台灣企銀透過ISO 27001 評估風險平衡資源

▲每個銀行都要視自己的資源、組織架構來規劃，面臨到來自主管機關、外部甚至是內部稽核的安全要求時，並沒有一個標準，透過ISO管理制度，可有效管理、衡量風險。

當過去的區域性銀行，如很多中小企銀陸續整併或改制成商業銀行，屬性與一般商業銀行無異後，台灣企銀也就成為目前國內全國性唯一的中小企業專業銀行，肩負著對中小企業專業服務的使命。

值得信賴的夥伴 要讓中小企業更放心
在放款業務上，台灣企銀一直都是以中小企業為主要對象，也經常協助政府辦理各項針對國內中小企業的授信專案貸款，擔任著經理銀行的角色，例如就與經濟部中小企業處合作，擔任「輔導中小企業升級貸款」、「中小企業新創事業貸款」等等多項專案貸款的經理銀行，協助授信資格文件核對、撥款、貸後管理、放款到期收回及管理資料分析等工作，如果其他銀行有對中小企業辦理這些專案貸款時，就由台灣企銀負責交付貸款給該銀行，變成一個協助政府的公庫角色；台灣企銀是國內銀行中對中小企業放款比例最高的銀行，其對小企業的放款金額也為全台第三大。

不過，由於中小企業所提供的財務報表不若大企業完整，為了更了解其企業主的經營理念、營運策略、企業競爭力及企業體質等，台灣企銀都必須要親自與客戶接洽，與其他銀行比起來，其特色是勞力密集度高。台灣企銀資訊部經理邱松歲說，台灣企銀可以說是屬於勞力密集的產業，銀行就像是中小企業的夥伴一樣，也由於透過這樣的人際結合，台灣企銀有許多客戶都是超過幾十年的交情，更是其他銀行難以短期內撼動的資源。邱松歲說，前陣子外出洽公遇到其他銀行工作的朋友，朋友提起有次到五股工業區去跑客戶的經驗，客戶婉拒與他的銀行往來，只說，「我公司開了三十幾年，往來的銀行就只有一家，就是台灣中小企銀！」這也可以看出台灣企銀在中小企業心中的地位，是已經牢牢緊密結合在一起，台灣企銀這些年來可以說是跟中小企業的老闆們共同成長、互動，這也是台灣企銀最主要的競爭利器。

當然，綜觀現今的網路社會型態，許多銀行也都逐漸減少櫃檯服務的人力，鼓勵大家透過電話語音或是網路銀行來交易。邱松歲說，雖然仍有多年的客戶因為不相信電腦，拒絕使用網路銀行服務。但其實中小型企業對新科技的抗拒並不如想像中那麼多，由於很多企業都已跨入到第二、三代經營者，對於這些電子金融服務的接受度反而高。也因此，為了不辜負中小企業夥伴們的信任，提供電子金融服務的穩定性、安全性也是台灣企銀持續努力的方向。

扎實的要求 重視資安驗證的導入
不僅是體認到對客戶的承諾與服務，台灣企銀高層對於資安推動的重要更有其體悟。也因此這次的驗證主要是由董事長、總經理直接指派任務，並由該行之資訊策劃發展委員會（簡稱資策會，也就是國際標準組織中所說的管理審查委員會）執行，資訊部為其幕僚單位。資策會是台灣企銀決定資安政策的單位，主要由三位副總、一位總稽核領導，會中亦有來自各單位的主管參與，包括法務、人資等部門共同來統籌制定資訊相關策略。

導入時程約為7個月，驗證範圍主要是總行的資訊部－電子金融服務，也就是包括企金、個金及網路ATM等網路銀行業務、電子支票等，共有將近200人參與，除了資訊部的7個科，共190人以外，尚有其他外部單位的部門主管以及稽核處的人員，其中像是稽核處是獨立於總經理體系，直接向董事會負責的單位，此次也參與其中。

此次總共制定了350份文件，其中像「作業要點」屬於第1階文件，要得到董事會核准才能執行，另如「管理或作業程序及注意事項」屬第2階文件，必須經總經理核准後才可施行，所以高階主管們也可說是在認證的範圍內，帶動著同仁共同推動。

高階主管的重視
邱松歲認為，主管必須以身作則，下面的人才會重視，像是主導稽核課程，就有20名主管加上4名稽核人員的參與，他說，平時大家都有自己的業務要忙，但這些額外的事情什麼時候做呢？就是要抓緊時間。主導稽核員證照考試的那個禮拜，他也很緊張的利用捷運上通勤時唸書，認真準備考試。「你必須要有一套自己的想法，主導稽核員要來稽核什麼東西？為什麼會符合稽核的條件？自己要有些想法才會知道可能有什麼問題出現」。通過一個驗證並不是為了要拿一張證書，而是要能夠確實做到驗證的要求。
他也提到一個插曲，在做風險評鑑的時候，有次顧問公司想要從旁協助報告，卻被會議主持人給請了出去，要求資訊部一定要自己來報告。這也顯現出了台灣企銀高層們的重視，要聽到資訊部門真正的想法，而不全都是顧問公司給的東西，確定執行單位能夠確實的去體認、執行這項任務的真義。

從風險評鑑劃分出標準
資產盤點與風險評鑑的工作差不多是同時間進行，在這之間，顧問公司也會提供一些過去的經驗跟作法予以參考，但仍有許多工作必須要自己決定。邱松歲舉例如風險評鑑，通常一個團體裡越高層的主管，總是希望越安全穩固越好，但這很可能會造成花很多錢，去控管一個其實際上風險並不是很大的東西，他認為，ISO 27001驗證的通過並不光只是學到資安的觀念而已，風險控管的概念也有助於管理，一家企業的資源畢竟有限，對於管理的資源投入有先後順序，因此風險評鑑就能夠有效的去衡量風險與成本之間的考量。
針對風險分級必須要做資產分類的工作，但由於每個單位的定義往往都不同，這之間也經過很多次的內部溝通才得以完成，台灣企銀資訊部副理郭清雲舉例，就像分析設計一科、分析設計二科的工作內容雖然一樣，可是業務卻不同，今天訂的標準分類，過兩天可能又變了，也可能是對ISO 27001裡的分類有些想法，為了要讓標準一致，也來來回回的討論，郭清雲說，有時候為了討論一個規章可能就要忙到晚上七、八點。

郭清雲補充說明，每個銀行可能都要視自己的資源、組織架構來規劃。所以對資訊部來說，管理邏輯的建立對於做事情相當有幫助，過去資訊部門面臨到來自主管機關、外部甚至是內部稽核的安全要求時，對於要求是否適當，還是應該投入多少資源，並沒有一個標準。現在透過ISO管理制度，可將該安全要求之風險加以評鑑並透過管審會來決定是否接受該風險或需排除該風險，也可以決定採取補償措施以降低風險至可接受程度，可以更有效率的運用資源。



▲台灣企銀資訊部經理邱松歲提到，以後不排除會擴大ISO 27001驗證範圍，未來可能會先從總行的其他單位開始，並且再拓展到各分行。

人員觀念的重新審視
而由於過去台灣企銀從未接觸過ISO 27001這樣的驗證標準，有很多的觀念都在此時趁機被重新矯正了。例如過去進出門禁的控管並不那麼嚴格，所以也不見得每位人員都會配戴識別證，警衛要是認識就會放行了，然而，這在人員變動的時候就比較容易出現風險。

此外像是個人電腦一定要增設密碼，且密碼的強度也經過強化，過去可能像是簡單的分機號碼就拿來當密碼了，經過顧問公司的輔導，更了解到密碼的設定應當要注意到長度、複雜度並且加入符號在裡面，又或者是離開座位時螢幕保護程式密碼的設定，期間也有同仁會反應「為什麼需要螢保密碼？我離開座位時就會關掉電腦了。」邱松歲說：「結果我們自己認真回想一下，是不是真的每次離開座位，都會如自己想像的都有關電腦呢？」

邱松歲是來自業務單位的資訊部門主管，因此更了解業務單位的需求，擔任起高階主管、業務單位及資訊單位的橋樑。郭清雲說，資訊人員有些習慣的專門用語，有時候即使是在公文上的溝通也會忽略這點，例如當系統出現問題需要處理的時候，往上呈報需要「下上」系統。他說，「下上」其實就是指重開機而已啦！對於資安的規範，他以一個過來人的身分說，其實要叫業務人員去記密碼是比較困難的，但是以台灣企銀的公司文化來說，很多事情同仁其實都會盡量配合。　　

儘管在民國87年已改為民營銀行，但其公股金融的特質依然相當濃厚，雖然公股金融常被批評「守法有餘、創新不足」，很多資安事件的發生，有時是因為人員一時的疏忽或省略掉必要的常規操作，但台灣企銀卻在人員紀律的遵守上相當具有優勢，所以也甚少出現使用者抗拒的情形。例如公司內部就禁止使用MSN、Facebook，甚至是Webmail，偶有使用Skype語音電話的狀況，則必須由主管提出其業務需求申請。郭清雲說，並不是不可以，但一定要請主管提出正當的業務需求。


台灣企銀未來與資訊相關的重要工作：ISO 20000、IFRS、個資法
而今年，台灣企銀也在緊鑼密鼓準備國際會計處理準則(IFRS, International Financial Reporting Standards)，其主要需求單位為會計單位，但最後壓力卻會落在資訊部，因為一旦會計部門做出改變的決定後，才會把需求交給資訊單位，做系統的調整，一般單位都會說因為規章還沒確定（可能主管機關某些版本還沒有出來），所以需求也就還不能確立，資訊部門也必須跟各部處溝通，由於資源、人力也有限，若等到等定案才要提出需求，累積在後面就會很辛苦。

他說，有幾個部處例如財務部、風管部，因為涉及到一些衍生性商品的評價，確實比較複雜，又或者是放款單位，涉及到一些應收帳款或是放款計價、回收率等問題，需要較長的時間再研議外，希望其他單位可以盡快就在明年一月底把需求確認好，讓資訊部門開始進行訪談，進行資訊系統的差異分析，才能決定如何調整，他說，明年可以說是準備的一年，接下來後年就要雙軌進行，其實銀行的壓力是蠻大的。

另外，針對ISO 27001驗證範疇，邱松歲說以後不排除會擴大範圍，顧問公司建議可以等到ISO 27001多幾次複核，也就是約兩、三年，執行作法較穩定後，再將成功經驗移植到其他單位。之後驗證範疇順序可能是先從總行的其他單位，然後才是各分行。

除了這次通過ISO 27001驗證，來確立、提升資安推動工作以外，台灣企銀未來還希望可以提高服務品質，像是通過ISO 20000的認證，可以確保人的服務夠精準，當客戶打電話過來，即使沒有辦法立即解決的話，也至少要在半小時內回報進程等。

個資因應腳步還要再加快
除了IFRS的要求，緊追在後的挑戰，還有來自個資法的壓力，邱松歲說，「個資法絕對不只是IT的事情」，這樣的觀念儘管不是人人都有，但至少在台灣企銀，高階管理階層絕對認同，更因為牽涉到許多業務單位，更要跨部門計議。他認為，個資法的修改證明國內在尊重個人權益上又跨了一大步，既然個資法是要證明企業內部善盡保護之責，沒有不當洩漏個資，Log的留存就非常重要，邱松歲說，其實台灣企銀過去為了要保留一些證據，也都有不斷的投資，系統或工具其實是一直在增加的。舉證責任帶來的壓力很大，所以必須要把一些資料儲存起來後，要可以在最短時間內找出來，基本上都已經有留存稽核軌跡，只是時間的長短問題。

郭清雲補充，交易明細多會保留到15年，但未來實行要看細則規範來調整保存年限及加強保存資料的內容。像電子金融必須要搞清楚誰來做這個交易，過去電子交易看的就是帳號、密碼、憑證，在個資法的影響下，必須要進一步去證明其不可否認性。邱松歲認為在個資法的因應上，台灣企銀還必須要更快來因應，希望可以在明年開始加緊速度。