觀點

富邦媒體科技momo:滾動式稽核 持續改善資安作業流程

2011 / 10 / 19
廖珮君
富邦媒體科技momo:滾動式稽核  持續改善資安作業流程

富邦媒體科技擁有3個電視購物頻道、網路購物、型錄購物、實體藥妝店、及百貨公司,購物通路橫跨實體與虛擬,在母公司富邦集團的全力支持下,以金控公司的標準來做資安。

 

 

資安工作重點

 

富邦媒體科技(以下簡稱momo)以電視購物起家,龐大會員資料是公司最重要的資產,也是駭客攻擊最喜歡的目標,除了導入防火牆、防毒等基礎資安設備還不夠,必須搭配良好的管控機制以及作業流程,避免讓單一員工或外部廠商有機會看到大批客戶資料或完整資料。

 

 

資安管理、作業

 

momo2009年取得ISO 27001驗證,導入範疇涵蓋所有可能會接觸到客戶資料的部門,包括電話客服中心、資訊處、行政作業部、網路路、物流部等,ISMS作為強化會員資料安全的基礎,再配合各種監督管理機制,改善作業流程,降低大批客戶資料外流的風險。

 

落實內外網實體隔離機制內部網路存取以電視資訊系統及其他內部使用之資訊系統為限,並限制無法將公司內部檔案上傳及下載到網際網路,員工如果有連外網需求,只能到公共上網區,同時封鎖USB隨身碟、藍牙等電腦週邊設備,並管控使用權限。

 

網路主機雙備援:對外營運的網路與主機等資訊設備均為雙備援系統,並建置網路監控中心,專人監控各項服務之可用性,並聘請外部資安專家定期2週檢視系統Log,並據此調校防火牆規則及修改主機程式。

 

不保留非必要會員資料:客戶資料愈多、外洩風險就愈高,因此momo會員資料庫裡只有必要資訊,不保留會員的財務資料,即信用卡資料和CVV驗證碼,所有刷卡資訊接傳送到收單行,收單行則會給予一組授權碼,供日後請/退款作業使用。

 

調整物流配送程序:虛擬通路有很多供應商及物流商,各廠商的資安程度不一致,所有的配送資訊不做電子交換,而是由momo直接印好配送單(紙本),交到物流商手上,同時建立中央倉儲,不讓供應商負責配送作業,也就不用傳遞客戶資料,資料外洩風險也降低一分。

 

滾動式監督改善:定期接受內外稽核,包括專任IT稽核人員不定期進行IT稽核、內部稽核、ISO 27001認證機構的外部稽核、以及富邦集團不定期年度稽核,在平均3個月一次的稽核審查過程中,上述各稽核單位會參考彼此的查核與改善記錄,針對須改進處做更嚴謹的監督,滾動式地循環改善資安環境。

 

 

momo對保護會員資料的原則就是:只搜集必要會員資訊,儘量不與外部廠商做電子交換、嚴格管控內部可接觸會員資料的部門,將外洩風險降到最低。

 

 

富邦媒體科技總經理林啟峰,寧可拉下鐵門,也要把資安做好

 

1. 資安團隊:6名專職人員

2. 服務範圍:約1,400位使用者、50台伺服器主機、500台電腦

3. 資安驗證:2009年取得ISO 27001驗證,驗證範圍:系統開發與維護流程、客服作業支援流程、信用卡請款流程、物流配送作業流程、網站行銷服務作業流程。

4. 主要特色:

(1) 網路及主機皆為雙備援,並設有網管監控中心,專人監控各項服務之可用性。

(2) 落實內外網實體隔離機制,管控員工網路存取、內部檔案、及電腦周邊設備的使用行為。

(3) 平均3個月一次稽核:每年2次內稽、驗證公司外稽、集團不定期稽核,各稽核單位參考彼此稽核記錄,滾動式的監督持續改善。