https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

從高層就重資安 租賃業的龍頭中租迪和

2012 / 06 / 06
吳依恂
從高層就重資安 租賃業的龍頭中租迪和

中租迪和(以下簡稱中租)的客戶族群主要是中小企業,營業主要項目為租賃、分期付款、應收帳款收買…等融資性業務。所以更需要了解到客戶的財務、交易對象等重要訊息,對中租來說,客戶就是他們最重要的資產,保護客戶資料就是保護資產。融資租賃產業可以算是金融業的一環,就像是銀行的放款部門一樣,但在資訊發展中有不同的走向,例如銀行必須要面臨到一般大眾存款及理財的要求。

系統權限控管 紙本也不輕忽

「從事融資性租貸的業務,為了要評估分析客戶的還款能力,因此需要深入了解客戶的產、銷、人、發、財狀況,藉由客戶提供的資料是必經的途徑之一,所以對於這些收集的資料都必須做出具體的保護。」李榮燾說。

業務、審查、客服、法務,簡稱業、審、客、法,是中租在第一線的業務團隊,也就是會接觸到客戶的團隊,整個業務流程,從業務前端的訪談到後端案件管理,過程中均需使用公司內部的「業務EIP」系統,包括業務人員開始去拜訪了解一個客戶,進行資料的收集,然後審查人員再根據各項資料以及其專業產業知識,從該企業的生產、銷售、人事、發展、財務各方面來分析客戶的營運狀況。

從2000年開始,中租就逐步增加EIP企業內部網站的功能,包括業務、客服、審查、法務催收、知識管理教育學習(E學苑)。其中,最具特色的系統之一就是知識管理系統(KM, Knowledge Management),裡面不僅有各行各業的產業知識,同仁們處理各種問題的經驗與心得也都在這個系統內被分享。

就租賃行業而言,對各產業知識的掌握是非常重要的,中租除了向外部購買產業資料庫、商情網資料等以外,為了要更即時與確實掌握各產業的動態變化狀況,內部知識的收集與內化就顯得相當重要,尤其是一些特殊行業的情報,非一般產業資料庫所能提供。有了豐富的資料庫,就需要防止資料不當外洩,因此資料的讀取與傳輸權限管理必須是非常嚴謹的,除非是業務當事人的需求,否則並不能輕易去看他人業務範圍的東西,這之中包括了客戶提供的所有資料,例如:營運資料、各式證照、公司的發展沿革、保證人所有的相關資料、財務報表、進銷貨對象…等徵信資料。即使是直屬主管也是業務相關才可看相關資料,只要業務無相關,就無法查看客戶資料,李榮燾笑著說,就算是資訊長也要經過申請,經授權之後才能查看。這些權限的變動也有一定的時間和程序,按照組織變動的狀況或特殊情形來進行調整。

以上主要是針對資訊系統的管控進行說明,而以中租的業務情形來看,實體文件也在作業過程中傳遞,李榮燾說:對實體文件的留存他們也相當重視,不僅是單位主管隨時留心注意,包括稽核也會經常的抽檢以利管控,甚至會去影印機旁檢查,看是否有文件被影印完就被疏忽扔置。由於該產業的特殊性,僅有少量通用型系統外購或委外開發。目前中租的資訊單位分為負責系統開發的應用系統發展部和負責資訊環境建置維運的系統管理部。在推動資安工作時,曹永兩分享他的經驗,目前比較多的挑戰是在於外部網路的管理,像是有些危險的網站中租就會禁止進去,當同仁去點擊時立刻會出現一個提醒畫面,此外也會針對流量控管並監測郵件是否有異常,有異常時會透過單位主管跟同仁詢問了解狀況,再加以處置。而公司除了限制一些P2P軟體的使用之外,也會觀察同仁的上網行為,從報表當中歸類出網站類型,經過評估與呈報之後,才形成政策,推動政策時會先進行公告與宣導再嚴格執行。有時不小心踩線也不會受罰,會利用機會先給予教育。李榮燾補充,「原則禁止、例外管制」。中租的原則上是先管制再開放,若真有需求,經過確認後也會給予適度開放

左起:中租迪和風控長兼資訊長李榮燾、資訊部系統管理部協理翁裕庭、資訊部資深經理曹永兩。儘管中租的主管可以看客戶資料,但只要業務無相關,就無法查看,即使是資訊長也要經過申請,經授權之後才有權查看。

有心做資安 從規劃到落實 從高層到全員

除了行業的特性外,中租的高層具有高度資安意識,更增強了該公司對客戶資料安全的重視。2008年,中租迪和開始進行為期兩年,名為「Financial 1」的資訊安全計畫。 當時,體認到資訊應用在企業內運用漸深,有必要對其潛在風險進行控管,在董事長與董事會的支持下,董事會轄下的經營管理委員會(以下簡稱經管會),擬定了一個資安推動計畫,並且由稽核部來推動。

該專案的推動,中租迪和執行副總暨風控長兼資訊長李榮燾認為,高層的支持佔很大的成功因素。若沒有高階主管的支持,專案小組有需要各單位配合執行任務時,也許不是那麼容易。而一旦有了高層的支持,大家較容易聚焦於相同的目標上,資源投入也將更為有效,易於共同努力促使達成預定成果。李榮燾說,專案初期先針對各部級主管與各單位資安窗口進行教育訓練,邀請來自國安局的外部專家進行資安課程,進一步了解危機管理的準則及方案。同時,也取得研考會的資安數位課程授權,將之放到企業內部的學習網站,除了規範每個單位都要集中上課外,也須通過考試,以深化每位同仁的資安觀念。

一直以來,高層都非常重視資安,因此中租已長期注重資安的推動,只是過去較屬片斷性,而這個專案促使資安更全面性的執行。中租迪和系統管理部資深經理曹永兩表示,中租迪和從很早之前就開始接觸資安工作推動,2004年國內剛開始推動國際安全證照BS7799,當時中租迪和就派員參加受訓、考試,在那時國際安全證照的通過還不普及,政府才剛開始要求一級民生事業單位必須要通過驗證。

經驗分享:
1.資訊長若真的要求業務單位做什麼事情,也許並不是那麼容易推動,但一旦有高層的支持,需要溝通的時候就可以請求幫忙出面協調。
2.只要業務無相關就無法查看客戶資料,即使是高層長官也要經過申請,經授權之後才能查看。這些權限的變動也有一定的時程,按照組織變動的狀況來進行調整。
3.光會做電腦稽核還不夠,也要求電腦稽核人員對一般營運狀態了解,針對重點來做稽查,才能確保安全管理措施真正執行,執行的深入度、審慎度才是精華。
4.如全名、身分證字號等個資機敏資料,採用資訊遮罩的方式來保護客戶,降低個資外洩風險。

 

「Financial 1資安推動專案」落實多年資安計畫

當時,中租迪和也依照行政院版的資通安全作業要點,依照BS7799的綱目進行改版,以擬定企業內部的資安政策,包括權責的分工等調整,並且成立企業內部的資訊發展委員會,成員皆為各單位的高階主管,主席由董事長擔任,資訊政策及重要的相關業務都要向董事長呈報,經由董事長審視,而資安的治理又在資訊發展委員會之下,亦為公司資訊發展方針之一,受到高層的極力重視。

這都是屬於較早期的規劃,曹永兩說,後來上層主管更要求進一步的研究規劃作業,而2008年的「Financial 1資安推動專案」正是一個全面性落實的開端。這個公司自發性的專案,包括資料資產管理、資安政策擬定、委外管理、網路及設備安全、存取控制等。董事長不僅定期召開會議討論,公關也都要配合到各公司去進行宣導。當時,稽核單位也成立了專責單位,由專門的電腦稽核人員,協助推動資安工作,此外,稽核部門是直屬於董事會轄下的單位,更增加了所有單位全力配合的動力,當時擔任總稽核的李榮燾說,電腦稽核人員除了要有資訊方面的專業及電腦稽核的技術外,也被要求要了解一般營運作業,以使資安作業能合理的設計、容易讓同仁們體會其重要性與執行原理,方能增進執行的深入度。

提及當時高層對資安的重視,李榮燾說,這是因為辜董事長及陳鳳龍董事長很早就站在第一線引導中租資訊化的推動,因此深刻了解「水能載舟亦能覆舟」的道理,尤其網路的興起後,他們更是時時強調要注意網路安全。網路的普遍運用,使從前實體文件的傳遞,後來演變到電子化,業務營運在很多方面必須透過資訊科技來協助同仁。隨著網路應用日深,經常必須要透過網際網路蒐集資料,系統的涉外程度越來越高,不管是中毒還是電腦被植入木馬等的風險也就開始升高,應當要做更好的管理。要降低風險,無法僅是限制大家使用網路,而是要更有方法的採取措施,維護安全。

配合「Financial 1資安專案」的推動,當時除了重新整修出中租的資訊管理規章,為了增進成效,更開啟了內部網站之員工「資安論壇」,同時也向研考會取得資安數位課程授權及課程光碟片,讓員工得以在網上獲得完整的資安訊息,並且也在子公司進行資安的推動項目及時程確認,為了讓活動更深入同仁,稽核部在資安論壇當中也發起了為期一個月的「叫你第一名」活動。當時的辜仲立董事長還在資安論壇上分享自己看到的資安新聞故事,提醒同仁「保守工作機密是職業道德」,無論擔任職位為何,都可能接觸到公司內部資料,由於攸關營運,洩密者不但有道德疑慮,亦有法律責任,他更提醒大家要確守紀律維持資訊安全。此外維繫「持續營運」也是資安專案的範圍之一,因此當時,也進行了危機管理演練也就是「避難逃生」的模擬演練。

「Financial 1」專案開啟的資安論壇上,有當時的中租控股董事長辜仲立與全體同仁分享資安新聞與觀念的文章。


個資法專人研究因應 審慎以待

個資法的通過對各產業都有不小的影響,在政府進一步的實行細則出來之前,曹永兩提及,中租對於個人資料保護法的因應,除了既有的保護措施外,目前法務和相關部門也都正在研商。李榮燾說,儘管個人資料在中租的資料當中並不算多,但可能還是會有一些個人資料隱含在內,像是保證人的資料等,除了採用權限管理的方式,限制業務無關者無法接觸到資料外,目前也已逐步運用資訊遮罩的方式處理,使資料外洩的機率更為下降,整體而言,中租會從客戶角度來思考應該怎麼保護資料,並且配合外部法規,進行各種防範措施。

李榮燾說,中租對於個人資料的第一層把關,就是透過對每個人的權限管理,使每個人可以接觸的資料受到有效的限制。第二層,就是再增加一些必要的措施,讓資料會外露的可能性下降到最低。

在「Financial 1資安推動專案」執行中,到2010年為止,大部分都已經告一段落,算是一個階段性的完成,李榮燾說,有很多措施仍將隨著內外部環境的改變進行改善,未來如果還有需要再進行一次大的調整,也不排除再形成專案來做。總結的來說,資訊安全的維護的成功應是植基於「善於運用新舊技術、但應有效考量成本效益、輔以有決心的執行」,其中尤以有決心的執行最重要。

 

中租迪和小檔案

負責人  陳鳳龍
成立時間 1977年
資本額 新台幣82億元
員工人數 740人
IT人力 41
主要業務 1.租賃:融物代替融資。購買機器設備後,再轉租與承租人。凡具有折舊性的固定資產,無論國內採購或國外進口,均可作為租賃標的物。
2.分期付款:解決客戶預算限制的另一種財務規劃,代分期客戶購買所需的原物料。