IT整併後緊接著推動資安,富邦金控如何擬訂資安政策滿足各子公司的需求,龐大IT組織如何有效管理,從資安管理到資訊治理,以下是富邦走過的歷程。
走進富邦金控資訊暨作業本部辦公室前,「四大使命」的海報張貼在牆上非常醒目,不難想像當初IT整合過程之艱辛與挑戰,需要透過振奮人心的標語不斷勉勵資訊部同仁克服困難、達成使命。
IT先集中整併 資安可縱深防禦
「這幾年來IT大型專案真是一個接一個,」富邦金控資訊暨作業本部組織效率處副總經理黃漪漱從2006年起富邦組織重整的「Project One」專案開始細說從頭。富邦之所以能在2007年3月就以金控暨轄下6家子公司資訊機房做為第一階段ISO 27001驗證範圍,並一起順利通過,應歸功於其前的IT整併計畫。而整併後又緊接著做資安,則是由於董事會的大力支持。「當我們對董事會提報資安計畫時,他們非但不質疑,反而問要不要拿個國際認證?」黃漪漱說。
儘管2005年初已經有富邦銀與台北銀整併的經驗,然而這次的金控整併範圍不僅更大還涵蓋銀行、證券、壽險、直效行銷等跨產業屬性,挑戰更為艱鉅。不說各家原有作業流程不同,資訊基礎建設也採取不同標準。「光是E-mail系統就有10個,」黃漪漱說。所幸為了金控將來的發展,組織整併已經是全體上下的共識,因此所有子公司的資訊單位重新依照作業屬性打散,劃分成為組織效率處、系統支援處、核心系統處、整合應用處與營運作業等五處,隸屬在金控資訊暨作業本部底下。「整個過程就像是打掉重做,」黃漪漱回憶。
接下來,便是一連串的討論會議,整合不同子公司的資訊作業流程,重新建置一致性的作業程序,也同時進行基礎建設的整合,所有主機系統集中到Server farm,對不同事業群的不同需求則可劃分不同網段,滿足個別所需。例如,對資安有較高敏感度的銀行必須增加防火牆,注重交易系統速度的證券則希望增加網路頻寬與備援機制,而沒有特殊需求的單位則給予一般等級的防護。
共同需求的部份,則因為系統的整併,更可集中資源有效落實資安。配合設備汰舊換新的年限,網路等硬體設備逐漸統一標準,目前富邦位於台北市的8棟大樓已完成網路內網重劃佈線。硬體環境單純化後,不僅做到「資源共享、成本最低」,也能透過資訊安全管理系統( S I M )將所有log集中監控,以達到威脅早期預警、事件提前防範的效益。
不僅5人資安小組 所有人都做資安有了第一階段資訊機房集中且制度整合的經驗後,富邦第二階段要跨到資訊暨作業本部的4個IT處單位,讓此套資安制度融合入所有資訊作業流程中。因此儘管專職的資安推動人員只有內部控制科5人,但他們主要擔任規劃的角色以及教育訓練活動設計,實際的資安執行工作則是靠全員一起努力的成果。
以應用系統開發為例,資安團隊耗費1年時間設計出「系統上線安控檢核表」,檢核項目涵蓋AP、OS、DB等三大範疇,檢核時間設定在專案規劃時、使用者測試時、正式上線時三階段,盡可能將所有問題在專案開始時就考量在內。雖然剛開始實施時,多達100項以上的檢核項目讓IT同仁叫苦連天,但推動一段時間後,他們立即感受到資安工作預先做的成效。「這張安控檢核表可不是任何人都能簽核,還需先上過課才行,」黃漪漱特別強調,為了讓IT同仁對安控檢核表所列項目都能有一致的認定標準,因此負責同仁須先上過課,明白各項目的規範要點後,才能簽核決定該項目是否適用。有了這套檢核表,新系統要上線,再也不會因為未符合資安規定,又礙於上線時間在即,只好走例外管理流程的情形。
富邦進行IT整併同時推動ISO 27001第一階段資安制度的過程中,不只是成立不同任務別的資安組織、訂定好資安流程與標準,還同時提出資安防護三階段計畫,適當的資安工具能協助確實降低在IT整併後,實務面所面臨的控管難題。其中Phase 1就是將重要伺服器與網路設備收到SIM系統集中監控,接著Phase 2則欲逐步推行端點防護到對18,000台端點設備的全面控管。然而端點防護軟體一安裝上去,是否有過多的警示訊息、是否誤判等問題,都需一一解決。端點安全管理屬於系統支援處管轄,因此最好的辦法就是讓系統支援處的網管部先推,最熟悉網路技術的使用者沒問題之後,接著擴大到系統支援處,再逐漸導入其他部,以降低使用者反彈。在如此龐大的組織推動資安,管理制度與工具雙管齊下,缺一不可。黃漪漱表示,儘管建置了完善的資安制度管理辦法,然而實際上遇到問題時,如何在最短時間做出回應與處置,仍然是資安工作的挑戰。
自行查核、跨部查核一起來
在整併同時推動資安的過程中,如何讓各項專案順利執行,背後的組織分工極為重要。與其他組織相同,為了推動資安皆特別成立資安組織。在富邦,資安組織有資訊安全決策小組、資安推行小組、資安推動執行團隊,以及查核小組等。決策小組由資訊暨作業本部負責人及五處處主管組成,進行重大資安議題的提案與表決;推行小組由各部主管組成負責相關資安事務之討論與規劃,推動執行團隊是實際執行單位,而資安制度是否確實落實則由查核小組負責稽查,避免球員兼裁判的情形,專案推動期間查核工作不只由查核小組成員負責,同時搭配由各部門主管指派的資深同仁擔任,包括進行自行查核與跨部門查核兩種。
查核工作,通常被認為來找碴,是不受歡迎的苦差事,然而制度訂定後就一定要查核否則形同虛設。在許多單位稽核過程中,機密資料的保管常會出現缺失,因此富邦在定義出「機敏性資料」類別後,特別針對常成為資料外洩管道的傳真機、印表機,每小時去檢查是否有人員遺留下機密資料,這下檢查工作又成了擾民的制度。為此,他們設計了跨部門查核值班檢查表,讓每個人輪流去做檢查工作,大家都輪得到。
查核結果出來後,被查到有缺失,在缺失改正之前該單位每天需要被罰錢。被罰錢事小,但到了每月月會公佈罰錢名單那一刻,對各部門主管來說壓力可就大了。公佈名單,一直是推動資安最經濟、有效的管理手段。
資訊領域裡技術總是推陳出新,更何況資安威脅分秒曝現,因此教育訓練絕對不能少。不只公務人員有終身學習護照,黃漪漱也在資訊暨作業本部推動「學習護照」制度。以資安課程為例,除了有針對部內資訊同仁較為技術層面的課程外,內部控制科同仁還須對其他事業群同仁每年舉辦約14場的一般認知課程,並且列為資安人員的KPI。
誠信、親切一路走下去
現階段,資安制度已建立起來,693份標準作業程序文件已就緒,機房、資訊暨作業本部四個處也通過ISO 27001驗證,一套屬於富邦金控自己的資訊治理架構儼然成型。一路走來不輕鬆,然而這樣的架構卻可長可久,在今年2月購併安泰人壽後,接下來的整併計劃已有跡可循,再加上客服及負責銀行後台的營運作業處,都是接下來陸續要納入資安驗證的範圍。
為了慶賀這次第二階段四個處共計500多人一起通過ISO 27001驗證,內部控制科正在規劃慶功會,但慶功會可不只是吃吃喝喝的同樂會,黃漪漱不忘叮嚀同仁在活動中融入資安宣導,「資安文化就是要靠舉辦活動來形成,這次我們要做有獎徵答活動!」她說。相信有了資安為後盾,背負著四大使命的資訊暨作業本部,將協助金控朝誠信、親切、專業和創新一路走下去。
| 富邦金控資安經驗分享 |
| 1自行開發硬體資訊資產管理系統,結合條碼設備,大幅提升盤點效率。 |
| 2依據ISO 27001標準要求,針對不同類型人員進行教育訓練,使相關人員將SOP納入ISO控制項,共產出693份各類型SOP。 |
| 3整合並標準化各子公司之應用系統開發、維護及上線程序,增列資安控管點。 |
| 4制訂各類型系統上線前之安控檢核機制。 |
| 5建置及整合各子公司主機最高權限管理機制,並導入系統控管,以及後續審視作業。 |
| 6建立標準化之資訊系統故障復原流程與管理機制,並定期演練。 |
| 7強化敏感性資料存取管理機制,並透過各單位自行查核方式提升落實度。 |
| 8導入端點防護管理機制。 |