第一銀行取得ISO 27001資安認證

第一銀行日前宣布取得ISO 27001：2005資安認證，這也是臺灣大型行庫中，第一家取得該資安認證的銀行。取得資安國際認證除可證明第一銀行對於客戶資訊安全保護的重視外，對於其海外業務發展也有幫助。

第一銀行從2005年7月著手推動資訊安全體系的建立，設立資安認證推動專案小組，經歷過1年1個月的努力，於今年8月取得ISO 27001：2005的資安認證。此次取得認證費用，加上系統的維護費，一年大約6,000萬元。

取得資安認證，除了回應客戶對銀行和網路銀行資安相關的要求外，對於第一銀行想和國際接軌，也帶來實質上的好處。第一銀行資訊中心副總經理柯明川表示，目前新加坡和倫敦分行的系統，都是連回臺北進行銀行連線作業，香港分行則預計在明年初加入連線作業。

柯明川進一步表示，由於各國政府對於銀行安全要求嚴謹，當地政府是否放行分行銀行，連線回總行進行銀行連線作業，往往取決於他們對於該銀行安全的信任度。他說，此次第一銀行取得ISO 27001的國際資安認證後，香港政府對於第一銀行確保資訊安全的能力，也有比較高的信心，許多香港政府所需的證明文件，甚至以ISO 27001的認證文件送審即可。

「第一銀行在ISO 17799：2005作業要點中，適用11個項目、39個安全分類，以及133個控制措施，」該銀行資訊中心系統營運處處長李進富說，「認證範圍除了臺北總行的資訊中心外，也擴及到臺中的異地備援中心。」他指出，由於電腦處理資料不容系統中斷，因此為了確保資料的有效性、完整性，除了總行資訊中心是主要資安認證範圍外，為了確保總行資訊中心系統中斷，臺中異地備援中心能即時接手，也將異地備援中心列為資安認證的範圍。

李進富表示，取得資安認證主要的工作內容，包括營運現況分析、安控風險分析，一直到認證機構BSI進行預評、文件審查及實地審查等3階段稽核等，都只是資訊中心同仁每天1/10的工作量，平常的系統開發和維護，並沒有因為要取得ISO 27001認證有所稍減。

該銀行應用系統開發處經理張亦美表示，準備資安認證過程中需要準備相當多的文件資料，但這對系統開發帶來一項最大的好處便是，讓所有的系統文件都可以ISO 27001的規範，進行文件留存，改善以往許多系統開發沒有留下文件，或者是每個人都有不同文件格式的毛病。

為了準備取得ISO27001的資安認證，李進富表示，從2005年7月12日正式成立專案小組以來，自當年8月2日起，每個月定期召開雙週會議以及專案月會各一次，連遠在臺中的異地備援中心，臺北總行資訊中心的同仁，也是平均每2週就會下去察看相關進度。

在推動資安認證過程中，員工共識越高，成效越好。因此，第一銀行從專案小組成立之初，每一個階段、流程都詳細的公開在資訊中心布告欄外，在接近專案末期（6月13日～26日），甚至推出三問副總（柯明川）的活動，鼓勵員工提問與驗證相關問題，共計30題，題目入選者更給予獎金鼓勵。李進富表示，透過這種以身作則的方式，第一銀行員工對於取得ISO 27001的共識更為強烈。

柯明川除了是第一銀行資訊中心副總經理外，也身兼第一金控電子資訊處處長一職。他表示，希望在未來3年內，金控內其他單位，也能仿效第一銀行取得資安相關認證。文⊙黃彥棻