走出捷運板橋站2號出口，多數人都很難忽視，在馬路對面，就有兩棟高聳矗立的板橋雙子星大樓，一樓門面就是板橋商業銀行（簡稱板信商銀）的營業據點。對於許多老板橋人而言，板信商銀從早期的板橋信用合作社開始，一直到1997年轉型成商業銀行，開始經營企業金融相關的融資放款項目以來，一直是板橋當地關係連結最緊密的金融機構之一。

到2017年成立滿一甲子的板信商銀，其實也面臨到許多新興科技帶來的挑戰與衝擊，不論是各家官股或民營銀行，都積極發展各種新興的金融科技，對於區塊鏈技術的應用，甚至是下一個階段面臨的數位轉型等等，背後都必須要有深厚的數位科技應用能力，才足以因應新世代的數位金融發展。

因為板信商銀董事長劉炳輝已經觀察到，數位化與科技化將會是影響板信商銀未來發展的重要方向，因此，他不僅聘任在土地銀行工作40年、從土銀退休的高明賢擔任總經理一職，並由高明賢在專業經理人的管理團隊中，則找來在政府擔任公職35年，一路都在資訊領域打滾的張忠吉擔任副總經理一職，主要任務就是負責管理資安、資訊與數位金融等，攸關板信商銀如何打造新世代數位金融的三大部門。

張忠吉在板信商銀營業據點，看到有民眾到銀行辦事時，都會主動和民眾聊一聊，問問看來銀行申辦什麼樣的業務，和銀行往來多久，以及是否使用他們網路銀行的習慣等等。

板信商銀是區域銀行，他認為，很多過去往來的客戶年紀逐漸增長，面對千禧年世代的新生代客戶，該銀行如果無法提供相對便利的科技工具，跟上這一波數位金融的轉型潮，「當耆老逐漸凋零後，新生代很容易就會拋棄老一輩在使用的板信商銀服務，而改用其他新生代覺得更便利使用的新銀行服務。」張忠吉說。

因此，張忠吉從去年就任以來，除了因應法遵及銀行發展需求，成立資安科，並完成資安發展藍圖外，也在今年在資訊發展委員會多次開會聚焦後，擘畫出可以支撐板信商銀未來10年發展的資訊發展藍圖，並預計在今年5月，向董事會報告相關內容。

因應轉型數位金融第一步，鞏固資安措施

各種資安威脅層出不窮，尤其從前年臺灣也爆發第一銀行的ATM盜領案，以及去年遠東商銀跨國匯款SWIFT系統遭駭客盜轉的資安事件，監管單位金管會，不僅陸續提高對金融行業監管的強度，對於各種資安防護的要求，更是越來越嚴格。這也使得，所有的金融產業都必須提高百分之二百的警覺性，因應各種可能的資安風險，更必須要真正投入資源在資安領域上。

而板信商銀總經理高明賢在上任之後，相當重視資安，在他對外揭露的六大發展方針當中，可見一斑，包括：完備內部控制、落實法令遵循；加強員工訓練、提升專業素質；發揮地方金融優勢、提供完善企金服務；強化財富管理及財務操作、拓展多元獲利；重視資產品質、降低逾期放款；重視資訊安全、提升數位金融服務等六大方針。從上述內涵就已經清楚點出，板信商銀的管理階層，是非常看重資訊安全及數位金融服務的發展，並視為帶領該銀行轉型提升的重要關鍵項目。。

在公司的管理階層裡面，張忠吉身負重責大任，同時管理該銀行的資安、資訊及數位金融相關部門。也可以說，板信商銀中，只要跟資訊有關的工作內容，都跟他沾到一點邊。過往，他在政府部門任職的經驗，也曾經歷過各種形式的資安評估、演練，甚至也遭遇過鎖定特定個人的針對性APT（進階持續性威脅）攻擊等等。因此，當張忠吉從去年6月，接任板信商銀副總經理一職後，首要任務就是，扛起重塑板信商銀資安工作內涵的重責大任。

因為，金融業也是政府規範的八大關鍵基礎設施服務提供者之一，一旦有任何資安威脅造成的突發狀況，都可能會影響到更多的民眾。所以，張忠吉去年6月到任後，在9月就率先成立資訊安全科，就是為了要因應各種嚴峻的資安挑戰。

他也同時擔任該銀行資安長一職，對內，不僅對於各種資訊工作，制定相關的稽核原則，也同時督導相關的資安防護、系統優化以及資安教育訓練工作內容；對外，最重要的目的，就是要建立可信賴的數位安全空間。

張忠吉進一步解釋，板信商銀在多年前就已經有自建資安監控中心，並且導入ISMS資安管理相關認證，為板信商銀奠定初步的資安管理方式。

板信商銀副總經理張忠吉表示，由資訊部門和業務營運部門共同提出的資訊發展藍圖，要凝聚從上到下對新數位金融發展的共識。攝影／洪政偉

制定資安發展藍圖，保障資安預算不打折

只不過，資安風險越來越複雜，入侵企業的手法和帶來的威脅，每每都有讓人意料之外的攻擊方式，這對許多被鎖定攻擊的對象而言，幾乎是防不勝防；再加上，政府部門對於金融產業採取高度監管的方式，就是希望可以避免這樣的危機，一旦當金融產業遭受到重大的資安威脅時，不僅可以做到立即通報，也可以在最短的時間，做好相關的應變處理。

在張忠吉來到板信商銀、正式成立資安科之後，接著重新制定該銀行的資安發展藍圖，真正落實縱深防禦的資安防護措施。他強調，好的資安發展藍圖，絕對不是為了資安而資安，必須要能夠和公司營運目標掛勾在一起，並且順勢而為，才能夠發揮最大的槓桿效益。

也因此，板信商銀編列的資安預算，則是採用特別預算的方式編列，只要這筆錢是該花的錢，相關的資安預算絕對不打任何折扣，「資安在2018年整體IT預算編列中，占了8％。」他說。

至於，2018年制定的資安發展藍圖預計達成的目標，包括：導入個資管理系統（PIMS），並強化原有 SOC（資安監控中心）的效能，在其他同業的案例加持及主管機關強力要求下，會針對跨國匯款轉帳的SWIFT平臺，強化相關的實體安全措施，也同時強化ATM提款機的實體安全等；接下來，因為APT（進階持續威脅）已經是金融產業無法避免的資安威脅，也會針對銀行內部，針對APT風險做相關的強化防護措施。

許多針對性的APT攻擊，其實都透過社交工程的方式，掌握到特定當事人的資訊，甚至也利用這種方式，入侵個人電腦或竊取個人帳號等等。所以，張忠吉表示，以往在公部門任職時，政府每年都會有兩次的社交工程演練，透過高度仿真的社交工程郵件，測試每個部門的資安意識強弱。

借鏡公部門，張忠吉也針對板信商銀同仁，進行社交工程演練，他說：「只要這樣的演練是玩真的，就絕對不可能出現信件零點擊的狀況。」社交工程演練的社交郵件點擊率，就是一種參考。

因為沒有百分之百的資安防護措施，張忠吉認為，所有人對資安都應該要抱持著「零信任」（Zero Trust）的概念，在預設會遭遇到各種資安威脅與攻擊的前提下，做到主管機關要求的「合規」，就是最好的防護措施；此外，他也說，可以參考政府部門制定的資安基準計畫，制定相關的步驟、計畫與彈性，將資安真正做到分級與分類。主管機關也鼓勵金融業者，彼此之間可以做到相互聯防，也有助於各家銀行對於資安的投入，提高相關的資安意識。

擘畫資訊藍圖，近期提報董事會

由於板信商銀是傳統中小型的銀行，迄今成立超過一甲子，張忠吉坦言，該銀行的確已經面臨轉型的衝擊，尤其許多新興的熱門議題，不論是金融科技或者是區塊鏈，都讓老銀行思考應該要如何走下一步。

科技金融講的是金融服務數位化，對於大型銀行而言，許多基礎服務都有一定程度，但關鍵在於客戶體驗好不好，是否可以做到滿足客戶需求和公司需求。因此，他擘畫了一份資訊發展藍圖，從P（規畫）、D（執行）、C（稽核）、A（改善）等四個面向，滿足板信商銀在新科技挑戰的同時，如何力拼轉型。

板信商銀原本就設置資訊發展委員會，制定相關的資訊計畫，而張忠吉上任之初，為了掌握過去板信商銀的資訊發展歷程，第一件事情就是，完整調閱資訊發展委員會的會議記錄。他表示，板信商銀過往的資訊策略，比較像是解決眼前立即的難題，因為缺乏完整的規畫，並且未與銀行的營運目標結合，使得過往的資訊應用，相對顯得片段。

「資訊是企業進步的助力，」張忠吉表示，為了規畫該銀行短、中、長期的資訊發展策略，決定擘畫板信商銀有史以來第一份「資訊發展藍圖」，不只是資訊部門必須提出未來的資訊發展計畫，包括業務營運等相關單位，也必須提出各自的資訊發展計畫。

他指出，板信商銀為了完善這份資訊發展藍圖，開了至少8次會議，在確認細節後，預計近期提報給董事會。

區塊鏈應用進入概念驗證階段

面對新興的金融科技與區塊鏈技術應用，板信商銀也不落人後。張忠吉表示，緊密的客戶關係一直是該銀行的強項，看重區塊鏈的去中心化和公開透明的優勢，便和臺灣網路認證公司合作，針對板信商銀的供應鏈融資及直保業務，進行區塊鏈的實作應用，目前還在PoC測試驗證階段，但他說：「在嘗試解析業務流程及上鏈角色、情境方面，已經有完整的構圖。」

在第三方支付服務推動上，考量到自行打造系統並沒有優勢，張忠吉決定直接和TaiwanPay接軌，借力推動板信商銀不足的第三方支付。他指出，板信商銀不需要自行打造每個系統，有時候，採用第三方系統，反而可以加快服務推陳出新的速度。

 CIO小檔案 

張忠吉

板信商銀副總經理

學經歷：政大地政研究所畢業，在政府擔任公職35年，曾經任職內政部資訊中心科長、臺中市政府資訊中心主任，以及行政院科技部資訊處處長，也擔任師大兼任教授與金門縣政府縣務顧問，於2016年6月從公職退休，2017年6月接任板信商銀副總經理一職，負責管理資安、資訊及數位金融三大部門

 公司檔案 

板信商銀

● 地址：新北市板橋區縣民大道二段68號

● 成立時間：1957年4月25日成立板橋信用合作社，1997年9月30日改制板橋商業銀行

● 主要業務：商業銀行之存放款及財富管理業務

● 總部：臺灣

● 員工數：1,401人

● 資本額：150億元

● 董事長：劉炳輝

● 總經理：高明賢

 資訊部門檔案 

● 資訊部門主管職稱：經理

● 直屬主管：副總經理兼資訊長

● 資訊部門人數：81人

● 資訊部門分工：設置9個科，分別負責業務分析、系統操作、程式設計及資訊安全

● IT預算：1億9,600萬元

 IT大事記 

● 1978年：進行業務電腦化，啟動銀行業務自動化

● 2000年：網路銀行上線

● 2006年：架設全行VPN網路；BI系統上線；建立業務資料運用及分析模式

● 2007年：主機系統汰舊換新，同時IBS系統更換為印度塔塔公司（TCS）系統

● 2017年：啟動臺幣主機系統升級，從IBM大型主機P5升級到P8，新銀行核心系統（NBS）正式上線；建設新資訊機房，打造未來10年數位金融作業環境；完成資訊安全發展藍圖，成立資訊安全科，分階段逐步進行資安防護部署

● 2018年：完成資訊發展藍圖，業務系統流程再造優化與金融科技發展雙策略並行