專訪新光金控CISO呂孟玲－打下管理基礎，先做教育

一抹浮雲輕輕地從七星山的山巒飄過，一架飛機正從右下方的視線裡緩緩爬升，雖然天空的顏色不大透明，但層次分明色塊有梵谷筆下堆疊的意境。忙碌的工作裡，偶而視線停留在窗隅的變幻萬千，須臾片刻原本肩膀緊繃的線條也放鬆了不少。

　　新光金控資訊安全官（CISO）呂孟玲繁重的工作之餘，喜歡善用片刻小憩，望著窗外舒緩工作的疲憊。位於39樓的辦公室成立已經有1年多了，談到跨入新光的情況，她發現當時這裡的環境以人壽為主體，因此對資訊的重要性和安全性起步較其他同質性企業來得晚。舉例來說，通常壽險手頭握有最機敏的資訊就是一紙保單，不外乎理賠資料、死亡金額、健康情況、保險金額等，要大筆取得這些資料不易，員工最多只能販賣單一個人資料獲利，內部也就不會有人討論資安議題。再者，這裡穩定性之高，每年離職率大約只有2%，大家幾乎一輩子當同事，彼此相互信賴的前提下，自然無從聯想機敏資料的保護議題，公司在資安上的建設也較為薄弱。內部也不了解目前大環境，更別說應付外界日新月異的威脅，及安全上應有的考量項目。

　　新光的金融整併在2001年，為防範企業整併的間隙不為有心人利用，同步安全性是當務之急，在基礎工作的建置上，很多人建議她要開始著手專案工作，呂孟玲認為花錢買工具的確可以在最短的時間內看到成效，但她心底清楚唯有提高用戶端的認知，並對高階層宣導企業操作的風險，讓內部安全的文化成形，安全才可長可久。但另一方面考量，雖然建立機制非常急迫，但操之過急反而有可能破壞員工與公司的信任模式；因此，就管理者的角度來看，她認為信任也是一種安全文化，如何讓制度融入現有文化，才是目前工作中最大的挑戰。

定位資安部門

　　初進入公司，大家不是那麼了解什麼是CISO，不知道她究竟來公司做什麼？金控的高級主管甚至找來新光保全的同事與她開會，呂孟玲笑談這段令她啼笑皆非的過去。論及工作定位，她認為CISO的工作就像守門員，必須告訴老闆公司目前正面臨的風險、漏洞在哪裡、建議如何排除，即使工作的急迫性不一定要排在最高順位，但至少要讓高階主管清楚他的任務、人力夠不夠、不要讓老闆在事件發生後訝異地問她為什麼會這樣。

　　資訊安全部門在公司的定位一向令人困惑，就員工來說，她認為資訊安全部門很像顧問，除了找出問題提供意見，最主要的工作就是為企業規劃3～5年的大架構，再讓各單位針對業務擬定細則去執行。除此之外，她還會利用機會行銷資訊安全部門，讓他們了解這個部門的功能，當需要協助或發生問題時，樂於提出來，共同商討對公司最有利的辦法。

溝通讓觀念深植

從經營面提供高階主管訊息

　　身為金控CISO一定要了解老板的語言，什麼樣的話他們聽得進去，絕對不是滔滔不絕地說明設備、講解技術，就呂孟玲的經驗，提供高階主管資訊安全的建議時，最好從法規面切入並輔以新聞時事。舉例來說，委外廠商的挑選上，錢絕不是唯一的考量，必須在運作及控管上也要同步要求，若不幸重蹈某銀行覆轍，將A客戶資料寄給B客戶，下次佔據報紙版面的新聞可能就是他們；不但罰款、公佈名字、記缺失外，長久經營的名譽也要毀之一旦。她希望主管們能夠明白，企業應該主動地預防問題的發生（降低風險），而非被動地等問題上門，再設法解決。

讓資安與同事發生關係

　　為了改善同事電腦的使用習慣，除了做一些系統面的控制，阻擋不允許的行為外，呂孟玲試圖說明做好資安對他們工作上的幫助。比方說，利用機會告訴員工存在的安全性漏洞，並理性地分析疏失的下場─可能中毒，被記缺失、然後拿到警告，為工作效益帶來負面評價。針對業務，她就會利用北、中、南大區的會議宣導資訊安全相關的法規及利益連結。針對專業主題上，每月也會安排一次資安教育訓練，每次2～3小時，開放各部門牽涉議題的人員參與。最終目標就是更正使用者對資訊安全上的觀念。不要讓資訊安全侷限於數位資訊，應該要走出資訊室，資安跟總務、財務的訊息也有關。舉例來說，印壞的財務報表應該放哪？多數員工的答案竟是廢紙箱，類似這樣令人冒冷汗的處理方式正是她要努力改變的，資安問題絕對不是只有數位資訊才有。目前員工已經慢慢接受觀念，令人感到欣慰的是，保險行銷或行政單位在流程、協力廠商溝通、委外工作等，都開始和她討論應注意哪些資安問題。

資源整合

　　除了觀念的澄清，呂孟玲認為資訊架構的整合也很重要，尤其是目前內部採購的工具軟體，只使用最基本的小功能。比如說，之前添購的資產管理工具，因為使用上的問題，最後擱置一旁，類似狀況重複的發生，她認為未來應該要整合這些資源，所以要求廠商整合現有設備，再加購其他功能項目，甚至列出需求，由內部資訊人員負責開發。再者，各部門在資訊設備的添購上，可以知會資訊部門統籌購買，這也是金控成立最大的優勢─節省金錢、而且效益更經濟。

結語

　　要避免員工哪些行為發生，就必須建立這些項目的觀念─作好資安就是保障自己的權益，而不是為了公司。雖然教育訓練要看到成效比較費時，不過卻能從心態上，根本地導正員工行為。