推動資安和企業生產力本來就相互抵觸,但遠傳電信能在3個月內迅速取得BS7799驗證資格就顯現其特殊之處,遠傳電信資訊科技事業部執行副總經理束宜鵬就表示,這完全得歸因於遠傳電信重視資訊安全的態度是從高層做起的,在高層授意下資安工作都能快速執行;當然專職資安團隊負責長期推動和公司上、下人員對安全有一定程度認知,不需從“零”做起安全,嚴格說來遠傳電信唯一僅微調BS7799驗證要求的文件規範,讓其更符合
BS7799驗證的精神。
重視資安議題從高層主管帶頭做起
誠如前言所述,遠傳電信高層原本就重視資安工作,這是基於遠傳電信身為無線通信業者,對於客戶資料的保護本來就必須非常注重,因此對內、對外的安全議題將不容輕忽的,但在導入BS7799過程需跨越眾多部門,部門之間的溝通自然是十分必要的,束宜鵬明確指出,值得慶幸的是,遠傳電信內部長期存在一個專責的跨部門的整合資安組織─『企業安全委員會(Corporate Security)』,它不僅扮演了積極協調的關鍵角色,更大幅縮短部門之間的聯繫時間,對於遠傳電信以往的資安工作推展和日後導入BS7799驗證可說都扮演了舉足輕重的位階,同時遠傳電信很早就成為少數具備安全官(CSO)概念的企業,不似其他公司都只將安全議題列為額外的工作。
既然『企業安全委員會』的角色如此重要,不得不針對其來談論,束宜鵬就表示,其實『企業安全委員會』設立目的主要為了讓遠傳電信資安工作有最高整合機制,當中就牽涉到Maker和Checker角色釐清,才不致發生球員兼裁判,也由於遠傳電信財務長本身就帶領了『營收確保與流程控管部(RAPC, Revenue Assurance & Process Control )』團隊,其工作範圍負責全公司的企業安全政策之制訂與制度之執行,並擔任企業安全委員會之幕僚執行與行政管理單位,與統籌全公司的各項安全措施;同時也需對各單位的執行成效進行評估。而在導入BS7799過程中許多規範制定、遵循等都是屬於RAPC的業務,因此『企業安全委員會』才由財務長擔任首長。
值得一提的是,遠傳電信重視資安工作是否基於外籍主管領導?束宜鵬再三重申,基本上答案可說「YES or NO !」,以「YES」來說,外籍主管對於資訊安全要求是比較嚴謹,至於「NO」是因為不僅僅是遠傳電信重視安全,是整個遠東集團都重視安全,舉例來說,在遠傳電信建置有所謂「值月官」的機制,除了財務長擔任資安工作總召集人,在此一安全組織更建置有「值月官」的機制,即所有執行副總都要如同軍中擔任值星官一般,遇有任何資安狀況發生時,必須由當月的值星官來進行危機處理的統合、協調和追蹤等,且必須主動向企業安全委員會進行會報,這類由高層親自主導的安全機制在遠東集團內部都是存在的,讓遠傳電信在推動資安工作時更能積極處理資安事件,從上述內容中就不難看出遠傳電信高層是打從心裡就想做好安全工作。
資訊安全推展必須上行下效的
安全工作決不是僅高層重視即可,對此,遠傳電信在員工推動層面也不遺於力,其措施包括「系統管控」、「教育訓練」和「資料列管」等,也讓員工深深體會保障資訊安全的重要性。首先為了防範客戶資料被不當複製和傳送,不論內部員工、委外廠商等都會有嚴格的安全措施,其措施包括不提供軟碟、禁止使用USB、取消IE瀏覽功能、禁止使用列印和客服人員禁止使用Web mail功能等,這是全公司依保護客戶資料之前提,所以3,600多位員工皆一體適用之內部控管規範,而非以驗證為目的。但考量業務需求,如列印客戶帳單明細等資料,這就必須由職級較高的主官來親自辦理,事後更需檢視程序是否合乎安全規定。
至於後端伺服器部分,由於資料庫儲存了重要的客戶資料,因此甚至高層主管都不能任意進入資料庫內,特殊情況必須透過申請才准許進行;至於進入機房也會指派專人陪同和CCTV全程錄影留存;更重要的是,遠傳電信對於伺服器的帳號、密碼採取分屬二人同時保有各半密碼方式,但假若其中一人因故無法出席,也會有安全機制做為備案,即在24小時監控的保險箱內放置了完整密碼,必須經由高層許可才能進行開啟,事後也需立即更改密碼,束宜鵬指出,遠傳電信會有如此周嚴的安全作法根源於本身來自於銀行業界,而將銀行嚴謹的資安管理概念導入無線通訊業也是同等重要。
其次,雖然遠傳電信導入BS7799驗證僅涵蓋約80多人,但為了讓3,600多位全體員工都能明瞭保護客戶資料對於遠傳電信非常重要,因此教育訓練將是達成安全認知的重要環節,束宜鵬強調,遠傳電信教育員工是透過線上方式快速學習,更為了檢驗教育成果,每季會依不同主題訴求來分部門進行考試,例如資料保護法、遠傳電信資安政策等,另外,為提防員工洩露題目,因此考題都是由題庫中隨機選取,考試類型不會因IT部門或行政部門等差異而進行區隔,因為遠傳電信認為此為安全基礎教育,考試結束後更會立即將成績累計至所屬部門進行彙整,讓員工、部門的安全績效無所遁形的,對於無法通過考試者、因事請假者和新進員工等規定必須進行補考,直到考試通過為止,由過去經驗來看,從學習至考試結束其達成率幾乎超過98%,也由於榮譽心之故,因此部門都存有一份積極爭取好成績的心態。
束宜鵬補充說明,一般而言企業在無法看到實際生產力的前提下,這類做法通常不會受到重視,況且要耗費員工自身時間來進行學習、考試等,甚至將遭受員工共同抵制,但其實安全教育養成對企業推重資訊安全是重要基礎工作,所以遠傳願意花很大的資源來從事教育訓練。
至於「資料列管」做法方面,對於無線通信業者而言,保護客戶資料和通聯記錄的安全性是最重要的課題, 因此早在導入BS7799認證之前,遠傳電信即針對姓名、地址、電話號碼、身份證字號和銀行帳號等重要個人資料進行列管,舉例來說,任何報表上如果同時出現兩項重要欄位時,需要最高資訊保管人簽署認可和完整記錄,包括用途?銷毀時間?同時要宣告使用者不可進行複製,這類安全政策在遠傳電信導入BS7799驗證前早已執行。
另外也針對顧客開通申請書資料進行保護,以往遠傳電話的開通申請書是採三聯的非碳複寫方式,除了遠傳電信會保有所有個人的完整資料,遠傳電信的經銷通路也會保有個人完整資料,這就很難保證個人資料不會落入有心人手中。為了保障個人資料安全,目前遠傳電信做法是將第三聯非碳複寫部分遮沒措施,只留下客戶姓名、SIM卡序號;也針對帳單資料進行調整,更是第一家在補印帳單也做部分遮沒資料方式顯示,因此縱然遠傳帳號委外交由其他廠商列印,顧客也不用擔心個人資料有外洩之虞。
束宜鵬明確強調,遠傳電信以非常積極做法來確保個人資料的安全,因為多數公司在考量成本之餘,多半都會在庫存表單使用結束後才進行改制,但遠傳電信一道命令就即刻執行安全制度,其措施更擴展至外部幾千家經銷商、加盟店、直營店等,這足以證明遠傳電信本身就明瞭資訊安全的重要性,並非只因應BS7799規範所做的改變。
持續改善資安是永遠堅持的信念
「從BS7799本質來看,BS7799不應該是一個全新東西,它應該是一個框架、制度,讓遠傳電信能更有系統的檢視公司相關資安工作是否符合國際標準。」束宜鵬認為,基於遠傳電信原本在組織、執行、SOP等就非常重視安全層面,聘請顧問的原因,只是由於顧問對於BS7799流程和規範較為熟悉,因此也將顧問角色定位成一般稽核員來協助遠傳電信做一次總體檢,並針對系統和文件需要補強的層面做較中肯的建議。
每當顧問稽核找到問題時,遠傳電信也會非常感激,而且馬上改善。束宜鵬強調,遠傳電信取得BS7799驗證的思維並不會將責任全部交由顧問承擔,遠傳電信是從上而下建立起對安全觀念的重視,不是為了想得到BS7799驗證才去做前述各種資安措施,因此在導入BS7799也僅有撰寫SOP文件劃分等級方面較不符合BS7799規定,因此當時也只需就細部條文做修正即可。
雖然此次導入BS7799驗證僅涵蓋IT(資訊科技事業部門)、ND(網路事業部)、S&S(業務暨客戶服務部門)、F&A(財務暨行政管理部門)等部門約80多人,所謂的 80 多人係指直接參與專案之同仁,束宜鵬再次強調,其所規範的企業安全政策及實施要點是遠傳全體同仁均須遵守配合,而取得BS7799的意義顯示遠傳電信長期在安全規範中符合國際檢驗,但這對遠傳電信而言只是安全體系維持在一個基本等級。
遠傳電信未來仍會持續透過每個月的公司內部會議來不斷提升自我安全稽核機制,這可從遠傳以積極方式杜絕駭客層面來看,由於遠傳電信的客戶服務系統網頁原本就曝露於網際網路,為了保障客戶網路資料不外洩就應該儘可能防止駭客入侵,遠傳電信的IT部門內部本來就擁有資訊安全團隊,平日除了扮演checker角色,也會擔任駭客來嚐試入侵遠傳電信系統,這就是第一道防衛機制;至於第二道機制是聘請專業顧問公司和提供專屬的固定網段,讓其運用各種方式來入侵遠傳電信網頁系統,遠傳電信稱其為「有道德的滲透測試」,一旦發現任何系統漏洞時,遠傳電信也將立即進行修補,遠傳電信堅信透過這類滲透測試即早發現缺失,總比真正駭客入侵而遭致資料被竊來得更積極,而這方面措施在導入BS7799時也頗受好評,凡此都代表遠傳電信對客戶資料安全重視的責任。
後記
導入BS7799驗證的精神在於有效整合各部門和動員全體員工的資安政策,決不是單一部門就能完成此項艱難的工作,從2004年開始,遠傳電信除了不惜投入大量金錢強化網際網路和客戶服務等流程建構,遠傳電信高層對於安全的重視程度更是重要指標,這都讓驗證單位在導入BS7799過程中給予非常正面的評價。而遠傳電信也自詡身為公用事業一份子,自然對於資安工作要有一份關切,因此遠傳電信會陸續要求網路工程、客服、帳務等部門取得BS7799驗證,而這樣有計畫建構安全體系的作為,相信更可提供未來想導入BS7799驗證的廠商的良好典範。
遠傳電信導入BS7799驗證重點摘要
時間: 2004年10月22日導入,2005年2日4日正式通過BS7799-2驗證
範圍:網際網路客戶服務系統
1.遠傳電信重視資安的態度是從高層做起的,由於內部長期存在『企業安全委員會』,不僅扮演協調的關鍵角色,大幅縮短部門聯繫時間。
2.由於財務長帶領RAPC團隊,導入BS7799過程大都屬於RAPC業務,因此『企業安全委員會』就由財務長擔任。
3.安全官帶領的專屬安全團隊,專職推動。
4.切實推動安全教育,透過線上學習與考試讓3600多位員工明瞭保護客戶資料對於遠傳電信的重要性,不論官階高低,一律必須考試及格。
5.將安全推動納入內部管控機制。
6.深切體認安全是一種內化的過程,透過內、外部稽核,持續改善推動。