.一人制資安官>>呂孟鈴 :喚起資安意識是教育宣導的第一步
雖然金控普遍具有資安觀念先進的形象,在資安投資也不手軟,但是在幾個大型金控中,新光人壽資訊安全官呂孟鈴,是少數直接掛上資安官頭銜的,服務的員工超過20000名。
當時是受到資訊長的延攬,從資安顧問轉戰金融產業,任職剛剛屆滿一年。她認為,資安官就是要維護企業的永續經營,所謂的CISO,呂孟鈴將其解釋為Corporate Information Security Officer。
儘管職位是在資訊長之下,卻是得到董事長、總經理和資訊長的直接授權,她表示,資訊部的資源帶來助益之外,高層的大力支持的氣氛,的確提升各部門的配合度,也讓資安官跳脫資訊部的範疇,管區泛及整個金控集團。
.擁有獨立團隊的安全長>>徐子文 :安全長評估各部門風險、決定執行順序
談到自己從1999到2003的遠傳經驗,美國運通北亞區的安全經理徐子文認為,對任何企業而言,安全制度的建立需要很多年的時間,通常3年為一個周期。遠傳之所以要花4年,除了觀念跟體制都屬剛起步,徐子文花了很大力氣在做安全文化扎根,最令人津津樂道的就是推動「貓頭鷹」安全識別標章,當時遠傳辦公隔板上人人都有貓頭鷹形像磁鐵。
.擁有百名編制的資訊安全官>>陳正德 :微軟資訊安全官協助檢驗產品安全
臺灣微軟資訊管理部經理陳正德表示,微軟由CISO對全球發布「一條鞭」的安全政策,各地分公司的資訊主管與員工都必須遵守,不外乎哪些修補程式一定得上,病毒碼要即時更新等等。
不過,她的管轄範圍並不包括實體安全,而是純粹的資訊安全。像是新進人員一進微軟就必須接受資安宣導,筆記型電腦不要放置在後車廂,嚴守門禁、不隨便幫他人開門等基本資安守則。
.兼任制資安委員會>>林裕堯 :司法院資委會為政策集中把關
公家機關礙於人力與編制,多以兼任方式成立資安組織,司法院資訊管理處科長林裕堯表示,為了將各單位的資安政策與工作項目集中式管理,參考BS7799標準中的組織架構後,各重要單位都要派人兼任資安委員,司法院成立一個10人上下的資安委員會,召集人的層級甚至等同於書記官長與秘書長。一人制資安官>>呂孟鈴 :喚起資安意識是教育宣導的第一步
雖然金控普遍具有資安觀念先進的形象,在資安投資也不手軟,但是在幾個大型金控中,新光人壽資訊安全官呂孟鈴,是少數直接掛上資安官頭銜的,服務的員工超過20000名。
當時是受到資訊長的延攬,從資安顧問轉戰金融產業,任職剛剛屆滿一年。她認為,資安官就是要維護企業的永續經營,所謂的CISO,呂孟鈴將其解釋為Corporate Information Security Officer。
儘管職位是在資訊長之下,卻是得到董事長、總經理和資訊長的直接授權,她表示,資訊部的資源帶來助益之外,高層的大力支持的氣氛,的確提升各部門的配合度,也讓資安官跳脫資訊部的範疇,管區泛及整個金控集團。
將資安官定位為「提供建議與規範」的人
這一年來的工作內容,呂孟鈴下了一個「安全教育推廣」的定義,安全管理在新光人壽是全新的挑戰,第一年為不可或缺的基礎建設。
她上任以前,新光金控的安全管理等同於門禁保全,之後從每個月的新進人員安全訓練開始,到1年6次的高階主管資安教育,都顯示總經理對專責資安的支持。各部門進行決策會議時,也開始會要求資安官參與。女性的柔性角色讓她成為集團內部跨公司的「安全親善大使」,她將自己定位為「提供建議與規範」的人。
資訊安全的第一道防線就是思想與觀念,就像是爬樓梯,資安官帶著大家一階階往上爬,每次提供建議都有看到成效,一步步取得人員信任之後,大家不僅走得更安心,對於下一步也不會有疑慮,操作變成生活習慣以後,甚至有可能形成企業文化,人員觀念的養成是降低安全風險最重要一道防線。
一開始員工多因為不了解資安官的工作性質,對上課或規定產生排斥,除了自信與熱情,一貫的溫和與堅持是最重要的態度,要讓對方知道,所有的規定或決策都是為了維護公司的商譽及防止營業損失,為了這個最重要的目的,就必須做出一些令人感到不便的規範。
「只要仔細跟對方說明,最後通常會得到諒解與配合。」呂孟鈴說。經由宣導,公司內部少一個人被騙或是多增加一點安全觀念,都讓她備感成就。
新法不斷頒布,法規遵循為資安官工作重點
大環境變化很快,讓法規遵循成為工作很重要的一部分,因為新法令不斷頒布,資安官必須不斷檢視企業內工作流程是否違反法規。其他工作還包括像是客戶資料保護、共同行銷的法律分際、子公司安全分析管理等,都是她的工作重點。
金融業作為資安「重度使用者」,她表示,以資訊建置的角度來看,資安往往代表著「反效能」,重點不在資訊投資與設備維護的細節,而是掌握控管點,也就是有沒有第三者的監督與稽核,其他像是應用程式的正確性、測試,或版本正不正確等細節,多由各單位各自執行。
呂孟鈴表示,資安官的管轄範圍很難界定,她也不替自己預設框框,只要出現風險就要評估如何控管。以密碼政策和帳號密碼存取權限管理為例,她今年則要開始推動各部門獨立的資料庫管理,以後資訊部門不會擁有進入其他部門資料庫的權限。
這種看到各部門出現問題點,就著手溝通改進的「劍及履及」方式,就是一人資安官的工作模式。擁有獨立團隊的安全長>>徐子文 :安全長評估各部門風險、決定執行順序
原本是一名擁有飛行執照的海軍軍官,因緣際會一路從跨國企業UPS開始接觸安全管理的領域,1999年擔任遠傳電信資安官後,徐子文成為臺灣第一位名符其實的安全長,一手建立起遠傳電信行之有年的安全管理機制。
透過「貓頭鷹」識別標章,在遠傳力推企業安全
談到自己從1999到2003的遠傳經驗,他認為,對任何企業而言,安全制度的建立需要很多年的時間,通常3年為一個周期。遠傳之所以要花4年,除了觀念跟體制都屬剛起步,徐子文花了很大力氣在做安全文化扎根,最令人津津樂道的就是推動「貓頭鷹」安全識別標章,當時遠傳辦公隔板上人人都有貓頭鷹形像磁鐵。
徐子文笑著說,「當時為了讓大家更了解安全管理的工作意涵,特別設計資訊安全識別標章,因為貓頭鷹看起來很可愛,容易讓人忽略它其實是老鷹的一種,對聲音對別敏銳,象徵安全管理部門的蒐證能力,至於晚上才行動的特性,也在提醒大家,犯罪或不法的行動也多是在晚上進行。當時貓頭鷹這個親善大使成功打入員工的心,有興趣了解之後,進而支持公司的企業安全政策。」
遠傳是很年輕的公司,沒有包袱外,也是當時唯一肯砸重金引進美國AT&T經營管理制度的電信公司,老闆資安觀念先進,讓徐子文一手建立安全管理專責組織,從教育宣導、制度建立、制定政策到強制執行機制的成形。
他認為,員工對安全警覺無知是必然現象,作為安全長,第一步就是要建立所有員工對企業安全威脅的關心與認知,員工的安全警覺意識是資安工作最重要的基礎,從意識養成工作習慣,再從習慣變成企業文化。
「會大刀闊斧做資安的公司多出過紕漏,安全控管是為了維持企業運作與生存。」他還提出一個事件發生曲線理論,在推動安管制度前,事件一定會急速上升,到達一個高峰後,企業不得不採取管制措施,然後事件就會急速下降,如果機制運作順利,就會維持一個低低的水平線。
人事安全是安全管理工作的「核心」
搭著這波由美國帶動的安全管理風潮,一邊做一邊學,徐子文很用功也很勇於發表,提出資訊安全(Information Security)、緊急應變計畫(Emergency Planning)、安全稽核與事件調查(Security Audit &Investigation)、安全教育訓練及宣導(Security Awareness Training , Education & Promotion)等企業安全管理6大方向。還點出資訊安全整合實體安全、人事安全是大勢所趨,其中以人事安全最為重要,也是安全管理工作的「核心」。
企業就要仰賴獨立而專責的管理組織,進行各部門業務優先順序的判斷,透過中立的仲裁,減少各部門各自為政或自我中心的情形,他以金融業為例,交易系統的重要性肯定最大,連1秒鐘都不能斷線,相較之下電子郵件固然重要,但是2天收不到信卻還不致影響公司營運。就是在企業內落實風險的管理,並排出優先順序。
他認為成熟的企業安全既是前哨也是後衛,除了做到早期預警,還得協助守備。目前擔任美國運通北亞區的安全經理的徐子文,以美國運通總部為例子,光是安全長下面就有400~500人的編製,要負責管項目不計其數,他負責北亞區的安全,包括公司執行長等高階官員的飛航交通安全與風險評估,都由各區域的安全主管負責,因為有任何的風吹草動都可能損及公司利益。
安全長做到極致,應該就是以維護企業生存為主要目的,任何可能的風險都要在掌握之中,安管做得好,企業一方面減少損失、另一方面減低資安或資訊投資,他認為,這樣的安全部門就等於幫企業獲利。擁有百名編制的資訊安全官>>陳正德 :微軟資訊安全官協助檢驗產品安全
這幾年把「資訊安全」當基本教義的微軟,在美國總部的確設有企業資訊安全部門,由Karen Worstell擔任安訊安全官(CISO)一職。
雖然微軟的CISO是在資訊部門之下,卻擁有規模不小的編製,旗下執掌企業安全稽核、企業安全法規遵循、系統弱點管理、員工身分識別與存取權限管理、隱私權、與企業夥伴間的連線管理、資安政策與標準的統一執行等工作,旗下編製超過百人。
臺灣微軟資訊管理部經理陳正德表示,微軟由CISO對全球發布「一條鞭」的安全政策,各地分公司的資訊主管與員工都必須遵守,不外乎哪些修補程式一定得上,病毒碼要即時更新等等。
不過,他的管轄範圍並不包括實體安全,而是純粹的資訊安全。像是新進人員一進微軟就必須接受資安宣導,筆記型電腦不要放置在後車廂,嚴守門禁、不隨便幫他人開門等基本資安守則。
陳正德指出,這位CISO的特殊之處,除了參與不少資安學術組織,也是掌管微軟安全卓越中心(Microsoft Security Center of Excellence,SCOE)的主管。微軟就是透過這個中心提供全球客戶面對資安威脅的安全策略與諮詢建議。
為了強化伺服器產品的安全性,她還參與檢驗微軟伺服器產品的工作,進行像是程式品質掌控、產品開發的SDL,及產品安全性測試等流程的把關。兼任制資安委員會>>林裕堯 :司法院資委會為政策集中把關
公家機關礙於人力與編制,多以兼任方式成立資安組織,司法院資訊管理處科長林裕堯表示,為了將各單位的資安政策與工作項目集中式管理,參考BS7799標準中的組織架構後,各重要單位都要派人兼任資安委員,司法院成立一個10人上下的資安委員會,召集人的層級甚至等同於書記官長與秘書長。
召集人必須主持每半年定期舉行的資安演練,先提升各單位主管的資安意識,再繼續向基層推廣。召集人高於資訊處處長,主要希望將管理層級拉高,對各部門提出的資安採購、建置與措施進行把關,最近就決定將法院公文上的個人資料遮蔽,以維護個人隱私。
身為資安技術與產品採用、維護的第一線,林裕堯可以說是司法院的資訊安全官,他表示,設置資安專責組織,目的在提供一個協調與溝通的機制,因為機制啟動至今只有一年,的確要持續加強單位同仁的資安教育推廣。
看到行政院大刀闊斧推動資通安全,林裕堯認為,資安還是偏重管理,困難度在於如何推向每一個同仁,因為通常漏洞都出現在使用習慣不良的使用者身上。接下來就是要加強,包括一般的安全警覺,會先從日常的防詐騙著手,不然一般人都理所當然的認為,資安是資訊部門的事情。
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12