https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

台電有夠 Power一口氣拿「4+1」張 BS7799 證書  證照制導入公營企業 強化企業執行力

2005 / 11 / 04
王婷儀
台電有夠 Power一口氣拿「4+1」張 BS7799 證書  證照制導入公營企業 強化企業執行力

你能夠想像公務員在假日犧牲個人時間,自動到公司報到的情景嗎?一般公務人員依循人事行政規定上下班,鮮少有假日加班的需求,但時間來到星期天下午,台灣電力公司資訊處的員工,正如火如荼地針對新制度分組開討論大會,為了什麼讓他們動起來? 在政府的政策推動下,台電去年初開始引入BS7799的證照制度,以提高公家機構整體資訊作業安全性。起初只要求4個A+級的單位(電力調度處、核一、核二、核三發電廠)必須率先執行,台電資訊處處長林美柯表示,「早做、晚做,為什麼不做!台電不包括外包人員就有2萬6千多名員工,加上全台灣用電戶資料,大大小小的文件檔案,這麼重要的企業資產,為什麼還要等。」在她的主動積極爭取下,資訊處連同其他四個單位同步進行BS7799的輔導。
對的事情 要做得更精準
台電有76個單位早就通過ISO9001國際品質管理系統驗證,作業都有一定標準程序依循,所以對工作的品質具有一定的信心。資訊處理上早就備有多份資料安全防護的條文與合約規範,但這不表示萬無一失,防患已經做到最好,甚至有充足能力應對各種資訊安全危機。對一向深具憂患意識的林美柯來說,BS7799制度的引入等同對整體企業作業流程進行一次完整的檢視,她希望善用這次機會,將體制內不足的地方補足,讓整個公司上上下下,連同外包人員,每一個人對資訊安全都有一套健全完整的認識,做到資訊安全滴水不漏的境界。   光是只有證照制度引入的想法是不夠的,要推行龐大的體制在這家年近花甲的公營機構談何容易。林美柯認為,要啟動所有的員工,就先從資訊處的員工開始。她也相信一人單一作業遠不如小組分工有效率,所以在處裡找來合作默契十足的夥伴作為核心小組,成員為副處長李玲惠、課長王永芳和制度師賴滄洋,四人分頭執行BS7799引入的工作。他們希望讓更完整的資訊安全觀念深植人心,甚至養成習慣,讓制度推行按著規劃進度走下去。但要執行徹底到這樣的程度,的確需要長官認同與同事們的大力支持。

資訊處定位文件守門人與資訊平台 
資訊處在台電的功能,主要在資訊相關的文件處理,原有功能在制度導入後有所擴增;在文件管理上,所有部門的文件,由上至下不論是對內或對外(對內會有編號),全由資訊處管理。需要出借資料,都要先獲得擁有單位許可,資訊處才會提供。例如:要出借民國93年北部用電電費用統計,需要會計部門同意許可,資訊處才會外借。網路便民服務管理也是資訊處服務範圍,例如,選擇不印製帳單,採電子帳單方式,用戶可利用網路透過轉帳服務繳款。資訊服務平台過去就存在,現在只是增加資訊安全這項服務。例如資訊危機發生可通報資訊處協助處理;至於程序上有任何問題,資訊處也會儘速提供解決方案,如仍無法完全解決,將協尋專業人士,直到問題解決。對外文件上,也須經過資訊處做最後檢視;如有任何資訊不安全的步驟,都必須打回再次更正。這道把關動作勢必耗費更多程序及時間處理公文,但資訊安全及效率的拉鋸,一向也是企業取捨的一項挑戰。

由於新制度推行,增加不少輔助性工作;如各部門通行的資訊安全程序都需要資訊處草擬,企業整體才有一個通行標準。立法兼教育的工作都由同一單位執行,若有不當或爭議的地方,其他單位都可以立即給予建議。有時候也會協助內、外部的稽查工作,如台電直屬總經理管理的稽核處,固定每年抽查12~13單位審核有無缺失待改進的地方,針對規定逐項對各單位進行評分。審查對象是核一發電廠時,在人員審核上,可能邀請政風處進行;在程序執行上,則可能邀請資訊處協助進行。內部稽核屬於各單位自我檢視作業,也可能邀資訊處挑出資安待改進部分做改善。

制度推行工作 積極又確實─ 風險評鑑細細做 守則條條讀 徹底檢視落實性  
林美柯的想法是,凡事都要徹頭徹尾,尤其開始對了,後面就會往對的方向走,不會走偏。顧問公司在為台電作風險評鑑時,資訊處非常配合,因為他們相信評鑑作得精準,才能用對方法鞏固公司的資訊安全系統。四人小組都非常同意,只要是對的事,就應該及早讓大家建立標準觀念,最好的方法就是要讓同事了解資通安全制度對公司的重要性並且有參與感,才不會有被迫執行政策的陰影。為此她們要讓BS7799條文除了容易被員工落實到工作層面上,同時要活潑化條款精神,讓員工不知不覺就已經在做標準流程的動作。他們決定發動主管對條款進行分組討論、針對有疑義的部分提出並進行修正。台電資訊處副處長李鈴惠表示,每一個人都非常認真地討論BS7799的每一項條款,對於哪一點有疑問,都毫不保留地提出來。他們相信,唯有如此,才能為日後執行奠定深厚的基礎,即使有開不完的會議行程,甚至假日加班都是為了精益求精。

制度推行工作 積極又確實─ 教育訓練
面面俱到 林美柯的眼光看得深遠,她認為既然要做推廣,就不能讓裡外任何一位員工錯失了解的機會,更不應該侷限在接受認證的5個單位。台電資訊處課長王永芳聾]說,「這次的制度導入就是要把處裡一向重視的資訊安全概念『具象化』,徹底落實這項精神。」,他們架構一套寬廣的架構,希望縱向推廣至最基層單位,橫向推廣至與每一合作的關係夥伴,連工讀生或清掃人員都不能疏忽。

最完整地教育方式就是上課,台電安排一系列課程教導各級單位主管資訊安全的重要性,並邀顧問公司開九天半的課程,讓員工充分理解條款與執行的關聯性,降低因對條款不了解,而造成實際執行的心理障礙。另一方面,強迫性地對被稽核出資安執行不佳的單位提出上課要求。除此之外,還推出線上課程,讓學習達到即時又全面。當然,課不會只是上上就算,還安排小考,測驗員工理解程度。試後,公佈標準答案和詳細的解答,即使答題時觀念錯誤,詳解也可以矯正員工錯誤觀念,補強知識基礎。

制度推行工作 積極又確實─ 工具和活動靈活運用  
為加深台電全體員工對資訊安全的認識,2004年的9月,她們開始發行電子報,初期每星期發行一次,密集地教育員工資通安全的觀念。電子報內文第一期即放上到任不滿一個月的總經理通過的資通安全政策公文,此後一有新的條文出爐,資訊處會即時發布,並放在最新一期的電子報。除了告訴員工如何做好資訊安全,這些手續有多重要外,也讓每一位台電人理解新任總經理對資通安全的重視程度。為了鼓勵員工確實看完電子報,並用心參與資訊安全教育,會針對電子報、課程及政策內容舉辦有獎徵答的活動。非常令林美柯感動的是,他們收到7千多份的回函,其中不乏300個位置偏遠的營業所員工寄出的信件。每次想到這一點,即使困難重重,他們也能帶著微笑和信心去面對接踵而來的挑戰。

要讓資訊安全推廣更顯得有模有樣,特別舉辦資通安全LOGO徵選,第一名除了獎品外,最重要的是作品可以出現在每期的電子報上作為宣傳精神的LOGO。徵選過程中,作品像雪花般飛來,令他們非常訝異台電員工對活動的積極參與和配合。

資訊處認證的心路歷程固定放在他們專屬網址,希望藉由學習歷程的分享,將經驗傳承到台電的每一角落,從站上豐富內容汲取經驗值,避開已經犯過的錯,最重要的是要全體員工都深切體認資安對工作的迫切與必要性,主動性地學習永遠比強迫更能達到具體成效。

台電的成功來自全員的配合 ─ 重視資產風險管理
林美柯表示BS7799在初期對風險評鑑與資產管理花了她們非常多時間,算算台電服務單位遍佈全台,每個單位都有極龐大的資料體系,尤其要整合從過去到現在的所有資料,確保這些國家財產的安全與完整性就顯得非常重要。對外,這樣的用心可以提高資訊處的服務品質與企業資料安全性,間接地更可對外提昇企業形象,將台電形塑為有系統、體制的專業公司。林美柯把手上管理的每一筆資料都看得非常重要,因為這是對客戶及部門的一種承諾。今年BS7799即將改版,為此他們又重新再做一次資產風險管理,由此可以看出他們對資訊安全的重視。

資訊處的功能不只在全公司內部的資料儲存及提供功能,這次的系統引入更扮演幕後推手的腳色,所有計畫規劃、執行必須由他們統籌規劃。過去如此,未來更是如此。縱向看來,雖然台電已經成功地拿下5張證書,林美柯希望未來能讓台電每一個單位都通過這份驗證。橫向,為了確保整個系統持續更新進步,她堅持,必須有檢視機制不斷查看是否有待再進步的地方,「一日拿證,不代表就終生免疫。」林美柯表示,絕不能因獲頒證書而有任何一點鬆懈。

台電的成功來自全員的配合─ 上司支持 
林美柯表示,總經理非常注意電子報發佈的每一篇消息,認為資訊安全對公司財產是非常重要的教育媒介,甚至連開會時還會提醒與會同事最新的電子報已經出爐,沒有一期錯過。在資通安全政策的簽呈也非常快就獲得總經理的認可。除了上司對資訊安全的重視,林美柯的敬業精神,也使得資訊處團隊的每一個動作都深受主管信賴與支持。沒有主管的重視,任何執行都顯得事倍功半。相反的,有了主管背書,阻力砍去大半。例如就公務員個人的稽核體制,在台電資訊安全的比例佔總體評分7%。就算覺得資訊安全的程序麻煩又不情願配合,但就重視表現考績的公務員來說,這項政策是有一點消極地強制性。如果員工們不是要為考核而確實做到資訊安全動作,當然更令人欣慰。

台電的成功來自全員的配合─ 處長背景
林美柯對資訊安全一向有極高的敏銳度,這與過去背景有關。她剛進公司時,在台電的制度中心服務,但民國73年時與電算中心合併成資訊處,所以對資訊管理重要性多一份深刻的體認。她認為對台電來說,第一批接受驗證的單位,扮演吃重的腳色,具有里程碑的意義。如果在這一層就能立下良好的典範,在經驗傳承上,推動其他單位甚至全公司拿到驗證相對的可以比較順利,大家不會只把這件事當作一個政令被動的去執行。不諱言公家機關許多人都有「多一事,不如少一事」的心態,這項新的作業流程,較過去來說必定多幾道繁瑣的程序,有些單位甚至工作量會增加,在這樣的情況下,沒有好的例子讓他們了解這項政令的重要性,日後的推廣必定會更加艱辛,非但可能執行不力,更有可能在怨聲載道下淪為「說一套,做一套」。林美柯非常了解同仁的公務員心態,但她心裡已經下定決心,一定要讓台電動起來。

台電的成功來自全員的配合─ 台電人特質:踏實、不服輸
誠信、關懷、服務、創新是台電的標語,也是林美柯對資訊處的要求。她認為他們是一個提供資訊的平台,所以對自己要求就要如同現在的服務業一樣,要求自身提供的是有品質的服務。因為這樣的堅持,花很多心思在做預防與管理的動作。「預防勝於治療」的想法,使得她寧願在危機發生前多模擬一些狀況,多做一些準備及演練,可能有些人會認為過於吹毛求疵或神經質,但林美柯自豪的表示,至少目前還沒有任何危機在她面前是危機。

台電案例對於其他企業來說,計畫的推行算得上非常順利。這要歸功大力支持的長官,有力的執行單位,其中還有一點跟企業特質有關係。當初台電在光復時期,技術人員流失、設備大多遭到破壞,電力供應只剩三分之ㄧ,日本人笑稱台灣三個月後將陷入黑暗。年輕不認輸的孫運璿受命擔任機電處長,硬是在五個月內修復所有設備,恢復原有供電。不服輸、踏實的精神仍留在今日的台電,形成他們獨有的文化特質。對於每一道行政命令都會非常認真、用力的去執行。合群、重榮譽的團隊精神,在功利主義的社會的確非常難得。

案例總回顧
台電案例總體看來,五個單位同時執行新制度導入確屬不容易。尤其一個單位-資訊處身負全公司BS7799導入軸心,必須督促另外4家A+級單位導入過程、同時照顧自家單位新制的執行情況與全公司教育重責,終於在今年3月23日取得BS 7799證書。回顧這段路,李鈴惠表示,「制度條件要能與工作落實,如果只是形而上,那只是求得短暫心理安慰而已。」四人小組非常謙虛的表示,這只是台電的第一步,這一步能走得如此順利仰賴全體員工的配合與支持,他們會在未來日子繼續推動公司各級單位接受BS7799的驗證,讓台電就像打了抗體一樣,即使資訊危機發生,也能將損失減至最低。