屬於小型金融,資訊安全的控管範圍相對也比較小,上海商業銀行資訊處處長羅安昌表示,銀行等金融產業在資訊安全的要求本來就比較高。上海商銀在系統內外都設有防火牆、入侵偵測(IDS)與入侵防禦(IPS)等機制是最基本的,資料的傳輸與保存都特別加密,包括儲存在磁帶裡的資料,資訊人員看到的客戶資料都是暗碼、無法辨識。
3年來,上海銀行都在為導入BS7799作準備,羅安昌指出,儘管銀行的委外業務相當單純,客戶資料的保護還是被他視為最大的挑戰,也是接下來需要逐步加強的。現行的工作流程、安全準則和弱點的偵測等等,都是根據BS7799的準則制定。
每個部門都設有不同的資料權限,將資料庫切開,各單位只能看到跟所屬業務相關的欄位,像是有些業務只需要地址,就只能列印地址,像現在帳單普遍以XXX掩飾用戶的正確帳號或電話,就是很基本的防護措施。
加強內部的資料存取管理與稽核是最基本的做法,所有的資料存取將留下紀錄,對特殊的使用加以註記,如果需要越權取得資料,就必須另外提出書面申請,必須要有充分的理由才可取得客戶資料,他說,行銷工作固然重要,但也不能亂做。
雖然上海商銀的委外業務很單純,只有對帳單。慎選委外廠商,是羅安昌給其他企業的建議。
他認為,自身的資安控管做得再嚴密,也有可能被疏忽大意的委外廠商給拖累,甚至因此而失去商譽,與這類廠商簽訂合作條約必須更加小心確實。文⊙高雅欣
熱門新聞
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2026-01-02
2026-01-02
2025-12-31
Advertisement