台灣票據交換所通過ISO 27001資安認證 提昇業務競爭力 內部溝通無障礙

資安認證取得
擁有近五十年歷史的台灣票據交換所於6月正式取得ISO 27001資安認證，成為全台少數幾個以全公司為認證範圍並通過的公司之一。

走進位於南海路上老式建築物內的票據交換所，裡面正進行一場記者會，記者會中並非為了宣傳新業務，而是擁有近五十年歷史的台灣票據交換所於6月正式取得ISO 27001資安認證，成為全台少數幾個以全公司為認證範圍並通過的公司之一。

台灣票據交換所主任委員白輝雄表示，票交所並不是在主管機關強迫，或是法令強制規範下而「必須」取得資安認證的單位。「票交所希望透過一套更嚴謹的資安規範，讓從1989年就開始實行的標準作業規範(SOP)，能有更完善的準則以供遵行。」



客戶安心 我們放心
「在退票尚未電子化前，整個票交所外面的交易大廳滿滿的交易員忙著打電話，尤其是下午交易時間，票交所週遭摩托車停車位更是一位難求，但是這樣的情景隨著電子化後已經看不到了！」台灣票據交換所主任委員白輝雄爽朗的笑著說。

民國74年7月1日，台北市信用合作社票據交換所及台北縣票據交換所因實施票據交換電腦化作業，奉命裁撤併入台北市票據交換所。76年7月1日，因應「全國性拒絕往來戶及退票資料庫」之建置，為爭取票信資料作業時效，新竹市等六個信用合作社票據交換所奉命裁撤，業務併入當地票據交換所。台灣地區信用合作社票據交換所從此走入歷史。由此看出，票據交換所很早就依賴大量資訊系統提供相關資訊服務。

目前的票據交換所的業務包含有八大項，包含實體票據提示交換、退票交換與結算；電子票據集中登錄保管及提示交換、退票交換與結算；退票票據、掛失止付通知書及撤銷付款委託申請書等資料建檔；支票存款戶開戶基本資料建檔；票據信用資料維護與管理；票據信用資料查詢服務；媒體交換自動轉帳業務；金融業者託收票據處理業務等。票據交換所的業務屬金融週邊服務性質，所以主動去做是要讓金融業對票交所的處理能力能放心，「導入ISO27001驗證係考量對外具有競爭力，加強同仁資安意識、對內安全及作業可被公正第三者所認證肯定。」白輝雄強調。

票據交換所資訊室主任林占山補充，取得驗證的另一個目的在於加強同仁信心、藉資安輔導提昇同仁對資訊標準之認識以促進部門間之溝通、並提昇資安之素質。



高層領軍 上行下效
目前票交所全所約320人，總所約(不含桃園新竹宜蘭)120人，而資訊設備全所PC約300台、server約十餘部，資訊人員有53人(總所43人)，資安人員43人。如何決定總所全員導入，林占山認為，如果只做資訊部門，跟其他部門的溝通會有問題，所以將大家通通拉進來，能在溝通上無障礙。

要做好資訊安全的第一步，就是要先辨別核心資產，林占山表示，票交所的關鍵系統包括有MICR票據交換系統、退票交換系統、票信資料系統、票信查詢系統、媒體交換(代收代付業務，ACH)系統、電子票據系統及託收票據系統。因此核心資產可歸整為四大類，票信(退票資料建檔、票信查詢)、交換(退票交換、票據交換)、ACH(媒體交換，代收代付-水電費等)及電子票據。而其風險程度定義則由資安小組開會討論，根據業務衝擊分析(Business Impact Analysis)針對關鍵系統風險評鑑(Risk Analysis)。林占山解釋，如資料處理不當會不會有訴訟的風險、違反個資法、會不會損及民眾利益等，再做風險分級。

資安小組的成立，林占山說明，「在主委的大力支持下，由總幹事擔任專案負責人，以宣示管理階層的決心。」先挑選具有BS7799認證的同仁進行專案的準備工作；再由各科選派同仁參與各個工作小組，並分成風險、文件、訓練/規劃、資安事件處理及稽核等四個小組。參與同仁包含各處室科約30人為小組成員。

計畫開始導入，主要以作業流程為主軸，從組織、文件、資訊資產依風險觀點，藉教育訓練及各部門相互討論的過程，融於日常作業中達成。林占山補充，也由於首長很早就對各項作業要求編撰業務手冊，詳細作業流程與注意事項，所以在導入過程中尚稱順利，林占山認為，「最大的成功關鍵就在於最高主管之大力支持。」



合縱連橫 溝通無礙
導入過程中最困難的部份在各部門的協調，」林占山指出。在推動業務時，通常業務需求面與資訊的看法會不一致，因為資訊有一定的流程及標準在，兩方會因角度不同而有不同的看法，利用這個機會，透過顧問公司的輔導，將觀念介紹給所有人員，讓業務單位能了解當初資訊單位為何要求這樣的標準，也可以讓資訊單位了解這樣的作法會不會太本位主義，再透過顧問公司協助，聽取專業的建議再互相溝通了解，一起調整。所以顧問公司所扮演的角色不僅是中間的橋樑也是輔導訓練的機構。

白輝雄補充，過程中最難的還有提昇大家的資訊安全意識。因為要不斷花時間，並且在實務的過程中做溝通，要讓大家都有概念並且能被接受，讓各部門間不會有誤會，也讓全體員工都了解在整體面向都考量下的結果。由於同仁的團結合作，再藉由加強資安意識與教育訓練，在長官的支持與資源的投入下，不定期會舉辦各種活動，包括資安政策聲明及精神標語，集思廣益票選活動等，讓同仁有參與感。

平時安排資安宣導及定期教育訓練，藉由工作程序管理及加強稽核，作業中鼓勵對角色立場之互相體諒，加強溝通與協調，以達成目標。在平常作業流程中間，加強資安觀念的宣導，漸進改變同仁觀念，資安推展不只保護組織同時也保護個人。除此之外，每半年都會有複評，內部稽核部門都會每天審核，針對每一項業務會抽查一定比例，並透過報表管理。組織內部另成立一資安稽核小組，各處室都推出一位代表，尤其稽核室代表也在其中，可代為和其他部門溝通及協調。

除此外，每個月同仁還會做辦公室環境安全的評分，由主委領軍，每個處室派出一位代表共五位，固定會巡視檢查，針對如電腦設備安全、櫃子是否上鎖等做檢查並打分數，白輝雄笑著表示，「可以說是員工自制，讓員工自己去參與，在參與的過程中讓大家認知到安全的重要性，不再只是主管的要求。」

除了橫向跨部門的溝通外，縱向的向上溝通，林占山認為，「主委的前瞻性夠、觀念夠新，資訊部門不需要花太多時和主委溝通，通常只要輕輕點出問題，主委就會了解。」白輝雄開玩笑的表示，「經常會有人來洗腦。」進一步解釋，常常會有相關業務的廠商來拜訪，所以對於資訊科技的觀念不見得會比IT部門差，林占山說道，不但如此，其實很多業務都是由主委來發動的。通常只要有人提出意見，主委便會詢問IT部門的意見，或詢問一下銀行朋友的意見，如果可行，就開始執行。只要有時間，便會在公司到處走動，這樣做的用意在於，當遇到問題時就可和大家討論，也可隨時了解組織內的狀況。



全方位演練計畫
除了日常的流程外，更重要的是為了確保資訊安全事宜，在安全及緊急事件處理的要求相對也高，災難復原演練及備援機制的建立也是ISMS中很重要的一環，林占山表示，票交所在早期就有這方面的概念，尤其911發生前就覺得應該要做異地備援的機制，很巧合的是在快完成時，911發生，因此腳步是較其他單位要提前的。目前除了主系統的備援機制外，其他系統也相繼在做。

從911之後，全世界對於BCP（營運不中斷）都很重視，中央銀行也非常重視這一層，經常性的會在會議上提出，因此票交所將持續加強異地備援的機制。並定期實施災難備援的演練。林占山表示，演練的頻率通常會依不同的系統有不同的規畫，例如，業務營運影響較大每個月至少會演練一次，其他穩定性較好，對業務營運影響較小的至少半年會做一次，同時關鍵系統會要求回復時間，在評估後，規定須於四小時內回復完成。且演練主導單位也依業務不同，而有所分別，但參加人員則規定只要業務相關就必須含括進來。年初都會排定演練計畫。從發動到聯繫，一直到備援機制啟動等，一連串的作業流程都會進行演練。

白輝雄補充，以前業務單位都會認為備援演練是資訊部門的事情，但在導入ISMS之後，將業務單位的演練也一起涵蓋進來，同時也要求回復時間。這是導入後大大提升及改變的地方。



結語
「最近將會採購較新型的票據交換系統來汰換掉舊的系統，增加工作效率，還要擴大整個機房，重新調整到最佳的狀態。」白輝雄指著一排排票據交換系統表示，可以看出，對於資安長期規劃及預算編列，白輝雄非常有想法。林占山表示，未來強化資訊安全的重點，首先改正在這次已發現的缺失及瑕疵，在此次針對作業流程進行資產風險評鑑後，再次調校可接受風險的基準(Baseline)，由經驗中再檢討再改善。

林占山表示，除此之外，可能因為法規的修正，而作業流程會加以修改，以前內部用紙本的管理，慢慢會變成電子化方式來管控。例如，最近要汰渙新機器，將會進行新的規劃及調整，相關位置如何分配，一方面要適合業務的要求，符合安全的規定，在做內部風險的處置及措施。

票交所從早期的退票系統電子化到現在的電子支票業務，看到e化對於企業發展將佔重要的地位。白輝雄認為假以時日，電子支票將來一定會成為電子商務解決金流問題的工具。他舉例，早期的託收票業務，未電子化之前，需要很長的作業時間，現在只要沒有退票的問題，大約4天就可以兌現了，而且若有退票問題，也一概電子化處理，在效率上改善很多。白輝雄再次強調，「也因此，票據交換所應該要提昇資訊系統效率及安全，自己講安全不見得有公信力，一定要有第三方來做公證，這也是票交所主動要導入ISO 27001的最大原因。」

最後，林占山認為，發生資安問題除造成業務營運之困擾外，更影響機構之信譽，同時會影響同仁工作之信心與安定感，票據交換所在支付系統業務面對工商企業及金融業提供服務，皆秉持戰戰兢兢之心，認證是一個過程，重要的是要求同仁嚴謹認真、提昇服務觀念及品質。