https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

物流業的另外一個里程碑 資安流程再造

2010 / 04 / 27
吳依恂
物流業的另外一個里程碑  資安流程再造

新竹貨運的E化及BPR等物流管理過程,在許多學校不僅被學生當作是成功案例來報告,在各大媒體也諸多報導,甚至也在《藍海策略台灣版》一書中被提到他們如何透過整合產業價值鏈來達到轉型,進而使得一個傳統的貨運公司變成現代化的物流服務產業。


扎實改造企業體質  創新有活力的老公司

2000年時新竹貨運開始了企業流程再造工程,與日本佐川急便技術合作,斥資40億元,將日本企業精神帶入竹貨,「如果你早上到我們三重站所,甚至可以跟大家一起做早操唷!」新竹貨運資訊處處長柯志輝如此說道。其組織文化嚴謹,對於人員素質要求高,內部的獎懲分明,由於竹貨平均收費比同業貨運高出20%,而Sales Driver的概念更是讓每個司機都像是業務人員一樣,送貨的「運將」變成「專業營業司機」更是讓竹貨把運輸業轉型為服務業。而這些營業司機個人的薪資可高可低,端視乎個人於業務上的服務、努力,有些認真的同仁甚至可以達到同業的2倍。HCT已轉型為服務業,因此對客戶的服務全程要求重視質,若有違反規範造成客訴,除依規定向客戶回覆與立即改善,同時須受行政處分。經歷五年的企業流程再造已逐漸形成公司「紀律、執行力、以身作則」的企業文化,在這樣傳統卻又創新的老公司裡,員工如果不能嚴格遵守公司要求是很難生存下去的,而這種文化特質,是竹貨人力素質的一個部份,也讓他們在推動資安工作時遇到較小的阻礙。

 

然而,過去傳統貨運要踏入到現代物流就需要徹底E化,在竹貨負責現場作業的營運總處(負責管理、規範制度、政策、績效、流程等)與資訊部門都是由副總李正義所帶領,也因此業務的需求與資訊部門便可緊緊配合,所以像是在一天約13萬件配送案件的狀況下,平均一個月配達率依然可達99%左右,而在97年,貨故率就已經降低到了0.005%,也就是10萬分之5。而來到E化時代後,更進一步所要面臨到的就是科技所帶來的安全威脅問題,由於E化創造了物流業的服務價值,而眾家物流業在E化也都迎頭趕上來,接下來會分出勝負的部份,除了服務、效率以外,就是可能為客戶所帶來的風險。

 

柯志輝說,竹貨有50%左右的客戶使用EDI系統,在物流業界是相當高的比例,資訊化的程度頗高,客戶也相當習慣使用這些資訊化的系統。而竹貨對於客戶的要求多半可以彈性的客製化,像是他們也提供網路查詢、手機簡訊通知、E-mail通知、單據影像查詢、Call Center等,而在系統運作的部份,台北仰德大樓與新豐的機房更互為異地備援運作機制。資訊化程度越高,資安也相形重要。

 

電視、電子購物等詐騙頻傳  物流傳輸業面臨壓力

物流業的資安特性就是擁有的資料量大,但運用的應用程式較少。由於竹貨為台灣第一大物流業,不少大型企業都是客戶,無論是線上或電視購物業者,配合的物流業者至少都會有34家。幾年前竹貨曾有某客戶發生資料外洩事件,當時檢調單位也介入調查各家物流業者,不過在該起事件裡,調查過後竹貨是該公司配合的物流業者間,資安控管是最嚴謹的,因此該公司還推薦竹貨CIO舉辦資安制度演講,將竹貨的資安架構與其分享。足見當時竹貨就已經具備一定的意識,資安往往與管理息息相關,竹貨更早時候所導入的物流管理改造流程,或許也對資安起了某種程度的作用。

 

而在這些年來,受到多起個資外洩事件、詐騙事件後,相關產業也都受到來自社會輿論的壓力,以及維護商譽的需求,物流業者普遍都受到不少來自電子商務或線上購物業者的壓力,不僅會被客戶叫去開會,審視整個運輸流程,EC業者也會邀請顧問與貨運業者洽談,討論整個物流、資訊流等問題。柯志輝說,每個客戶針對自身的狀況,所要求的資料保護方式都不盡相同,而竹貨也都全力配合。目前竹貨也正在評估是否要導入資安的國際標準驗證,在資安工作方面,竹貨過去便有所著墨,只是還要再強化到什麼程度?柯志輝認為國際標準驗證可能是與客戶溝通之間的一道橋樑。

 

簡化流程 最少資訊揭露

除了基本的傳輸過程加密、身分驗證、權限控管之外,竹貨也從資料流來探討,減少所有可能接觸到資料的人員,例如將權限控制在特定的一、兩人身上。而針對大客戶更有專職人員來服務,針對每個客戶不同的業務需求亦可因應,而即使是這擁有權限的一兩人,有時候所能夠查閱、處理的資料也不見得完整,作法嚴謹的客戶會遮蔽部分欄位,資料提供以能夠處理運輸業務為主即可,因此在竹貨的資料庫當中,也不見得可以看見完整的個人資料。儘管負責運送的司機可能是必須要看見姓名、電話、住址等資料才能送貨,這也是無可厚非,但是像是輸出列印顧客資料的部份,有些EC業者也會盡量掌握在自己手上,而非交由物流業者來印出,而這個動作至少就能夠防範大批的資料外洩。

 

也有的EC業者做法是,在收到訂單後請竹貨直接到供應商端去取貨,供應商並沒有客戶資料,僅有供貨數量,而到了竹貨這邊才將訂單編號跟數量結合起來,這樣的作業模式對資料的保護很有效。這種方式也就是所謂的第三地取貨,既可以達到無店鋪成本,又可以將兩階通路改善為一階通路,在物流與資訊流的結合下,更也減少了客戶個人資料外洩的風險。

 

物流業資安意識初抬頭  邁開腳步

因應到未來即將要通過的個人資料保護法,屆時企業都須負舉證責任,對於可能會發生的資安事件,相關的存取記錄、調閱記錄等都是相當重要的。柯志輝說,由於目前並沒有法規明確規範應保存幾年,對民間企業來說保存這些記錄也都是成本,是在持續一個社會責任,目前竹貨的保存記錄時間約在數年間。

而對於物流業來說,資安的要求不僅來自大客戶,一般的民眾的意識也不斷提高。如何把資安做到在物流業界第一強,將會是竹貨接下來思考的重點,也因此竹貨未來的方向是期許資訊流可以更加優化。如今竹貨的資安主要是以應用程式系統安全與客戶資料保護為主,將透過各種教育訓練、流程與管理作為落實全員資安,同時建立更完整的資安管理組織與稽核機制,為所有客戶的服務流程做到嚴格把關。