電信業者在資安議題上最常見的,就是客戶資料的保護及通訊品質的穩定性。要做好這兩大項工作,必須從內部人員控管到對外消費端的宣導,每個環節都是重點工作,也就是說環環相扣,如果任何環節有疏失,都可能造成公司重大財物與商譽的損失。以下我們舉遠傳電信為例,來說明電信業者如何嚴格做好內外資安控管工作,就像遠傳的廣告用語「只有遠傳,沒有距離。」在內外部的資安防護機制上,遠傳員工可說是「只有資安,沒有距離。」
抓內賊學習情報單位 防外患模仿美國海軍
「在資訊安全上,遠傳常設有專人蒐集所有相關訊息找問題點並負責通報,只要有問題發生,第一時間我們就必須要知道;在內部資料上則設有安全檢查點,只要觸碰到不該涉及的範疇就殺無赦,沒有情面可講。」遠傳電信安全管理部經理徐子文清楚地點出公司內部安全控管的嚴格作法,他表示,公司員工需被訓練得必須具備安全觀念,例如收到一些相關的可疑資料就追查,一定設法要清除安全的盲點和安全死角,徐子文笑指這套方法是學習情報單位。
遠傳導入資安防護大概已有約一年半時間,先從實體安全(例門禁、安防)先做起,再落實到ISO17799的資安架構,並引進美國安全系統建置(與AT&T有合作關係),設有企業安全委員會,由五大事業部派安全代表參加。不同部門都有自己的標準作業流程,公司內有兩個常設跨部門單位,都是有高階主管在控管。全省各地有幾個大的處理中心,例如資料處理中心、網路處理中心、安全作業中心等;每個月都要定期演習,每季由各個中心輪流當「爐主」,操練緊急防護及救援措施,這套流程則是學習美國海軍的操演方式。
徐子文特別舉九二一大地震啟動緊急備援機制為例,「我們的客戶很多都是員工的親友,在災難發生時,通訊變得更重要且關鍵,不但客戶在意品質和穩定性,連員工自己也很在意,畢竟人命無價,如果一通電話可救一條命,你還能無關緊要嗎?更何況有可能自己的親人,就在災區等待救援。」徐子文道出電信業所背負的社會責任,不但要維護通訊的穩定度;在災難發生時更須要保持不中斷服務或迅速恢復服務的保證。「以安全無止境的觀點來看,,雖然我們的架構已經很完整,但仍有持續努力的空間。」徐子文說出對遠傳在資安上的期許。
完善隱私權保護政策 作業流程採分層控管
在客戶的隱私權保護及機密資料的防護上,遠傳網路暨電腦服務處協理李文戎舉一般用戶若要索取帳單等資料為例,如何將客戶資料作分層之控管,如有列印需求時,必須取得相關客戶服務部門同意,才能從事此一動作;同時亦要協助用戶了解公司資料安全處理程序,防止有心人利用別人資料,做不當運用。
從上述流程可看出遠傳在資安防護上,並不是一個部門獨立運作,而是所有相關部門通力合作。「只要發現異常現象,遠傳亦會主動通知警方調查。」李文戎強調遠傳在安全防護上絕不護短的決心,他說,的確有經驗是內部自己發現問題後,再通知警方調查。
徐子文也認同,內部控管最大風險及困難在人的管理,內控很困難,如果做不好,安全政策寫得好也是於事無補。他說:「企業安全政策沒有標準答案,只有靠修正和執行,做調整參考。在寫標準作業流程時可以吵翻天,但成為規範就必須全員遵守。」徐子文認為,公司文化會牽動安全政策,所以規定必須視員工反應,像遠傳是個重創意的公司,較不可能一個命令一個動作,最高境界是內化為自律行為,由公司提供教育訓練的管道,才能收雙管齊下的功效。
貓頭鷹標識有創意 安防行銷不落俗套
徐子文對遠傳創新的安全行銷手法頗有心得,從選擇貓頭鷹為安全標識,到製作相關貓頭鷹布偶、磁鐵等產品,除造就員工對貓頭鷹更添一分好感外;更彰顯遠傳把資安當成商品的一部分,對內對外都大力促銷,而且手法不落俗套,不禁令人佩服他們的創意,及在安全防護上的用心。「白天的貓頭鷹是憨憨、呆呆的,就像平時的安全防護;晚上的貓頭鷹是耳聰目明不讓敵人跨越禁地,就好像緊急時的安全防護。」徐子文進一步解釋選擇貓頭鷹為標記的原委。
徐子文認為,企業資安防護不是單一部門的責任,而是全體員工的責任,所以平時員工就要有防範未然的觀念,才能在有狀況的時候,迅速排除問題恢復正常。徐子文以開飛機為例,說明企業導入資安的必要與風險,「飛行安全來自它的危險,教練通常只告訴你,什麼不能做; 當遇到危險時,先採中間路線沒有不好,但是必須時時修正方向,找到可以安全降落的目標,進而達成任務。任何緊急狀況都要負管理責任,好與壞差別在應變;應變得當可安全抵達目的地,應變不得當則粉身碎骨。」
由遠傳電信的例子,我們不難看出資訊安全涵蓋範圍相當廣,並非僅指網際網路,也絕非只是防火牆及防毒程式,資訊安全必須以人事、實體與環境安全為基礎,所有的科技都以協助達成安全管理政策為目的,否則科技僅僅是一個產品。