台灣企業資訊安全意識日漸抬頭,有越來越多的公司將「人員」的培訓視為重點工作之一,要求新進人員進入體制前,必須先接受內部講師1~2小時課程,同時透過保密協議與他們溝通什麼該做、什麼不能做,而內部若有未經訓練的人員(已在職員工),人事部門也會提供資料,由講師另外安排訓練。總之,每一位提供服務的專員都要先上過基礎的資安課程,否則不得上線。資訊人員相較一般專員的訓練也略有差異,資訊人員較偏重專業資訊的分享,除個人專長資訊項目,另需定期參與外部課程並進行分享。這樣的描述,在政府、金融、電信、或科技業聽到或許並不意外,如果發生在「服務業」你相信呢?總經理深刻地陳述「資安」對企業本質及客戶的意義,並積極建立公司的資安文化,這就是網通電訊,他們也是全台第一家獲得ISO27001的企業,第一家獲得驗證的Call Center。
打造呼吸般的安全文化
網訊成立於2000年,創業即自許台灣Call Center的領導品牌。由於主管階層多來自金融業,當初服務客群以金融客戶為主,所以對人員信貸、員工背景清查有較高的要求,近年慢慢拓展至資訊、零售產業,發現另有兩項特質能為電話服務專員的工作加分-服務熱情和責任感-具備這兩點特質的員工就會懂得尊重客戶,同時完成交付使命,對他們來說也是一種人員的安全。
網訊電通總經理陳諧看待資訊安全,認為應該就和我們呼吸空氣一樣自然。但全員資安共識建立前,即使認為它很重要,卻仍舊無法好好睡,難以檢視工作流程中哪裡不夠好,而安全工作除了放在資訊部門,可不可以擴大至整個流程,把服務客戶的所有人員都納入資安標準流程訓練及正確觀念建立。這樣的想法隨著與外界的互動而萌芽,無論是總經理或高階主管,都發現近年資安很紅,但在他們來看,資訊的隱密性、機密性本來就很重要,牽涉範圍也很廣,不應該侷限在單一議題。因此,在2004年年底時,他們將資安歸為2005年的五大目標之一,決定導入國際標準ISO27001,藉此機會深化企業的資安文化,同時建立標準程序,奠定日後員工遵循標準。
跳脫設備,
從企業營運流程看安全
導入ISMS的台灣企業不勝枚舉,但範圍放在「客戶營運服務部」的確跌破不少人眼鏡,連顧問都忍不要要問,要把範圍放這麼大、牽涉這麼多人嗎?網訊的答案是肯定的,陳諧認為,既然要驗證就應該從一個服務程序著手,單看系統、機房安全或電話處理太狹隘,加上這些作業通常已經有一套既定的安全程序,「人」才是這次目標中最大的挑戰。其中包括安全認知及處理程序,原因在於人會接觸資訊,而組織的目的是要人在範疇中作對的事,如果侷限在設備意義不大,所以他們決定將台北營運中心的主要事業群全拉進來,這項決定也為他們帶來出乎意料的驚奇。
在一次又一次的會議中,網訊漸漸從公司的使命與市場定位,釐清不同層級資訊對公司的意義,再從凝聚的共識裡制定資安政策,但在較細部的執行項目中,必須在要花多少時間、資源,工作衝突協調及規劃可行性等,資安小組成員承認,「追求適中,敲出標準」不是一件很容易辦到的過程,尤其在落實跟支援分配上的衝突。不過,高階主管經歷衝突的刺激後,有機會去想一遍資訊安全與業務兩者協調上的問題,從何分配支援是最恰當的,效益如何發揮到最高,其中哪部份是過去忽略而未有縝密思考的層面;除此之外,部門主管也首次跳出部門別看待衝突,共同從客戶和公司角度檢視「網訊需要的資安是什麼?」,並從中訂出程序,統合部門間各自為政的資訊安全政策。對網訊的客戶服務來說,能更快反應「哪一部份安全不足要持續作、哪一部分還要再補強」,跟標準導入前完全不一樣,心裡多了一份踏實感。
提升執行效率,
從「共識」建立
為了導入標準他們開了不少會議進行準備,資安小組每一位成員都列出公司的資訊風險,並討論該如何迴避,過程裡發現每一個人心目中的「重要」都不大一樣,舉例來說,在某一次的討論裡,資訊等級的重視度上(應用系統、與客戶接觸的log、BCP要求的程度)業務部和資訊部主管的立足點全然不同;在BCP上,業務部認為營運中斷最多只能容許10分,資訊處現有支援卻不一定能辦到,只好視情況折衷1小時、1天或2天。就Call Center來說,通信和網路設備的維運是最重要的,一旦通訊不能連結,業務很多是無法執行的,為此網訊準備3套系統備援,在網路系統也有雙中心備援機制,不過在災難發生後問題解決的時效性上,高階主管和業務得先達成共識,決定在多少時間內恢復資料並完成電話轉接等工作。資料存取權限的維護上,電話郵件紀錄,儲存備份都是自動化進行,而主管調閱也得經過授權,而後由資安小組或總管理室執行稽核,客戶也會按合約中的約定抽查網訊在資訊流程上的安全是否合於要求。
資安小組在會程中,深刻地體驗部門別在看待事情上的落差,尤其在資訊安控程序與應用資訊等級上的衝突。為在衝突間取得平衡,ISO17799文件的準備,第一版的資訊分類先從業務部開始,但提出來的想法往往對資訊部門來說是難以執行的,為此小組緊鑼密鼓地召開會議,企圖在會議中找到折衷點,並排出政策123456的優先排序,其中最重要的當屬牽涉客戶資訊的資料庫(應用系統)、再者是機房、PC與網路作業系統、名單log、人員及水電通訊設備。他們分出六大資訊重要性後,將個別程序及要求文件化,以後當員工遇到問題,可從文件找到需要的答案。
效益在哪?
ISO 27001導入後的差異
網訊的主客戶裡,有20家跨國公司,每家都有各自的資安標準,過去配合客戶名單控管安全時,都要按其驗證方式,既不經濟又耗費公司時間與人力,但ISO27001拿到後,網訊有一套自有的安全流程時,管理上會比較效率,客戶也會比較放心,網訊把握客戶稽核的3點要項:人員看到客戶的資料,如何確定不會被使用人員外洩或另作他途、溝通過程裡,資料產生到消滅間怎麼確認沒有外流的可能、人員管理上,有沒有可能抄下名單或業務資訊等;網訊通常會在從公司內部文化、理念為客戶做更深一層的說明,甚至主動提供實體設備採購、配置、設計、什麼地方操作、使用授權等,降低客戶情緒上的不安,心理上自然會愈來越安心,稽核的次數就會漸漸越少。對於網訊自建資訊管理流程,客戶的態度是肯定且尊重的,因為銀行稽核室內稽人員派出來的人員都領有認證,素質也很高,尤其是跨國企業,在程序上及符合程度上很快就能達到共識,也認同其管理精神與客戶在資訊安全上的要求是相符,甚至高出期待,網訊客戶因此情商將資訊控管模式作為內部稽核或其他委外業務參考,陳諧榮光滿面地陳述著。
ISO27001導入,與當初成立公司的理念相符;Call Center工作在很多公司來說,通常不會是企業最主要的生產單位,因此很多工作項目難以被提升到較高的層次去看待,遑論花20~30人心力去作資安,完全不敷效應。但客戶營運層級不是最高的業務,就我們來說卻最重要,用整套標準精心驗證整套業務流程,客戶沒做到的地方,我們率先把它做好,讓更多客戶可以更放心地把事情交給我們,消彌客戶原先心態上「內部做不好,何況是委外」的保留態度。
結語
資安工作初期增加工作量是不可避免的,從文件準備就不該由一人擔綱,「客戶營運服務部」範疇內每一個人都該參與,所以當初要求這些主管投入,增加不少分外的工作量,但總經理堅持將「資訊安全」融入例行工作,達到兩者無法分割的目的,所以導入初期在文件程序的安檢特別花費心思。進入導入中期,重心漸轉為「自建管理讓客戶更放心」上,這能減少繁瑣重複的庶務,慢慢工作效能就會出來,最主要的是他們心態是健康、積極的,心態不是為資安而資安,而是真誠地站在客戶需求,提供服務並協助他們了解網訊的營運流程是否真的安全無虞。讓客戶信任自建的營運管理程序、減少客戶類似地管理程序是網訊目前努力的方向,試圖在提供服務的流程中,建立企業間、員工間的「信任關係」,陳諧相信這才會是企業提升競爭力的關鍵,也是台灣企業與世界競爭的成功因素。