華寶通訊讓競爭者成為追隨者

10月1日，正式接手華寶通訊總經理的陳招成，是華寶這次推動ISO 27001驗證的最高精神領袖。

　　「他們都說得很輕鬆，但其實非生產單位的部門來提企劃案都是非常不容易的，有時候他們跟秘書約了好幾次，約了又約，起初覺得他們很煩啦！但是最後能打動我的，是他們的熱忱。」華寶通訊總經理陳招成帶著頗為嘉許的笑容說著，這只是華寶資訊處努力推動資安工作以獲得高階主管認同的一個小片段。

上下一致　齊力合心的商業思考模式

　　陳招成認為，提升資安實力便是提高公司的競爭力。他舉例，就像在Apple的iPhone正式面市之前，沒有人知道這手機的設計細節，這保密到家的功夫都有賴各合作廠商的配合。他認為，如果能夠及早介入手機設計階段，便可縮短後續的製程時間，畢竟設計師不是專業「製造」手機的人，及早合作都有助於中下游廠商的作業流程，縮短出貨時間。對華寶這樣的ODM廠來說，在開模前、甚至是工業設計階段的參與，都可能左右著物料、元件的選擇，影響著成本的高低以及產品價值。因此提昇到這樣的程度是華寶正在努力的目標，對他們來說，資訊安全並不僅僅具備防護公司機敏資料的功能，也是取得客戶信任，提高公司競爭力的體現。「一般總是等到產品都差不多快好了，才會交給你，要是可以提早參與規劃，就可以縮短『try and error』的時間」。他認為必須提高自我要求，才能穩固彼此的合作信賴關係，屆時競爭對手就算想要插手也不是件容易的事。「要做就第一個做，讓競爭者
成為追隨者。」他覺得若是等到所有競爭者都去做了，於是不得已才跟隨著潮流去做，這等意義與主動去達成是不相同的。

　　Motorola是華寶的重要客戶之一，早先便對華寶有相關的資訊安全要求，例如說負責Motorola的研發單位必須要有封閉性的環境以及門禁、文件管制等，而某些工作的運作更是不能離開公司，又或者曾經接手該客戶案子的人員需要經過一段時間後才能再去經手其他客戶的案子等，與Motorola、Nokia等國外大廠的接軌，是資安意識抬頭其中一環。

　　然而，資安意識在華寶的萌芽不僅是從客戶端的需求感受到，陳招成也注意到，在現行的公司作業流程下，各式各樣的個人行為都可能存在著風險，影印什麼樣的文件可以被帶走？到底什麼才是公司的機敏資料？又存在於公司何處？會因為員工離職就被帶走嗎？他認為公司的資訊都是多年來的累積，要成就這些資產並不容易，當然更應該「開源節流」，把公司的know how留住。

　　在導入管理系統，其實華寶是有相當經驗的。陳招成說，其實華寶的RD部門有導入能力成熟度整合模型（CMMI，Capability Maturity Model Integration）的經驗，目前也已經即將邁入Level 3的階段，但是CMMI有許多客戶會去稽核、去看程式，對華寶來說，導入之實質意義大過於檢驗證書的取得。相同地，資安環境亦有會有客戶稽核，因此需要透過ISO 27001外部稽核來確保工作是否落實，並且由於這些經驗使然，他們知道在導入任何新的專案時，多少都會影響到一些正常作業，所以也需要分階段實施，所以此次僅先從資訊部門開始導入ISO 27001，藉由此經驗，獲得更充分的資訊與學習。

下意上達的情境式導引

　　所有成功推動專案的人知道，贏得高階主管支持是首要的任務，而與高階主管之間若沒有相同的概念與語言，便無法「上達天聽」，顯然華寶資訊處已經了解到從公司經營層面來思考的重要性。華寶通訊資訊處資深經理王妙彥提到，資訊處會製作許多簡單、生活化的例子，讓上級可以在短時間之內了解到資訊安全的重要性。但這不僅僅是資訊部門的人努力，當時身為執行副總的陳招成亦是努力不懈怠，王妙彥回憶，「他要我們考他是否真的了解，他對自己也是要求嚴格。」華寶通訊資訊處副處長簡朝祥也說，「後來我們已經可以做到，雖然時間到了，但是總經理還是繼續留下來跟我們討論，表示他也能深入參與其中。」

　　陳招成不僅僅是一個用功的老闆，他還會提出更多不同的意見來激發下屬的思考，而這也證明了對工作懷有熱忱的人，果然能夠吸引具有影響力的人。「我們有小明與小華的小故事，還寫了劇本，做了動畫呢！」資訊處的團隊相當有默契的述說著。「總比你對老闆說，『現在我們要導入防制資料外洩解決方案，有這些和那些廠商可以選擇』來得好吧？」這是藉由情境式導引方式，來讓高階主管立即明白到在作業流程上可能有的資安威脅。「雖然排給他們半小時，但有時候我太忙又遲到早退，最後他們只有10分鐘可以跟我討論，但他們還是非常用心的present給我看。」儘管如此忙碌，陳招成其實還是相當體恤下屬的用心。資訊安全工作都有賴長時間的推動，由此可見，華寶的資訊團隊在背後累積了多少個「10分鐘」。

　　如今有些公司採利潤中心制，各部門在資訊系統的導入上，如ERP、PDM等，預算皆會由各部門自行編列、負責，但通常資安卻會由資訊部門統一規劃負責。但不同於這些公司的是，華寶雖然也採使用者付費的概念，但各部門若意識到該單位機敏資訊之重要處，即可編列資安預算，資訊部門會以顧問角色提供建置經驗建議使用單位導入，其他系統亦然。這種將資安工作自編自推的作法，也讓各部門得以自行推算其ROI，而不是讓資訊部門負責，卻因為使用者不參與而沒有達到實際成效。這也呼應到資訊部門推廣資訊安全的概念，若公司該單位能確實體認到資訊安全，主動編列預算導入，自行推動起來自然會比資訊部門憑一部門之力大聲疾呼來得有效。

　　落實資安工作與生活的連接點華寶資安委員會的組成，是以總經理為主席，包括採購、研發、製造等各單位部門皆是委員會成員之一，半年便會召開一次，也會進行條文的修正。陳招成不諱言的說，剛開始資安的推動政策雖然是從最高主管的要求而來，但經過1個多月的柔性宣導及教育訓練之後，全體員工也在配合執行當中逐漸發現好處，進而成為全公司共同的使命。

　　而該公司的資訊部門將近40多人，設有專職資安課2人，負責主要資安工作的統籌，資安官直接向總經理室報告，亦向資訊部門各種子成員推動。簡朝祥提到，當初便特地尋找有資安專長的人才來擔任資安官，遇到外部稽核的時候，也時常有客戶特地寫信來讚美資安官的盡責，由此可見客戶對華寶的滿意度，此外，華寶通訊資訊處課長靳傑中除了擔任華寶的資安官以外，綜合過去工作也約有7年多專職資安的經驗。

　　靳傑中說，華寶幾乎每個月都舉辦了資安教育的活動，還製作了「資安報報」電子報，也透過調查，將大家最關心的安全議題前10名，以及各種資安的疑難雜症解惑列入，可說是資訊部門協助全體同仁的一份心意與教育訓練。王妙彥說，除了會在公司內部舉辦資安有獎徵答，也解決各人在生活中會遇到的資安問題，例如說家裡頭的電腦硬碟壞掉了怎麼辦？中毒了怎麼辦？這些都是讓同仁們相當頭痛又常常會碰到的問題，尤其有時候身為家長的人，總是要擔任起家裡的IT，替兒子、女兒處理家中的電腦問題，她認為，教育訓練要與個人生活息息相關才能讓人真心想要參與，不管主要推動的人多麼費心盡力，還是要每位參與者真心感受到資訊安全確實能對工作、生活都有所改善，才會積極的參與落實。將安全的概念由工作延伸到生活，不僅可以養成資安意識，也能夠建構起安全防護網，避免員工將威脅從家中帶至工作環境，這遠遠比起在公司，一一防堵各端點所收之成效更為大。另外，在華寶員工的名片上還印製了通過驗證標準之字樣，如BSI及UKAS，除了提升往來客戶對華寶的信任度，也會在教育訓練時提及這類驗證標準之意涵，讓公司全體都明白驗證標章通過之價值，更加強對資安的認識。

　　安全與便利往往難兩全，在導入過程當中，總是難免會引起使用者的抗拒，研發單位人力佔有華寶不少比重且為企業關鍵核心團隊，因此陳招成也提到，若要說服RD部門的人導入專案，便需站在商業營運角度及客戶需求的立場，與RD管理階層協調，同為RD出身的陳招成，相當能夠體諒RD因此受到的作業不便之處，因此更能感同身受的與之溝通。他說，華寶的團隊其實是相當穩定的，因此同仁們並不會強烈的反彈，但會私底下詢問這樣的作法是否有什麼好處？他當然知道寫文件或是資安的控管都會造成不方便，但為了公司整體的利益以及商業營運觀點來看，這是他們所必須付出的代價，在經過他的了解與消化後，在傳遞與溝通上都顯得相當迅速確實。

　　對未來的期許，陳招成說，目前第１階段由資訊部門先來衝鋒陷陣，通過ISO 27001的驗證，但預計下一階段在明年底，RD部門也會跟進實施，終極目標是希望到了後年可以推行到全公司。此外，在教育訓練方面雖然現在採不定期的上課，且多有顧問公司人員的輔導，華寶也期許在明年，這些資安種子成員們便能自己上場講課，屆時更能發揮教學相長的效果。