觀點

主管機關除了要求、還需引導

2014 / 12 / 01
編輯部
主管機關除了要求、還需引導
    站在登機口的一隅,一眼就看到一位過往一起工作過的同事V。幾年不見,對方現在已經是國內某家銀行香港分行的主管。在這樣的場合碰面,大家總是覺得想要聊的議題太多,也因為這樣的機緣,除了在海外換來一頓米其林主廚的港式點心,更對國外的資訊環境有了更深一層的瞭解。

     對V而言,來到不同的地區,除了語言上的差距外,對於資安的議題,有著完全不同的想法。不管在國內國外,金融業本身就是對資訊安全高度敏感及重事的行業,尤其是網路銀行的興起以及行動支付的盛行,主管機關對於資安的要求相對提高。他說剛到香港的時候,面對主管機關的問卷根本不知道如何回答。無法作答的原因,並不是在於平常有沒有做,而是香港主管機關考量的都是風險,除了技術面的,連業務上的風險都必須考量進去。

     舉個例子來說,如果機房要搬遷,可能對於我們來說,就是要搬那些機器設備,那些人員需要參與,或是什麼時間要搬。到了香港,主管機關在意的,從你機房地點的選擇就列入考量的範圍,甚至於搬運公司,在搬遷的過程有沒有採取適當的保護措施,以避免機器於搬遷時受到損害都要列入考量,如果有機器設備需要合併的,包括機器合併的測試計劃,或是合併之後如果失敗的復原計劃,都是整體考量的一個環節。甚至於你在網路上有沒有適當的教育使用者,如何避免上到錯誤的網站。這些可能在台灣運作時,都只是某次會議中的一個議題,很多時候連會議記錄上都不會有。但是在香港這樣的做法是完全不可行,測試要有測試計畫及記錄,還要確認這些計劃和記錄是彼此有關連性的。從頭到尾每一個環節都要清清楚楚,還要找獨立第三方確認所有的項目都符合主管機關的要求,才能有後續的動作。

    沒想到逐漸適應當地主管機關的要求,接下來居然有阻力的是公司內部,高階主管的第一句話就是,為什麼要做這個東西,我們在台灣都沒有做,主管機管也沒有要求,那為什麼那邊的主管機關就會要求做這些?其他的同業是不是都有做? 如果不做會怎麼樣?還是我們拿現成的文件取代就好? 明明你是分行,為什麼資訊作業由我代管,還要對我進行查核,那要不然在香港自己找人做就好了,但這些成本要由你們負擔。內部溝通不知說了多少次當地的主管機關就是這樣要求,還在那邊想有沒有其他的旁門走道可以走。反正簡單的一句話,就是要少花錢,至於是不是會有資安的風險,反正到時候碰到再說。

    這樣的環境,對於一位資安從業來說,是有壓力的,但是也是讓人羨慕的,當資安的議題,是多方真正關注的焦點,能防範或解決問題的,而不是沉溺於有沒有簽名,或是文件有沒有用那幾個字,有沒有辦法臨時產生一些查核所要的結果。這樣的環境,是需要大多數的人一起去創造的,我期待這樣的日子能夠早點到來,也惟有整個環境成熟了,這些平日辛苦的資安人員,才會有真正被重視的一天。