第一銀行5次ISMS複審 摸索自我道路

第一銀行ISMS資安驗證，從獲證至今，已通過5次複審，今年更要通過3年重新驗證，其豐富經驗，值得作為參考依據。

　　相較於部分公家機關、金融業，在當時ISMS國際資安驗證尚未普及的年代，第一銀行早已洞燭先機，於2005年計劃建置ISMS驗證。第一銀行掌理資訊中心副總經理柯明川表示，資安無法做到百分百防護，當時僅是希望能強化公司內部工作流程的管理，以降低資安事件發生的可能；他也認為，銀行因保有大量個人資料，攸關客戶隱私，因此資訊安全的推動，是銀行理應盡的責任與義務；而過去一銀在行銷個人及企業網路銀行業務時，客戶多少會對安全有所顧慮，加上當時一銀自行開發了海外分行系統，希望能將該系統推廣至海外，交由位於台灣的總行集中管理，但系統集中整合的動作，不但受到當地政府質疑其安全性，也被海外分行金融主管機關認為是種委外服務。為了要獲取國際金融單位的信任等諸多因素，促使一銀下定決心，於1年內正式獲取ISMS驗證。

經驗無法模仿 親臨實作方能體會

　　自2006年取得驗證以來，一銀每半年均需接受驗證單位的複核，今年1月再度通過了第5次的審查，從驗證初期至今，為使這套ISMS更符合公司內部作業流程，一銀根據PDCA的循環運作，依照其營運情形，不停歇的增修資訊安全管理相關文件規範、改善資安查核缺失、風險評估管理等工作，而對於查核結果，資訊中心各級主管也均從正面角度看待，希藉此強化資訊安全管理相關控制措施的「有效性」；種種動作，皆是要確保一銀IT系統能正常運
作，也可看出其對於資安管理品質上的要求。

　　而有了5次複審經驗，是否可給予其他金融業單位一些實際建議？第一銀行資訊中心系統營運處安全管制部經理陳淑峰直言，有些過程沒有親身摸索體驗，是無法仿傚的。像是他們不斷對文件、制度進行修訂，就是因為參與驗證過程，了解自身企業組織的文化，才能針對病徵去對症下藥，將規範增修的更加完善。柯明川進一步指出，驗證工作就是PDCA的「C(Check)」，完成後則交由一銀去「A(Action)」，但他坦言，過去的作法都是僵化、制式的，在ISMS輔導初期，他們為了配合ISMS所包含的133條控制項目，進而去擬定符合該項目相關的表單文件；然而，當資安工作施行一段時間後，他們漸漸發現背後真正的意義，是有無明確落實這些規劃，流程是有彈性的，要將之內化，成為工作流程中的一部份，因此這幾年複審過程中，一銀不斷針對作業流程去做調整，將可達到相同目的的控制項目進行合併，又會依據其營運狀況，適時的依風險程度將高風險的項目切割更細項來控制，使流程符合組織需求，最終摸索制定出一套屬於一銀的ISMS。

　　負責銀行所有IT工作的資訊中心已透過ISMS將工作制度化，柯明川也不諱言，一銀發展至今約有8,000多位員工，最困難的還是對一般員工進行資安管制，他認為，「作資安，不先將中控管理做好，談何建置ISMS？」因此在建置ISMS的同時，透過中控系統的導入，將海內外所有PC集中管理，市面上軟硬體的IT管理工具，都大大輔助一銀對全行終端使用者的管理，像是對USB與軟體的管制，不分海內外分行，若使用者有業務需求，都需提出申請，以決定是否授權。因為早將內部控管等自動化流程做好，讓一銀日後在ISMS的驗證過程不見太多波瀾。

　　而今年，一銀更已再度啟動「ISO 27001三年重新驗證專案」，柯明川認為，由於資訊中心掌握所有IT系統的運作，其他部門多半扮演規範執行的角色，因此他認為銀行一線人員除了平時的教育訓練，及遵守發佈的資訊安全政策外，對於使用資訊設備或資料的控管，應是利用工具去集中管理，並非得要將之納入驗證範圍，故這次二度驗證的範圍，仍舊以資訊中心及台中異地備援中心所有的資訊作業，由此做為IT系統管理工作的重要基石。

做足準備工作 減少驗證過程難度

　　回憶起甫建置ISMS的過程，柯明川表示，現今科技發達、網路頻寬充足，不管是海外事業，銀行多採取集中式管理，安全議題格外重要。一銀ISMS驗證的範圍包括資訊中心及台中異地備援中心，柯明川認為，安全人人有責，以往大家都認為安全是資安人員的工作範圍，常常事不關己，但他說，「那就要扭轉大家的觀念，將資安工作納入IT人員的工作流程，靠著作業程序的制度化，讓大家於日常作業中去遵行」；同時，也要藉由可量化的指標來驗證體系執行有效程度，讓一銀於資訊安全管控上能達到稽核成效。可量化的指標來自於作業流程中所產出的重要數據，並且定期檢視這些數據。例如系統的變更管理，先把所有變更有效分類，並且將成功與失敗的比例化為關鍵績效指標（KPI, Key Performance Indicator）。具體來說，像IT系統整體的當機率，就成為柯明川的KPI值，而當機事件則可依種類分為全部當機、局部當機，及影響大部分分行等不同情形，有不同的比重。而造成當機的原因可細分為系統、網路等不同狀況，再往下擬定不同職務人員的KPI值。一銀透過數字，讓數據說話，以具體有效的資訊安全數據佐證目前的管理績效，日後同仁在工作時便會更加謹慎，將失敗率降低。

提高Awareness 將資安工作內化

　　一銀現階段所面臨最大的資安挑戰，在於現今應用系統的內容設計越來越複雜，問題並非顯而易見，即使有許多工具可協助進行差異比對、管理，但要做到零失誤不太可能，因此目前一銀除了藉由如滲透測試、原始碼檢測，或系統上線前做實際檢測等工作，定期去衡量風險輕重，逐年進行評估外，亦會分配IT人員的工作範圍與權限，以方便進行日後的勾稽作業。

　　然而資安事件的發生，回歸至源頭，最重要的還是「人」對資安的警覺，柯明川認為，即使有再高超的IT技術，提高員工的「Awareness」仍是重要關鍵。因此一銀甫推動ISMS時，除了定期安排資安教育訓練，資訊中心也設計「建立優質資訊安全管理體系」的海報，來介紹ISO27001驗證的過程。為了提高同仁的資安意識，柯明川也曾舉辦「三問副總活動」，藉獎勵方式，讓員工每日提出3個問題，再由他親自回答，以帶動資訊中心同仁的資安風氣；值得一提的是，柯明川亦為了勉勵同仁，他常對中心同仁發表文章，曾發表「感謝大家的貢獻」、「記得你的熱情」等10多篇文章，其中一篇「我們在保護誰」，文末提及「我們在保護什麼？銀行的資料嗎？機器與程式嗎？答案當然都是。但是，再進一步思考，應該不只這些。其實，我們正在保護我們的工作榮譽、工作尊嚴、與這一整個銀行及其所保護的全體員工與家庭。」柯明川親筆寫下對資安工作的想法與態度，希望增加同仁對組織政策的信心與支持，並藉此凝聚屬下對資安的共識，讓大家發自內心做資安，而非礙於政策。

　　而一銀為讓資訊安全更加落實，編制了2個常設性任務小組。「資訊安全管理小組」由柯明川帶頭統籌，與各部門主管一同進行資安政策、目標擬定及KPI的要求等工作；而「資訊安全工作小組」則是由資訊中心處長主持，各部門核心同仁參與，從事執行面的事項。一銀將工作職責釐清，把人員、管理及工具納入工作，多管齊下，來確保資訊安全管理體系能有效運作與實踐。

強化內控 無形成為推廣業務的潤滑劑

　　獲取ISMS驗證已近3年，帶來了許多有形、無形上的效益。「本來只是想做好內部控管，沒想到竟搭上好時機！」陳淑峰莞爾的笑談，由於早早就通過ISMS驗證，讓其在業務推廣上更為順利，一銀成為國內首家獲得HKMA（香港金融管理局）許可「業務系統連線總行作業」的台資銀行。她解釋，第一銀行經驗分享HKMA的「監管政策手冊」，其中針對「科技風險管理的一般原則」便要求認可機構需制定有效的科技風險管理架構，而ISO 27001標準正符合其所要求的管控措施之一；她進一步說道，要得到國外金融主管機關業務許可不易，申請核可時間長者超過1年；但一銀因擁有ISO 27001驗證之優勢，竟成為業務申請審核之催化劑，將香港分行業務系統集中管理，於短短1個月不到的時間順利申請通過，其記錄相當罕見；而這也促使了一銀日後於香港的資訊相關業務申請（如網路銀行及其投資理財業務）更加如虎添翼。在國內業務部分，業務部門在推廣業務或參與投標時，亦會主動宣揚已獲得ISO 27001國際資訊安全驗證，讓一銀在個人及企業網路銀行的業績蒸蒸日上，近年呈現倍數成長。而也因為ISMS驗證的利基，及對資訊安全與內控管理得當，一銀更於2006、2007年榮獲英國銀行家雜誌評選為「台灣年度最佳銀行」。

　　一銀在獲證後，除了更能彰顯其對業務推廣的重要性，最重要的，他們擴大了高階主管與各業管部門對IT的期許，並逐漸改變資訊部門的定位，「IT將成為業務夥伴，而非支援角色。」柯明川直言，初期要進行ISMS驗證時，長官雖同意，但其實並不十分清楚這項專案的效益為何，然而，後續業務應接不暇，讓現任總經理林英雄越來越認同建置ISMS的成效。經過幾年的推廣，資訊中心及銀行行庫的高階主管，也都大幅提升了對資安的重視。推行資安工作與ISMS驗證的花費雖高，但柯明川卻笑說，一切都很值得，其帶來的效益遠超過當初所投資，投資報酬率相當高；一銀總經理也認為這是有顯著的績效，這次「三年重新驗證專案」更是他主動提出，ISMS對一銀的重要性可見一斑。

導入ISO 20000 強化服務品質

　　未來一銀的資訊中心，不但要繼續實施資訊安全工作，更要去挑戰ISO 20000資訊服務驗證。目前計畫第一步要做的是，徹底檢視現行作業流程，唯有完全的將導入範圍內的流程進行清查、確認，才能設計出合乎各項必要工作之流程，在正式運作時達到預設管理目標，展現其效率及優點。

　　一銀希冀未來能藉由ISO 27001及ISO 20000等管理標準的導入，貫穿資訊管理流程，並配合內部控制，建構出安全、有效率的資訊服務管理體系，形成一高度治理的資訊作業環境。

第一銀行經驗分享 １高層主管不時撰寫有關資安或鼓舞屬下的文章，希藉此凝聚同仁的向心力及信任。 ２依照企業內部營運狀況，親身摸索實作，來增修表單文件與相關制度。 ３提高全體同仁對資安的警覺，設計如「三問副總活動」等有趣活動，讓其加強資安觀念。 ４挑戰ISO 20000資訊服務驗證，以強化資訊作業品質。 ５身為管理者，要先了解目標為何，方能讓同仁接受種種新制度

柯明川的管理哲學：留下進步空間 　　IT人員的世界不是1就是0，遇到系統發生問題，第一時間常以「這不是我的問題」來回應，然而這樣卻無助於問題的解決。待過IBM等IT服務業的柯明川，不僅擅於領導，管理也很有一套。像是各部門提出需求單變更，不要求按時完成的時間訂到100分，因為要留有空間讓IT人員去改善。當IT人員要承受如需即時完工等不合理的要求，就要想辦法將問題解決。每年檢視所訂定的目標達成率情形，再逐步將標準提升，同理，若設定標準偏高，以致無法達成，他就會思考分數訂定標準是否出現問題。他指出，要不斷與同仁溝通協調，取出平衡點，不需要一開始定太高，柯明川希望藉由管理來約束自己與員工，以求每年都有所進步。 　　他進一步指出，身為一位管理者，在下任何決策前，要了解目標為何，同仁才會欣然接受。