海外分行主管機關派員來台稽核資安,嚴格的稽核標準讓彰銀從中學習。
ISO 27001協助彰銀拓展海外市場後,資訊處同仁體認到資安管理系統的效益,群策群力做資安。
工具、技術面
除了基本的縱深防禦外,彰銀加強如下措施
- 核心資料層層加密:為海外分行帳務資料設計一套即時且安全加密的架構,資料傳回國內集中控管,不僅傳輸過程加密,前台應用系統與後台儲存之資料庫主機皆經加密。
- 端末安全層層過濾:對於所有用戶端安全,除了應用系統存取權限控管,進行上網管制之外,也逐步導入資產管理系統,以確保端末設備安全。
人員組織面
- 資安政策由高階主管直接指示:在總經理、6位副總、資訊處處長、副處長所組成的IT Committee中,討論重大資安政策,了解推行進度,對於執行困難處可直接下達指示或授與資源。
- 資安課程人人參與:除對一般同仁、資訊處同仁進行資安訓練外,每年定期辦理「高階主管資訊安全教育」,董事長、總經理、副總經理及各事業單位之一級主管全體皆參與訓練課程。
- 會議公布稽核檢討結果:由資訊處處長、副處長及8個科科長組成資訊安全小組。在每週會議上公佈稽核結果並報告矯正檢討情形,爾後各科主管均能大力配合。
管理措施
- 內部稽核自己來,外稽漂洋過海來:資訊風險科人員上完ISO 27001 LA訓練課程後,可自行負責每年2次內部資安稽核。此外,一開始在海外分行申請業務集中回台處理時,香港、新加坡當地金管單位都曾派稽核員來實地稽核資訊處理方式。海外主管機關對資料保護機制採取極為嚴格的審查標準,成為日後彰銀學習改進之處。
- 5大KPI指標訂定資安績效:針對應用程式換/退版次數、系統可用性資訊服務的總時間、系統中斷達異常事件等級之次數、教育訓練次數、確保遵循符合國內外法令要求等5大重點工作,訂定明確指標,以作為資訊處同仁的資安績效衡量參考。
- 參與外部演練,驗收滲透測試成效:自願參與金管會「97/98年政府機關(構)資安演練-網路銀行資安攻防演練活動」及行政院舉辦之「97年度政府資通安全通報演練」等官方活動。雖原本就有委外廠商做滲透測試,但藉第三方測試可再次確認系統安全。
彰銀推動資安分階段進行,過程穩健不算快速,但務求資訊處每位同仁都能跟上資安推動腳步。