部門成立源起
江韶文認為:資訊安全部門要做的就是不斷提升公司的資安水準。 |
江韶文提到,電子商務是大勢所趨,未來保戶有可能透過網路就能完成保險合約的交易,因此如何保證線上交易的安全性,以取得客戶的信任格外重要。「唯有得到保戶的信任,和他們的關係才能維持地久遠」,江韶文說到。
再加上,當時ING集團總公司正在推行一項ISAP(Information Security awareness program)計劃,台灣部份也需要有部門人員來推動。基於這兩點考量:先建立公司的資訊安全環境,進而為將來的電子商務做好準備,於是台灣ING安泰成立了資訊安全部門,專職有關資訊安全的相關事宜。
部門角色的定位 不過,國外總公司並沒有同樣的部門專職推行資安工作,而一般企業相同的部門組織也不多見,在沒有案例可參考下,成立當初,江韶文花了許多時間思考部門的角色定位,因為惟有先將扮演的角色確立,才能陸續去規劃組織的架構、工作推行的模式。
一般提到資訊安全工作,大部份企業會將之歸為資訊部門的責任;或是將此列為稽核部門的稽查工作之一。江韶文指出,資訊部門多從技術面思考問題,然而有些時候資安問題並非來自於技術面;而一般員工對稽核部門容易採取較防衛的態度,若由稽核來推行資安工作,可能無法和使用者有太密切的互動。
因此資訊安全室的角色定位在具有技術面的思考,也同時兼顧管理面的思維,且完全專注在資訊安全的相關工作上。除了和員工有直接和密切的互動,和資訊部門及稽核部門也維持良好的合作關係。資安工作的推行,讓員工在使用電腦時,對於如密碼管理等工作做得更確實,針對紙類文件的管理也更留心,員工養成這些資安觀念、習慣,都會對資訊部門和稽核部門本身的工作有所幫助。
資安工作的推行 公司要建立一個縝密的資訊安全環境,相關的軟硬體設備必不可少。江韶文提到,ING安泰一開始做資訊安全工作也花了一筆經費建置相關設備,這些硬體設備若後續都能做好管理,其實發生問題的機率不大,許多資安的問題反而可能是由內部的員工所造成。
「資訊安全是每一個人的責任」,江韶文強調,「只要是接觸資訊資產的員工,就有責任要保護自己所管理的資訊資產,而資訊安全室要做的就是去告知及協助員工如何去做。」資訊資產並非單指電腦內所儲存的文件資料,有時員工隨手記的便條,或是任意擱在桌上的紙張、磁片,裡面可能都包含有極為重要的公司機密;這些小地方反而容易被忽略,成為資訊安全的漏洞。
要將這些觀念推廣甚至落實在每個員工的工作習慣中並不容易,因此江韶文請每個部門主管推舉出一位推行委員,資訊安全室灌輸每位委員觀念及如何去執行,例如,如何設定螢幕保護程式的密碼,才不會在離開座位時,電腦被他人所使用;在紙張資料使用方面,也必需養成隨手收納好的習慣,以免被他人無心看見。推行委員再將這些觀念、做法再傳遞給部門的主管及同事。
江韶文表示,在不希望增加各部門額外工作負擔的考量下,於是採取循序漸進的方式去推動,讓這些隨手注意的小動作成為員工的工作習慣,讓資安工作更為落實。
擴大資安工作的層面「不斷提升公司的資訊安全水準是資訊安全室所努力的目標」,江韶文說到。最初實行的ISAP計劃,將成為例行的工作計劃,一年一年地持續推動下去。
因為這一年來的資安工作推行極有成效,因此公司也決定讓資訊安全室負責有關內部控制的工作。ISMS(Information Security Manager System)計劃、BCP(Business Contingency Planning)計劃,也已陸續推動、實施中,成為部門目前的三大工作架構,將資訊安全由推廣逐步落實至管理中;再應用至商業經營層面,去擬定及建立公司的危機處理機制。
除了將部門管理的運作層面擴大,江韶文正著手規劃的是,如何將資安觀念帶給ING安泰2萬多名的外勤人員。這個人數相當於內勤人員的十倍多,是個更大的工程和考驗。
「資訊安全必需時時留意,一刻也不能鬆懈,因為一鬆懈,可能就會出現安全漏洞了」,江韶文說到。不斷地提升公司資訊安全的水準,動員公司全體來做資訊安全工作,資訊安全室將朝這個目標不斷前進。