觀點

和泰通過ISO 27001 關心顧客在乎的事

2009 / 07 / 15
吳依恂
和泰通過ISO 27001 關心顧客在乎的事
詐騙事件頻傳,民眾皆提高警覺性,也更加注重個人資料的保護,客戶的個人資料保護需求,當然也是服務業極重視的一部分。

  和泰汽車為Toyota的台灣總代理,是以汽車銷售、維修為主的服務業,其核心價值在於客戶服務,對客戶無微不至的關懷便是和泰的競爭優勢,同時在該產業市佔率也相當高,其代理車款簡直可被稱為國民車。

客戶資料為核心價值

  不過,這些年來由於詐騙事件頻傳,使得民眾皆提高警覺性,也更加注重個人資料的保護。常有的狀況像是,客戶與A業務接洽購買汽車,但業務工作流動性高,可能之後是由B業務來服務,結果客戶反應卻不甚良好。「為什麼你會知道我的電話?你怎麼知道我的資料?」又或者是在購買之後,不願意配合填寫詳細的個人資料,客戶越來越敏感,使得客戶關係管理遇到困難。個人隱私越被重視,和泰的顧客關懷活動卻突然變成了可疑行為。

  和泰汽車總經理張重彥認為,對汽車銷售公司而言,客戶的資料是非常重要的資產,除了針對今年可望通過的個人資料保護法的依循以外,更要善盡企業應擔負的社會責任。這也是為什麼在近年來汽車市況不佳的情形下,和泰卻依然全力支持推動資安的主要原因,當然,這也是替將來市場的復甦做準備。和泰汽車資訊部經理戴恆祜也說,既然客戶是他們最尊貴的資產,對於客戶資料的保護自然也是責無旁貸,尤其對資訊安全的重視更能建立起可信賴之品牌形象,他說,這也是逐漸走向產業龍頭地位所應該要付出的努力,更是此次和泰主動推動ISO 27001驗證的主要原因,他說,儘管TOYOTA公司也提供了相關的規範以供參考,但由於全球各地的IT化發展程度、法令規範等因素不盡相同,因此並不採取強制措施,僅為總代理制定各項標準時程、訂立目標,他舉例,TOYOTA對於如系統的帳密、權限都有相關的條文建議,不過,由於TOYOTA本身有研發、製造等,對於安全的等級要求相對較高,戴恆祜認為並不能與之一概而論,需在成本與風險之中取得平衡。

生命共同體的經銷核心

  從和泰的體系不難了解到該公司之核心系統為何,比較特殊的是,和泰與8大經銷商之間屬於大經銷商制體系,與其他小經銷商制的同業有所區別。他說,友商可能每個行銷據點就是1家公司、1個老闆,但在和泰的大經銷商制之下,全省僅有8大經銷商總公司、8個老闆,其他都屬於該經銷商的分公司。而最令人驚訝的是,8家經銷商的會計、人事系統等,全都由和泰資訊部所共同負責,由此可看出總代理與經銷商之間緊密結合的程度。也因此,和泰資訊部的服務範圍遍及了經銷商與全集團,整個集團約有20多家公司,營業範圍涵蓋汽車的分期、保險、出租、中古車買賣及汽車配件等業務提供服務(包括如和運租車、和潤貸款、和安保險代理、和志及車美仕等),全省100多個據點,內網使用員工加起來約8,000多名。

  目前和泰資訊部約有50名人力,共分作5組,其中3組財管系統室、售後系統室、車輛系統室,主要是負責財務管理、售後維修服務及車輛銷售等3大業務領域之資訊系統開發與規劃,而網路通訊室主要則是負責基礎建設如網路、機房、資訊安全管理及監控等營運、維護,營運企劃室則主要針對跨業務性質的預算、方針、軟體版權等做企劃,並且也擔任資安委員會事務局,負責資安策略的規劃與執行,不過ISO 27001的推動則是全體資訊部動員。資安推動委員會(GISC, Group Information Security Committee)主要由各部門部長擔任委員,每半年召開一次會議,並且由設立於資訊部門的資安委員會事務局負責執行,而推動ISO 27001主要由資訊部門來向總經理提案,戴恆祜說,例如,他們也相當關注預計今年會通過的個人資料保護法,事務局就必須提出因應建議方案以作為委員會之重要討論議題。大抵上來說,除了在遵循法律的基礎之下,也試舉案例來跟主管溝通,此外像是員工們使用的軟體版權問題,以及基於保護公司重要資產(客戶資料)的原由,在獲得總經理的支持後,便於去年上半年開始進行ISO 27001的先期導入。

  而此次先期導入主要系統,為經銷商管理系統(ECHO, Electronic Commerce with High Outcomes)。戴恆祜提到,各經銷商是否全力配合ISO 27001標準的導入,八大經銷商高層的絕對支持是非常重要的,他說,資訊安全工作並不容易,剛開始他也親自到各經銷商處去舉辦說明會,不過由於資安工作往往會增加原先的業務負載,通常也不是立即可在現狀中馬上奏效的投資,使用者抗拒是難免的,經銷商公司的董事長、總經理們也無法理解為什麼要花錢導入這樣的系統,更由於在經濟不景氣之下,各種費用都受到控制,當然會受到質疑,但是,戴恆祜說,當時總經理也利用每一次高層的會議當中,闡明這是為了保護公司資產並且對公司絕對有益處、值得投資的專案,說服經銷商董座們支持與配合,總經理親力親為的支持行動,正是和泰努力投入資安工作的最佳明證,張重彥認為資安是屬於基礎建設的一部份,是對於整體營運有助益的事情,該投資的就要投資。

  循序漸進 持續擴大導入ISO 27001瞭解到和泰與該經銷商群體的緊密合作關係,就能理解為什麼和泰ISO 27001的導入範圍,是以經銷商管理系統為主,該核心系統包括車輛販賣、服務、零件等系統,現階段導入以資訊部人員為主,故經銷商參與制定規範及推動認證為20人,其他人員均為配合角色,但需定期參加資安教育訓練及依循制定的資安規範從事業務工作。

  他說,ISO 27001的導入,是作業流程面的監控,過去在業務繁忙的時候,系統開發過程裡,設計、測試、上線幾乎都1人完成,以快速完成為主,但在導入ISO 27001後,確實把系統開發作業分做3段,一切都照標準流程走。他也提到,過去在特殊狀況下,業務單位要求資訊人員協助修改系統上的資料,雖然只不過是幫同事一個忙,看似方便的動作。但是一通電話系統負責人就可自行決定執行資料修改作業,這樣的管理方式是以信任為基礎,但管理這麼龐大的企業運作核心資訊系統,僅靠信任而沒有嚴謹的管控機制就夠了嗎?戴恆祜說,如果是客戶資料呢?誰又有權利可以修改?現在,所有人員都必須按照授權流程來填寫資訊服務申請單,他認為,不僅可以清楚釐清責任,對後續業務處理的人員也有所保護,此外,更是一個展現資訊部門績效的方法。

  其實,約在2年前,病毒的肆虐也曾讓和泰汽車的系統運作出過問題,他說,他當時的觀念是以為只要安裝了防毒軟體就沒事了,而事實證明當然不是如此。所以和泰更進一步,導入網路存取控制(NAC, Network Access Control),確保防毒軟體或是作業系統等版本、patch都為最新,不過NAC的導入並非容易的事情,目前和泰也正在努力克服系統相容性的問題,若干硬體配備要是不夠強勁,可能光是裝上一個Agent就會讓電腦跑不動,因此現在也正在與廠商溝通配合,試圖減輕Agent對client端設備的負擔。此外,在資訊部門50人需服務近萬名內網員工的狀況下,和泰也進行了SOC委外,透過廠商的幫助,全天候整年度無休的安全監控,不過他說,廠商可以告訴你哪台主機有問題,但最熟悉企業設備的還是企業內部人員,資訊部門仍然應該抱持著責無旁貸的心態,要時時注意、警惕,而不是委外就通通丟給廠商去做。

  以上這些都是過去和泰陸陸續續建置、推動的部份資安工作,只是那都是較為片段的,一旦發生問題就解決,較沒有全面性而完整的資安掌控,而導入ISO 27001更幫助了他們執行到細節的部份,透過顧問公司的完整的導入,確實做好各項資產的風險評鑑使得戴恆祜踏實不少,他說,過去如果有資安事件發生時,就算及時解決,依然會有無法完全掌控狀況的時候,不知道明天哪個地方會出現問題?他坦言,在導入過程中也著實學習到不少,在經過資產整理、風險評鑑之後,確實降低不少風險問題。

  不過,並不是所有的據點都適合納入導入範圍,他說,2008年為第一階段,先是與其中一家經銷商蘭揚豐田汽車(註)進行先期導入,不過也並不是所有蘭揚豐田的所有據點都導入,必須是IT硬體、人員素質較佳的據點,而2009年的目標,則是希望將全部經銷商均導入ISO27001。

和泰汽車經驗分享

1使用者抗拒時,如總經理這樣的高層也帶頭推動,表明這是為了保護公司資產並且對公司絕對有益處,值得投資。

2按照流程填寫資訊服務申請單,不僅可以清楚釐清責任,對後續業務處理的人員也有所保護,此外,更是一個展現資訊部門績效的方法。

3廠商可以告訴你哪裡有問題,但最熟悉企業設備的還是企業內部人員,資訊部門仍然應該抱持著責無旁貸的心態,要時時注意、警惕。


註:和泰汽車及蘭揚豐田汽車已於2008/12/23取得國際資安標準ISO 27001認證,並於2009/2/5正式獲得BSI所頒發的證書。