台灣證券集中保管公司(以下簡稱集保)為行政院金融監督管理委員會證券期貨局(金管會)轄屬單位,在管理單位的高度管理下,早在行政院研考會在推動政府各級單位的資訊安全政策前,領先一步導入BS7799,並在2004年8月順利獲得認證,範圍涵蓋證券存託系統、期貨結算系統及庫存系統,並預定在今年底以前,所有列管系統不分級數全拿下ISO17799的驗證。
乾淨文化 管理標準輕鬆做
集保中心的資料攸關國內外交易市場資料,雖是屬於資料處理的後台,但不代表可以比較懈怠或心存重要性低一層級的觀念。資訊規劃部經理蔡正裕在證券期貨市場的年資相當資深,他一直熱愛身處的工作環境,這裡的主管普遍在專業素養上有很多值得學習的地方,操守上的自我要求更是超高水準,與他們一起共事非但與有榮焉,看待自己的職務更是以一名令人尊敬的公務員自豪。從主管單位到集保每一位成員,一直以高標準檢覈自身工作的安全性,自然形成公司一項文化。他們成立迄今剛好滿15週歲,從營業的第一天起,主管機關就對企業整體的管理情形持續、密切地關注,促成總體營運結構推砌得相當完整。舉例來說,不論外部新聞傳來資安事件、公司內部面臨資訊威脅或公司營運上有較大的變更時,能夠機動性地審視資訊政策計畫是否符合公司現況,有沒有需要調整的地方。
機密性、可用性與完整性一直以來就是全公司員工最基本的業務原則。和一般公家單位相比,他們的資訊安全概念早不再侷限資訊部門,而貫徹在每一位員工的工作行為。由於公司基礎紮得夠深,蔡正裕決定在年底前,要讓公司內部列管的資料系統,不分大小一口氣通過BSi驗證,原因很簡單,安全沒有大小之分,就跟呼吸一樣重要,既然如此就不該大小眼,該讓所有系統都經過安全標準檢驗。蔡經理的動作透露出集保人對執行公司政策高度自我要求的特質,該公司長久以來的文化素養,造就公司在推行新的資訊安全政策時,困難度比其他公司低。
光是說企業文化或許太籠統,更明確來說,資訊安全政策能夠在集保內部順利推行,有賴於主管始終將資安擺放公司營運的基石,不但從中建立職得信賴的優質企業形象,工作績效也在安全的背書之下突顯出其價值。經過一段日子洗鍊,資安自然融為公司骨幹之一,裡裡外外從門禁,辦公室標語,文件變更都須經主管簽核等來看,看到公司對員工的基本要求,但要求對執行仍存在「落實」的差距,如何縮短差距呢?最有效的方式就是藉助一套嚴密的稽核制度鞭策員工。蔡正裕表示,公司在人事考核上,區分甲、乙、丙、丁四級,每年固定必須資遣評定丁級人員;部門的考核上,也有直屬總經理管轄的內查室,每次針對不同重點對各單位進行考核,考核次數非常頻繁,舉資訊規劃部門來說,去年進行的考核次數就高達50多次,相當於每星期就進行一次。和其他主管機關比較,足足多了至少五倍。由此可知他們對員工執行公司政策的情形非常關心,除了內部查核,每半年還聘請顧問公司進行更專業的外部稽核,4名稽核人員費時2星期進行縝密地檢查,結果出爐,去年評定成績95分,今年特別將使用核心系統資料的部門(業務部、管理部、財務部)同樣納為稽核名單之一後,成績依舊相當不俗,三大系統資料的安全性評估,分數高達96、97、99分。考核工作對她們來說幾乎是家常便飯,成績都在95分以上的水準,95分似乎成為最低的基本標準。雖然數字不能代表一切,但就評估企業價值上,具相當程度參考意義,它突顯員工對公司發布的每一事項「當一回事」的好習慣,在集保似乎看不到中國人壞習慣「差不多先生」的影子。
自我管理 做什麼!像什麼!
集保目前存有全台灣7530多萬張有價證券,1264萬戶頭,連線系統高達1462家,期貨市場有107萬有效開戶,50家連線系統。這樣龐雜地資料要有如何進行更安全有效地管理呢?集保也不是每一件事在開始就能完美演出,目前有條不紊的管理規範,也是在一點一滴的經驗值中累積。舉例來說,過去他們針對緊急應變計畫沒有先見之明,以至於九十年間,納莉颱風帶來的豐沛雨量,使得南港地區轉眼間已經一片水鄉澤國,波及中華電信機房,造成網路無法連線,為此集保的工程人員連夜進行補救工作,這次的經驗讓他們對異地備原重要性有了刻骨銘心的體會。不久在主管機關提出擬定災後復元計畫的要求時,積極地投入異地備原機制。簡單來說,資訊部門資料要在不同位址的單位進行檔案備份,而且達到備份資料不在資訊部門依舊可以照常運作,舉例,資訊部門與機房相互備原,假若資訊部人員因為SARS送往醫院緊急隔離,機房人員必須能夠單獨操控資訊部門自行研發的各項工具,其他部門同樣也要達到這樣的標準。這項備原計畫是90年證券期貨市場強制必備的機制,並在每半年進行一次檢測。蔡正裕帶著微笑表示,他們就曾經針對證券存託系統進行測試,測試結果非常令人滿意,不到40分鐘,所有資訊就能順利作業,並且沒有任何錯誤產生,執行效率遠遠高過國際標準的4小時。
通過BS7799驗證後,他們注意到美國911恐怖攻擊事件與宏碁東帝士大火都在短時間內快速地回覆原有運行機制,使得他們目前更積極地規劃公司的BCM(營運持續管理)計畫。他們把資訊安全視為追求績效基礎,安全工作的建設不用主管單位要求,自動就會為企業的資安環境進行點、線、面的掃描,如思考作業流程上要如何再提升,設備哪部分需要再添購,並參訪其他企業硬體建置情況,規劃更理想的作業環境。另一突顯企業執行力的例子來說,最近政府決定由集保統籌規劃境外基金系統的架設,這套複雜管理系統,他們只花三個月就完成了,他們強大的執行能力令人訝異。可見企業文化對員工影響的深遠,除了執行能力強,任何動作都以加乘公司業務績效做為考慮前提,思考層次不再限制個人工作上發展,提升為以企業營運需求做為考量基準,提出各種強化方案。
嚴密的公司結構下,當公司決定導入BS7799時,員工對公司提出的業務要求沒有二話。集保這項固有的文化,加上1999年就已經通過ISO9001管理品質驗證,系統與流程管理已經建立穩定基礎的情況下,要針對資訊安全管理項目取得證書比較輕鬆。強勢的公司政策底下,每一位員工配合度都很高,年初在BSi舉行的頒獎儀式中,特別認同集保是最佳經營夥伴,他們非常訝異公司上上下下對資訊安全的推展能夠做到全民運動。相較於其他公司,關心的人員可能僅限於導入單位,其他單位的關心程度相對比較低,例如其他單位在接受課程指導時,參加人數零零落落,反觀集保,各單位報名人數不但非常踴躍,舉例來說,通過BS7799的時候,就有22名員工獲得指導稽核員的考試,現在更擴增為30人。其中有半數不是資訊部門,另外半數人員來自企劃、財務、業務等部門。雖然公司在教育訓練必須擔負的成本並不便宜,公司卻編列這樣的預算,同時鼓勵其他部門員工增長個人專業以外的知識,從集保去年一年花在教育訓練的總時數來看高達200小時,這樣驚人的數字,相信對公司的績效帶來顯著的效益。
環境魅力 吸引理念相近員工
由於每年必須資遣一定人數的員工,相對的,每年也必須招聘新進員工。關於這部份,為了公正性,資訊規劃處今年委託台大資工系教授進行審核。在員工背景上,不得不承認很難單憑幾張簡單文件判別應徵人員的操守。不過單就這一點他並不擔心,蔡正裕相信,公司提供完善的學習機會、單純的工作環境以及合理的員工福利,足以吸引豐沛的人才參加招募。例如有機會與國外夥伴共同系統開發工作,也有很多機會參訪國內外系統的架設情形,有非常豐富的學習機會,對於許多學習上極具表現企圖的資訊人員來說,非常具有吸引力。事實也正如同他所說,新進員工的競爭相當激烈,從中篩選出來的工作夥伴,在工作上處理問題成熟,同時專業能力更是扎實,這些大多已有相關背景經歷的員工在面對公司嚴格的資訊政策,不但認同,適應上也沒有太大的問題。
至於員工的操守上,他也不太擔心。最主要原因在集保員工對於公司政策的遵守相當確實,不能適應的很自然就會離開,這種規矩、乾淨的企業文化來自歷任所長、董事長、高級主管等個個恪守公司規範,員工長期的耳濡目染下,也以清廉的公務員自詡。他相信每位員工都很愛惜羽毛,舉例來說,以他一輩子待在公營事業,他可以很自豪的說,這三十多載的職場生涯清清白白,沒有對不起人民的一毛錢,他相信這種文化會漸進式地影響每一位員工對公司的忠誠度。每一個人除了在工作上自我要求、極力爭取表現機會,安安分分地完成範圍內的工作,再者,內部職務分層非常清楚,就拿資訊設備添購來說,當他提報需要添購的設備時,業務人員會依照他的需求,在經費範圍內,洽談採買事宜,完全不需要和廠商洽談任何價錢事宜。他舉最近資訊部添購的設備來說,廠商無法符合簽訂條文明定的規格,他就不會簽收,廠商就得乖乖依約付賠償金。
結語
集保這次的成功經驗中發現,一個成功企業除了領導階級健康的觀念並輔以有效率的管理方案,整體公司的生命力還是來自員工。他們願意將公司總體的營運利益放在個人思考中心之前,工作時,時時意識自己是證券集中保管公司的一份子。如此等級的員工素養並非一天就可以建立,有賴於主管帶頭示範,對於員工公務執勤上才能立下最佳學習典範。