https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

第一銀行5次ISMS複審 摸索自我道路

2009 / 07 / 22
何依玟
第一銀行5次ISMS複審 摸索自我道路
第一銀行ISMS資安驗證,從獲證至今,已通過5次複審,今年更要通過3年重新驗證,其豐富經驗,值得作為參考依據。

  相較於部分公家機關、金融業,在當時ISMS國際資安驗證尚未普及的年代,第一銀行早已洞燭先機,於2005年計劃建置ISMS驗證。第一銀行掌理資訊中心副總經理柯明川表示,資安無法做到百分百防護,當時僅是希望能強化公司內部工作流程的管理,以降低資安事件發生的可能;他也認為,銀行因保有大量個人資料,攸關客戶隱私,因此資訊安全的推動,是銀行理應盡的責任與義務;而過去一銀在行銷個人及企業網路銀行業務時,客戶多少會對安全有所顧慮,加上當時一銀自行開發了海外分行系統,希望能將該系統推廣至海外,交由位於台灣的總行集中管理,但系統集中整合的動作,不但受到當地政府質疑其安全性,也被海外分行金融主管機關認為是種委外服務。為了要獲取國際金融單位的信任等諸多因素,促使一銀下定決心,於1年內正式獲取ISMS驗證。

經驗無法模仿 親臨實作方能體會

  自2006年取得驗證以來,一銀每半年均需接受驗證單位的複核,今年1月再度通過了第5次的審查,從驗證初期至今,為使這套ISMS更符合公司內部作業流程,一銀根據PDCA的循環運作,依照其營運情形,不停歇的增修資訊安全管理相關文件規範、改善資安查核缺失、風險評估管理等工作,而對於查核結果,資訊中心各級主管也均從正面角度看待,希藉此強化資訊安全管理相關控制措施的「有效性」;種種動作,皆是要確保一銀IT系統能正常運
作,也可看出其對於資安管理品質上的要求。

  而有了5次複審經驗,是否可給予其他金融業單位一些實際建議?第一銀行資訊中心系統營運處安全管制部經理陳淑峰直言,有些過程沒有親身摸索體驗,是無法仿傚的。像是他們不斷對文件、制度進行修訂,就是因為參與驗證過程,了解自身企業組織的文化,才能針對病徵去對症下藥,將規範增修的更加完善。柯明川進一步指出,驗證工作就是PDCA的「C(Check)」,完成後則交由一銀去「A(Action)」,但他坦言,過去的作法都是僵化、制式的,在ISMS輔導初期,他們為了配合ISMS所包含的133條控制項目,進而去擬定符合該項目相關的表單文件;然而,當資安工作施行一段時間後,他們漸漸發現背後真正的意義,是有無明確落實這些規劃,流程是有彈性的,要將之內化,成為工作流程中的一部份,因此這幾年複審過程中,一銀不斷針對作業流程去做調整,將可達到相同目的的控制項目進行合併,又會依據其營運狀況,適時的依風險程度將高風險的項目切割更細項來控制,使流程符合組織需求,最終摸索制定出一套屬於一銀的ISMS。

  負責銀行所有IT工作的資訊中心已透過ISMS將工作制度化,柯明川也不諱言,一銀發展至今約有8,000多位員工,最困難的還是對一般員工進行資安管制,他認為,「作資安,不先將中控管理做好,談何建置ISMS?」因此在建置ISMS的同時,透過中控系統的導入,將海內外所有PC集中管理,市面上軟硬體的IT管理工具,都大大輔助一銀對全行終端使用者的管理,像是對USB與軟體的管制,不分海內外分行,若使用者有業務需求,都需提出申請,以決定是否授權。因為早將內部控管等自動化流程做好,讓一銀日後在ISMS的驗證過程不見太多波瀾。

  而今年,一銀更已再度啟動「ISO 27001三年重新驗證專案」,柯明川認為,由於資訊中心掌握所有IT系統的運作,其他部門多半扮演規範執行的角色,因此他認為銀行一線人員除了平時的教育訓練,及遵守發佈的資訊安全政策外,對於使用資訊設備或資料的控管,應是利用工具去集中管理,並非得要將之納入驗證範圍,故這次二度驗證的範圍,仍舊以資訊中心及台中異地備援中心所有的資訊作業,由此做為IT系統管理工作的重要基石。

做足準備工作 減少驗證過程難度

  回憶起甫建置ISMS的過程,柯明川表示,現今科技發達、網路頻寬充足,不管是海外事業,銀行多採取集中式管理,安全議題格外重要。一銀ISMS驗證的範圍包括資訊中心及台中異地備援中心,柯明川認為,安全人人有責,以往大家都認為安全是資安人員的工作範圍,常常事不關己,但他說,「那就要扭轉大家的觀念,將資安工作納入IT人員的工作流程,靠著作業程序的制度化,讓大家於日常作業中去遵行」;同時,也要藉由可量化的指標來驗證體系執行有效程度,讓一銀於資訊安全管控上能達到稽核成效。可量化的指標來自於作業流程中所產出的重要數據,並且定期檢視這些數據。例如系統的變更管理,先把所有變更有效分類,並且將成功與失敗的比例化為關鍵績效指標(KPI, Key Performance Indicator)。具體來說,像IT系統整體的當機率,就成為柯明川的KPI值,而當機事件則可依種類分為全部當機、局部當機,及影響大部分分行等不同情形,有不同的比重。而造成當機的原因可細分為系統、網路等不同狀況,再往下擬定不同職務人員的KPI值。一銀透過數字,讓數據說話,以具體有效的資訊安全數據佐證目前的管理績效,日後同仁在工作時便會更加謹慎,將失敗率降低。

提高Awareness 將資安工作內化

  一銀現階段所面臨最大的資安挑戰,在於現今應用系統的內容設計越來越複雜,問題並非顯而易見,即使有許多工具可協助進行差異比對、管理,但要做到零失誤不太可能,因此目前一銀除了藉由如滲透測試、原始碼檢測,或系統上線前做實際檢測等工作,定期去衡量風險輕重,逐年進行評估外,亦會分配IT人員的工作範圍與權限,以方便進行日後的勾稽作業。

  然而資安事件的發生,回歸至源頭,最重要的還是「人」對資安的警覺,柯明川認為,即使有再高超的IT技術,提高員工的「Awareness」仍是重要關鍵。因此一銀甫推動ISMS時,除了定期安排資安教育訓練,資訊中心也設計「建立優質資訊安全管理體系」的海報,來介紹ISO27001驗證的過程。為了提高同仁的資安意識,柯明川也曾舉辦「三問副總活動」,藉獎勵方式,讓員工每日提出3個問題,再由他親自回答,以帶動資訊中心同仁的資安風氣;值得一提的是,柯明川亦為了勉勵同仁,他常對中心同仁發表文章,曾發表「感謝大家的貢獻」、「記得你的熱情」等10多篇文章,其中一篇「我們在保護誰」,文末提及「我們在保護什麼?銀行的資料嗎?機器與程式嗎?答案當然都是。但是,再進一步思考,應該不只這些。其實,我們正在保護我們的工作榮譽、工作尊嚴、與這一整個銀行及其所保護的全體員工與家庭。」柯明川親筆寫下對資安工作的想法與態度,希望增加同仁對組織政策的信心與支持,並藉此凝聚屬下對資安的共識,讓大家發自內心做資安,而非礙於政策。

  而一銀為讓資訊安全更加落實,編制了2個常設性任務小組。「資訊安全管理小組」由柯明川帶頭統籌,與各部門主管一同進行資安政策、目標擬定及KPI的要求等工作;而「資訊安全工作小組」則是由資訊中心處長主持,各部門核心同仁參與,從事執行面的事項。一銀將工作職責釐清,把人員、管理及工具納入工作,多管齊下,來確保資訊安全管理體系能有效運作與實踐。

強化內控 無形成為推廣業務的潤滑劑

  獲取ISMS驗證已近3年,帶來了許多有形、無形上的效益。「本來只是想做好內部控管,沒想到竟搭上好時機!」陳淑峰莞爾的笑談,由於早早就通過ISMS驗證,讓其在業務推廣上更為順利,一銀成為國內首家獲得HKMA(香港金融管理局)許可「業務系統連線總行作業」的台資銀行。她解釋,第一銀行經驗分享HKMA的「監管政策手冊」,其中針對「科技風險管理的一般原則」便要求認可機構需制定有效的科技風險管理架構,而ISO 27001標準正符合其所要求的管控措施之一;她進一步說道,要得到國外金融主管機關業務許可不易,申請核可時間長者超過1年;但一銀因擁有ISO 27001驗證之優勢,竟成為業務申請審核之催化劑,將香港分行業務系統集中管理,於短短1個月不到的時間順利申請通過,其記錄相當罕見;而這也促使了一銀日後於香港的資訊相關業務申請(如網路銀行及其投資理財業務)更加如虎添翼。在國內業務部分,業務部門在推廣業務或參與投標時,亦會主動宣揚已獲得ISO 27001國際資訊安全驗證,讓一銀在個人及企業網路銀行的業績蒸蒸日上,近年呈現倍數成長。而也因為ISMS驗證的利基,及對資訊安全與內控管理得當,一銀更於2006、2007年榮獲英國銀行家雜誌評選為「台灣年度最佳銀行」。

  一銀在獲證後,除了更能彰顯其對業務推廣的重要性,最重要的,他們擴大了高階主管與各業管部門對IT的期許,並逐漸改變資訊部門的定位,「IT將成為業務夥伴,而非支援角色。」柯明川直言,初期要進行ISMS驗證時,長官雖同意,但其實並不十分清楚這項專案的效益為何,然而,後續業務應接不暇,讓現任總經理林英雄越來越認同建置ISMS的成效。經過幾年的推廣,資訊中心及銀行行庫的高階主管,也都大幅提升了對資安的重視。推行資安工作與ISMS驗證的花費雖高,但柯明川卻笑說,一切都很值得,其帶來的效益遠超過當初所投資,投資報酬率相當高;一銀總經理也認為這是有顯著的績效,這次「三年重新驗證專案」更是他主動提出,ISMS對一銀的重要性可見一斑。

導入ISO 20000 強化服務品質

  未來一銀的資訊中心,不但要繼續實施資訊安全工作,更要去挑戰ISO 20000資訊服務驗證。目前計畫第一步要做的是,徹底檢視現行作業流程,唯有完全的將導入範圍內的流程進行清查、確認,才能設計出合乎各項必要工作之流程,在正式運作時達到預設管理目標,展現其效率及優點。

  一銀希冀未來能藉由ISO 27001及ISO 20000等管理標準的導入,貫穿資訊管理流程,並配合內部控制,建構出安全、有效率的資訊服務管理體系,形成一高度治理的資訊作業環境。

第一銀行經驗分享

1高層主管不時撰寫有關資安或鼓舞屬下的文章,希藉此凝聚同仁的向心力及信任。

2依照企業內部營運狀況,親身摸索實作,來增修表單文件與相關制度。

3提高全體同仁對資安的警覺,設計如「三問副總活動」等有趣活動,讓其加強資安觀念。

4挑戰ISO 20000資訊服務驗證,以強化資訊作業品質。

5身為管理者,要先了解目標為何,方能讓同仁接受種種新制度

柯明川的管理哲學:留下進步空間

  IT人員的世界不是1就是0,遇到系統發生問題,第一時間常以「這不是我的問題」來回應,然而這樣卻無助於問題的解決。待過IBM等IT服務業的柯明川,不僅擅於領導,管理也很有一套。像是各部門提出需求單變更,不要求按時完成的時間訂到100分,因為要留有空間讓IT人員去改善。當IT人員要承受如需即時完工等不合理的要求,就要想辦法將問題解決。每年檢視所訂定的目標達成率情形,再逐步將標準提升,同理,若設定標準偏高,以致無法達成,他就會思考分數訂定標準是否出現問題。他指出,要不斷與同仁溝通協調,取出平衡點,不需要一開始定太高,柯明川希望藉由管理來約束自己與員工,以求每年都有所進步。

  他進一步指出,身為一位管理者,在下任何決策前,要了解目標為何,同仁才會欣然接受。