職業安全 企業認證篇
60家大企業捍衛資安的秘密武器
撰文-謝宛蓉
攝影-莊正原
2005年7月 e天下雜誌
捍衛資安的祕密武器 為什麼近年來,包括中油、仁寶、遠傳、兆豐金等60家大企業, 紛紛積極推行「BSI」? 這是什麼?資安認證為何是企業營運、形象的新興競爭力?
台灣近來興起一股資安認證熱。來自於英國標準協會(BSI)所制訂的資訊安全管理標準BS7799,近年來形成風潮。國家資通安全會報規定政府重要資訊單位必須取得認證,大型企業中油、仁寶、遠傳電信、兆豐金控等,也都積極導入,並通過認證。台灣總計已經有近60個單位取得這張資安認證,光是去年一年就有超過30個政府或民間機構獲得。
為什麼政府、民間企業投入資安認證?在今天企業風險愈來愈高的環境中,企業做資訊安全不再只是被動防禦,它可以是一種改變員工積習、贏得客戶信任的新競爭力。
案例1:關稅總局
認證後,資安成為全員運動
位在台北市塔城街的關稅總局,執掌全國進出口關稅業務。這裡核心的自動通關系統,擔負的責任就是全年上百萬筆進出口的申報、繳稅、查驗資料。「最重要的目標,就是要24小時穩定連線運作,」關稅總局資料處理處處長許美惠解釋,系統一旦出狀況,整個國家的進出口業務,廠商的交貨、取貨就會受到影響。
國家資通安全會報的規定,列為政府重要核心資訊單位的A級機構都要取得BS7799認證,關稅總局正是其中一員。「貿易商的進出口資料,對他們來說都是很機密的,」關稅總局研究委員蔡俊彥表示,要透過認證,提高進出口廠商對政府的信任感。
為了導入認證機制,關稅總局設定了20人的專案小組,由研究委員蔡俊彥親自擔任召集人,另外也聘請顧問參與輔導並提供教育訓練。
高階主管支持、顧問進入輔導,讓資安議題終於走出了資料處理處的圍籬。「以前,只要提到資訊安全,大家就覺得是你們資訊處的事,」關稅總局資料處理處副處長黃媛芳指出,現在,同仁卻都可以體認到,他們與資訊安全如何息息相關,「這是導入認證的最大收穫!」
導入資安系統為什麼會有這樣的魔力?因為從一開始就把資訊系統使用者納入核心。流程的第一步,就是要求組織成員共同定義「風險值」。在關稅總局,單位主管、負責教育各單位的資安種子都會一起參與,由他們自己評估哪些資料、系統、人員是重要資產,要加以保護。
另外,全員教育訓練更改變公務人員的資安意識。除了認證稽核的150人之外,他們也安排全體450個員工都要參與8小時的教育訓練。對於查緝單位的人員來說,他們對於所經手的貨物查緝資訊,就變得比較謹慎。關稅總局資料處理處科長林敏表示,「以前請大家要設螢幕保護密碼都很難落實,但現在真的都有做了。」
另外,導入管理機制的過程也要求大量程序化、文件化,幫助組織落實規範。擬定的系統修改程序書、程式修改程序書、緊急應變程序書等林林總總,就有20∼30本之多。「照著目前的制度去做會覺得比較踏實,」林敏表示,系統化地檢核讓他們確認該做的都有做到。
透過規範也補強原本令人頭痛的安全缺口。以往雖然宣導禁止使用隨身碟、安裝非法軟體,但在經過風險定義之後,各業務單位也同意對於這方面的監控。現在他們使用一套監控軟體,可以偵測違規情況,並會定期匯整出報表交給各單位主管,由他們來審查是否有違規情況。「等於是牽連到考績!」蔡俊彥表示,落實的控管讓他們在2個月內就杜絕了這兩項問題。
身為全世界第一個拿到資安認證的海關單位,蔡俊彥顯得十分滿意,但也有更多期許。「不是拿到認證就了結了!」他表示,由於BS7799每半年就會複審一次,他們已經準備好迎接未來的複審,也代表著長期投入的決心。
案例2:遠傳電信
資料防外洩,黑白兩道都加入
走近遠傳電信的大樓,一個液晶螢幕就顯示在櫃台訪客簽到處一旁。7頁的畫面跳動播放著,訪客該遵守的各項安全守則,從識別證、攜帶物品、到停車等項目鉅細靡遺。簽到簿上也特別多了一欄簽名欄,要求訪客確認看過安全規範。
「小姐,麻煩掛上識別證,」一看到訪客只把證件拿在手上,警衛人員語氣頗為嚴峻地監督她掛上。
鏡頭轉到遠傳的門市店面。莊先生正在使用帳單補印機列印自己的帳單,只見印出來的帳單中他的手機號碼有些數字並未顯示。在櫃檯,客服人員張小姐試圖要上網,結果瀏覽器畫面顯示出一個警示頁面,表示遠傳禁止連線這個網頁。這裡,他們的電腦上沒有A槽、USB槽,也不能列印帳單之外的文件。
層層的嚴密防護,說明遠傳對於資訊安全的高規格態度。
今年2月初,遠傳電信以突破紀錄的速度,成為第一家取得BS7799認證的無線通信業者。一般機構導入認證的管理制度,至少要半年到1年,但遠傳只花了3個月的時間。
超紀錄的表現,為的就是要向外界證明他們在資安的用心。事實上,遠傳電信在多年前就成立了「企業安全委員會」。這個跨部會的組織,參與者都是副總級的高階主管,每兩週就會開會討論公司的資訊、資產、員工等各面向安全問題。
「保護顧客資料,攸關電信業者的形象!」遠傳電信資訊科技事業部執行副總經理束宜鵬明確指出。對於電信業者來說,最大的挑戰就是層出不窮的客戶資料盜賣事件。去年4月被破獲的一起著名資料外洩案,遠傳就與6家知名銀行一同列名,有客戶資料外洩。
面對保護顧客資料這個難題,遠傳從多個角度試圖強化。
「姓名、電話、地址、身分證字號、銀行帳號、信用卡卡號,任兩個組合就是有身分意義的重要資料,」束宜鵬說,他們從內到外都注意這個環節。所以去年6月,他們率先開始把顧客帳單上的部份電話號碼遮沒,包括設在門市的補印帳單機也因此做了修改。遠傳給經銷商的單據,更是看不到顧客電話號碼,只有SIM卡卡號。
對內部的資料傳遞,他們有更嚴密的控管。去年4月開始,只要涉及使用上述兩項資料的組合,員工都要先申請,必須經過單位最高主管簽核,申請人還要簽立切結書。例如行銷人員要取得部份客戶資料做促銷,他就必須簽下切結書承諾不會複製,並在指定時間銷毀,如果違反須負法律責任。
另外,公司方面也會嚴密稽核。「每一筆都會列管追蹤,」束宜鵬隨手翻出一疊密密麻麻的報表,就是資訊部會逐一追蹤的紀錄,如果員工未回報銷毀情況,他們就會直接報告給單位主管。
「如果有人願意花很高的價錢,難保員工不心動,」束宜鵬不諱言,資料外洩的挑戰永遠存在,但是從企業安全的角度,「每一筆資料的取閱都可以追蹤!」
除了一般看到的控管措施,束宜鵬還透露他們的稽核秘密,「從外部來『釣魚』。」
他們會虛設一些門號與資料,然後向資料販賣集團購買這些門號。如果買得到,他們就會回到內部追查,交易期間是誰動用過資料。束宜鵬笑說,結果常是被歹徒騙了,買回來的資料發現與設定的不符。
另外,他們也會雇用白駭客(ethical hacker,擁有駭客技術能力但不具惡意目的之電腦專家,常受企業雇用來評估自家系統安全並提出強化措施),測試自己的系統是否容易被攻破,可以趕緊補強。
「導入認證提供一個系統化的框架,讓你考量應該要做什麼,也像一個檢核量表,」束宜鵬自信地說,對遠傳而言,幾乎只多做了規範文件上的調整。看來,從內到外,黑市、白帽也嘗試,讓遠傳這張檢核表已經各項都打了勾。
