觀點

合作金庫:安全與績效平衡發展 資安效益最大化

2011 / 10 / 19
廖珮君
合作金庫:安全與績效平衡發展  資安效益最大化

合作金庫為全國通路數最多的商業銀行,他們對資安的願景就是,本著「主動、靈活、創新」精神,在兼具資訊安全與資訊服務績效的考量下,將資訊安全的觀念由被動的局部控制,提升到積極的全面管理,讓安全與績效成本可以平衡發展,同時也讓資訊部門效益發揮到最大。

  

資安工作重點

 

銀行握有民眾財產,對資安的要求原就高於其他產業,合作金庫也不例外,其資安工作的目標不只是保障客戶資料、提供穩定安全的金融資訊服務,除了建置資訊安全管理系統,及導入基礎的防火牆、防毒、入侵偵測系統、網路弱點掃描等資安工具外,更積極創造資安工作的附加價值,將資安變成銀行業務的推手。

 

資安績效

 

合作金庫在短短7個月時間內取得ISO 27001證書,創下台灣金融界以同等驗證規模,在最短期間內獲得認證的記錄。並透過各種不同稽核制度,持續改善資安工作的成效。

 

從稽核中持續改善:定期或不定期接受內、外單位查核,針對相關單位所提出之稽核建議,皆要求改善負責單位提出改善之做法,並持續追蹤直至改善完成:

(1)   主管機關查核:行政院金管會、海外分行所在地之監管機構。

(2)   外部單位查核:簽證會計師、ISO 27001認證機構。

(3)   內部自行查核:稽核處、資訊處(資安自行查核)。

(4)   其他業務相關單位查核:證交所、期交所、財金資訊、集保中心、台灣網路認證中心。

 

全員參與資安工作:每半年至少召開一次以上的「資訊作業審議協調與安全管理小組」會議,由副總經理、資訊處處長擔任召集人及執行秘書,另由業務發展部、風險管理處、法律事務處及董事會稽核處等部處主管擔任小組成員,共同研議資訊安全計畫與審視各項資安作業之有效性,同時針對全體員工舉辦每年平均舉辦16場的資安教育訓練,至於資安科同仁平均每人每年也要參與70小時以上的訓練課程,隨時掌握最新知識、提升資安防禦能力。

 

積極爭取外部認同:積極爭取外部資安相關獎項,如:2010年獲得財團法人聯合徵信中心所頒發的資訊安全「金安獎」、銀行公會「金融XML業務-穩定獎」等,並將其轉為銀行業務的推手,像大陸分行在申請新業務時,獲得許可的時效較以往未取得認證時快速許多

 

 

資安工作是件吃力不討好的事,經營高層往往看不見資安投資的效益,但從合庫身上,卻看到了資安工作的正面意義,從被動的局部控制,提升到積極的全面管理,並獲得經營高層與客戶的認同,誰說資安只是燒錢的投資!

 

 

合作金庫資訊處處長黃玉美,資訊安全的觀念應該由被動的局部控制,提升到積極的全面管理,讓安全與績效成本平衡發展。

 

1.資安團隊:8名專職人員

2.服務範圍:現有306家分支機構,共約8,867位使用者、500台伺服器主機、10,500台電腦

3.資安驗證:2009年取得ISO 27001驗證,驗證範圍:資訊處。

4.主要特色:

(1)  總經理大力支持,資安政策獲得董事會核可認同,推行於全行。

(2)  定期或不定期接受各種內外單位查核,並針對稽核建議持續改善,包括:金管會、證交所、集保中心、簽證會計師、驗證公司、財金資訊等

(3)  取得聯徵中心及銀行公會資安相關獎項,將資安觀念由被動的局部控制,提升到積極全面管理,取得安全與績效成本的平衡,將資訊部門的績效發揮到最大。