台灣碩網網路娛樂原本是台灣Sony的子公司,組織改造後,變成So-net Japan的子公司,由於母公司為日本上市公司,對於安全原本就有相當嚴謹的規範,連帶也讓台灣So-net以高標準為資訊安全把關,透過PCI DSS及ISMS國際資安標準保障用戶個人資料安全,並提供安全交易的網路環境。
資安工作重點
台灣碩網網路娛樂(以下簡稱台灣So-net)的業務分成兩種型態,一是針對消費端提供連網服務,另一個是針對企業端提供主機代管、線上金流、遊戲點數代銷以及資訊安全服務,主要客戶為中小型電子商務與線上遊戲新創公司,台灣So-net既要保護連網客戶的個人資料,同時又要維持系統穩定與可用,才能同時滿足這兩種業務的資安需求。
資安管理
台灣So-net藉由資安認證建立企業客戶的信心,同時在產品開發階段就納入資安評估,降低線上服務的資安風險。
通過資安雙認證:2007年因為跨足網路信用卡交易業務,導入PCI DSS認證,2008年成立專職資安團隊後,發現Sony集團與台灣So-net自訂的資料保護規範,與ISMS有許多相似之處,只差一個推動、落實的人,因此以自學方式建置資訊管理系統,於2010年通過驗證。
產品安全:建立資安、產品與開發三個部門間的共識,在規劃新服務之前,資安部門即須介入了解可能的資安風險,例如:這項服務會使用哪些資料、介接哪些後台系統,並提出安全建議方案,當進入服務開發階段,則要在系統分析上增列安全機制之要求,最後系統完成整合測試時,需交由資安部門進行資安測試,通過後始可上線,上線後則是持續進行資安監控及弱點排除作業。
資料庫安全
ADSL連線客戶的資料,為台灣So-net最機密的資產,透過不同資安工具與存取原則限制,來確保用戶之個資安全。
資料存取原則:針對必須定期產出的報表,事先寫好程式由系統自動產出,至於業務員若有特殊需求,則須填寫申請書,載明使用目的及資料類型,經過審核才可取得資料。
資安工具:導入特定通道認證、獨立防火牆等機制,並建置資料庫監控系統,以監控應用程式端存取資料庫內容之稽核紀錄,並設定安全規則發出即時告警。
前述提及,台灣So-net自行導入ISMS的成功經驗,吸引合作廠商與企業客戶的注意,紛紛提出經驗分享的要求。由於台灣目前取得ISO 27001認證的企業,多為金融、政府、及醫療業,這與So-net客戶族群不同,在資安人員主動建議下,將ISMS顧問服務推展為So-net企業服務的重要一環,這也說明了資安績效不單單只是「零攻擊」而已。
台灣So-net執行長石井隆一,用國際標準PCI DSS與ISMS,為資訊安全加強把關。
1. 資安團隊:2名專職人員
|
2. 服務範圍:約130位使用者、100台伺服器主機、200台電腦
|
3. 資安驗證:2007年取得PCI-DSS驗證,2010年取得ISO 27001驗證,驗證範圍:帳務系統、遊戲點數中心、行動小額付款服務、主機代管服務之開發與維運
|
4. 主要特色:
(1) 雙認證(ISMS & PCI-DSS)通過
(2) 自學建置ISMS
(3) 嚴格管控業務風險,產品部門在規劃新產品或服務前,資安部門必須介入了解可能的資安風險,並提出相關建議
(4) 資安為公司創造營收:以自身取得ISMS經驗,輔導合作廠商通過ISO 27001認證
|