的智慧財產。
隸屬全球第一大半導體光罩廠日本凸版印刷(TOPPAN PRINTING CO.,LTD.)集團的中華凸版,一直以來十分重視客戶資料安全的作業環境。從早期透過錄影監視方式,掌握資料的使用情形,甚至有客戶會親自到公司監看資料的使用過程,這足以說明智財資料的保護對上游IC設計業者而言的重要性。
至今,隨著網路的發達,中華凸版提供安全的IT服務來滿足客戶需求。不僅透過加解密工具來保護客戶資料在網路傳輸上的安全,還提供以數位憑證認證的方式讓客戶可從遠端進行電子電路圖檔確認。而資料來到中華凸版內部後,相關員工對於資料的存取權限控制是基本規範。甚至,透過實體網路隔離的方式,劃分出CAD資料一級區,人員進出均需經過門禁管制。由於這些客戶的GDS設計檔案攸關營運機密,有些客戶不僅要求資料處理完畢後的清除記錄,也會至中華凸版做定期稽核,所以包括資料備份、異地備援等措施都早已完備。在組織作業流程上,將客戶資料處理(CAD)部門分為保管組與使用組,讓彼此在流程上相互審核。
儘管早已有這些安全規範,但令中華凸版資訊工程處處長陳汾碩不安的是,客戶資料即使在資訊工程處受到嚴格保護,但一旦流到其他部門,各部門卻有自己的作業管理方式,例如:可能同樣一份規格書在資訊工程處是「密」級,但至客服部可能因需求上之不同而訂定為「社外密」,彼此之間沒有一套統一的標準,而造成管理上的重工及資源浪費。
於是,在ISO 27001認證體系逐漸完備下,去年日本母公司已率先建置ISMS,而集團內光罩生產據點包含日本朝霞廠、美國Round Rock廠、韓國仁川廠也都於2008年年初陸續取得認證。加上高階產品客戶群也提出要求,對於敏感性資料的處理作業流程需經過第三方認證,因此,中華凸版在去年5月開始計劃ISMS建置專案,希望能夠藉由建置一套完整的資安制度,來改善現有的問題。
中華凸版小檔案
負責人 增田俊朗
成立時間 1997年
主要業務 光罩解決方案
目前人力 約270人
認證範圍 目前通過認證單位之人力 約56人,包括資訊工程部11 人 、資料處理部門34人、客戶服務部11人。 |
流程改造牽動習性最困難由於這次的認證範圍以資料處理作業流程與客戶服務流程相關資訊系統作業為主,其它實體環境管制及智慧財產管理為輔。雙流程的導入,認證範圍涵蓋了約50多人,這也使得跨部門溝通協調成為一大挑戰。由於CAD資料處理與IT資訊工程部同隸屬於資訊工程處,因此這次資訊安全推動小組主要由資訊工程處主導,再加上客服部、管理部、廠務、智財、文件管制等部門成員共同組成。大家在一次次的會議中,共同討論、制定、變更作業流程與規範,再不斷地演練及修正。
導入任何一項制度或系統,使用者面臨作業流程上的調整一定會心生抗拒。這時推動小組便面臨來自其他部門同仁極大的壓力與抱怨。資安推動小組成員資訊工程部副理莊育琇除了盡力在推動會議上溝通協調,也會私下進行非正式的溝通。陳汾碩說,莊育琇還自掏腰包請同仁吃點心拉攏感情,似乎蠻有效的。另一小組成員李欣儒開玩笑地說,但後來同仁發現吃完點心就要交一堆文件,之後莊育琇要再請客,大家都不敢吃了!
由於使用者認知上的不同導致了ISMS推動時的阻礙。陳汾碩指出,要克服阻礙取得各部門主管的支持相當重要。中華凸版內部有一由跨部門廠處主管組成的管理審查委員會,因此,若資安推動小組在專案推動上遇到困難時便在會議中提出討論,以取得共識。幸運的是,資訊安全管理委員會主席曾哲斌副總在ISMS專案導入前也調任並帶領客服部門,有了高階主管的支持,專案溝通的跨部門協調均能順利達成。
從2007年7月開始專案推動,今年3月順利通過外部稽核認證。雖然過程艱辛,但陳汾碩認為,能藉此制定一套標準管理方法,建立表單並留下完整的作業記錄,對中華凸版來說效益顯著。例如,過去開發人員習慣直接拿手邊資料作測試,但現在不僅測試區有一獨立平台,要測試還得填單先經過申請才行,並且要留下測試記錄。而程式修改的需求也同樣須經過申請,以方便將來進行版次控管追蹤。
未來ISMS擴及實體生產線流程 有了這些經驗,中華凸版接下來有一連串的計畫等著進行。例如要進行更具體明確的權限控管,即便為相同職等的工程師在知識管理系統裡要定義更清楚、不同的群組權限劃分;以中長期來說,目前現階段導入ISMS的是與數位資料有關的資料處理部門,接下來則希望能在生產線上,也導入ISMS的管理方式,例如MES(製造執行管理系統)的資料追蹤制度與實體產品流向控管等。
稟持日式企業落實執行及持續改善的態度,中華凸版對資安工作的推動不僅止於認證單位,更希望將資訊安全觀念推廣至更多部門與使用者,所以在資安認知的教育推廣上,他們也藉由資安標語徵求票選、資安問題有獎徵答及資訊安全教育訓練等活動,來吸引全公司所有同仁的注意與共同參與。推動資安需要的是一股熱誠,而這樣的熱誠勢必會感染所有人。
中華凸版資安推動經驗分享
1. 先了解自己導入ISMS的目標為何?並且藉此清楚定義導入範疇。
2. 慎選輔導配合廠商,並謹慎安排導入時程與進度。
3. 需要符合企業社會責任與遵守法規。
4. 如果跨國性企業應當選擇與母公司相同的驗證公司,以取得一致的驗證標準。
5. 多打聽,吸取同業導入經驗。 |