板信商銀副總經理張忠吉

走出捷運板橋站2號出口,多數人都很難忽視,在馬路對面,就有兩棟高聳矗立的板橋雙子星大樓,一樓門面就是板橋商業銀行(簡稱板信商銀)的營業據點。對於許多老板橋人而言,板信商銀從早期的板橋信用合作社開始,一直到1997年轉型成商業銀行,開始經營企業金融相關的融資放款項目以來,一直是板橋當地關係連結最緊密的金融機構之一。

到2017年成立滿一甲子的板信商銀,其實也面臨到許多新興科技帶來的挑戰與衝擊,不論是各家官股或民營銀行,都積極發展各種新興的金融科技,對於區塊鏈技術的應用,甚至是下一個階段面臨的數位轉型等等,背後都必須要有深厚的數位科技應用能力,才足以因應新世代的數位金融發展。

因為板信商銀董事長劉炳輝已經觀察到,數位化與科技化將會是影響板信商銀未來發展的重要方向,因此,他不僅聘任在土地銀行工作40年、從土銀退休的高明賢擔任總經理一職,並由高明賢在專業經理人的管理團隊中,則找來在政府擔任公職35年,一路都在資訊領域打滾的張忠吉擔任副總經理一職,主要任務就是負責管理資安、資訊與數位金融等,攸關板信商銀如何打造新世代數位金融的三大部門。

張忠吉在板信商銀營業據點,看到有民眾到銀行辦事時,都會主動和民眾聊一聊,問問看來銀行申辦什麼樣的業務,和銀行往來多久,以及是否使用他們網路銀行的習慣等等。

板信商銀是區域銀行,他認為,很多過去往來的客戶年紀逐漸增長,面對千禧年世代的新生代客戶,該銀行如果無法提供相對便利的科技工具,跟上這一波數位金融的轉型潮,「當耆老逐漸凋零後,新生代很容易就會拋棄老一輩在使用的板信商銀服務,而改用其他新生代覺得更便利使用的新銀行服務。」張忠吉說。

因此,張忠吉從去年就任以來,除了因應法遵及銀行發展需求,成立資安科,並完成資安發展藍圖外,也在今年在資訊發展委員會多次開會聚焦後,擘畫出可以支撐板信商銀未來10年發展的資訊發展藍圖,並預計在今年5月,向董事會報告相關內容。

因應轉型數位金融第一步,鞏固資安措施

各種資安威脅層出不窮,尤其從前年臺灣也爆發第一銀行的ATM盜領案,以及去年遠東商銀跨國匯款SWIFT系統遭駭客盜轉的資安事件,監管單位金管會,不僅陸續提高對金融行業監管的強度,對於各種資安防護的要求,更是越來越嚴格。這也使得,所有的金融產業都必須提高百分之二百的警覺性,因應各種可能的資安風險,更必須要真正投入資源在資安領域上。

而板信商銀總經理高明賢在上任之後,相當重視資安,在他對外揭露的六大發展方針當中,可見一斑,包括:完備內部控制、落實法令遵循;加強員工訓練、提升專業素質;發揮地方金融優勢、提供完善企金服務;強化財富管理及財務操作、拓展多元獲利;重視資產品質、降低逾期放款;重視資訊安全、提升數位金融服務等六大方針。從上述內涵就已經清楚點出,板信商銀的管理階層,是非常看重資訊安全及數位金融服務的發展,並視為帶領該銀行轉型提升的重要關鍵項目。。

在公司的管理階層裡面,張忠吉身負重責大任,同時管理該銀行的資安、資訊及數位金融相關部門。也可以說,板信商銀中,只要跟資訊有關的工作內容,都跟他沾到一點邊。過往,他在政府部門任職的經驗,也曾經歷過各種形式的資安評估、演練,甚至也遭遇過鎖定特定個人的針對性APT(進階持續性威脅)攻擊等等。因此,當張忠吉從去年6月,接任板信商銀副總經理一職後,首要任務就是,扛起重塑板信商銀資安工作內涵的重責大任。

因為,金融業也是政府規範的八大關鍵基礎設施服務提供者之一,一旦有任何資安威脅造成的突發狀況,都可能會影響到更多的民眾。所以,張忠吉去年6月到任後,在9月就率先成立資訊安全科,就是為了要因應各種嚴峻的資安挑戰。

他也同時擔任該銀行資安長一職,對內,不僅對於各種資訊工作,制定相關的稽核原則,也同時督導相關的資安防護、系統優化以及資安教育訓練工作內容;對外,最重要的目的,就是要建立可信賴的數位安全空間。

張忠吉進一步解釋,板信商銀在多年前就已經有自建資安監控中心,並且導入ISMS資安管理相關認證,為板信商銀奠定初步的資安管理方式。

板信商銀副總經理張忠吉表示,由資訊部門和業務營運部門共同提出的資訊發展藍圖,要凝聚從上到下對新數位金融發展的共識。攝影/洪政偉

制定資安發展藍圖,保障資安預算不打折

只不過,資安風險越來越複雜,入侵企業的手法和帶來的威脅,每每都有讓人意料之外的攻擊方式,這對許多被鎖定攻擊的對象而言,幾乎是防不勝防;再加上,政府部門對於金融產業採取高度監管的方式,就是希望可以避免這樣的危機,一旦當金融產業遭受到重大的資安威脅時,不僅可以做到立即通報,也可以在最短的時間,做好相關的應變處理。

在張忠吉來到板信商銀、正式成立資安科之後,接著重新制定該銀行的資安發展藍圖,真正落實縱深防禦的資安防護措施。他強調,好的資安發展藍圖,絕對不是為了資安而資安,必須要能夠和公司營運目標掛勾在一起,並且順勢而為,才能夠發揮最大的槓桿效益。

也因此,板信商銀編列的資安預算,則是採用特別預算的方式編列,只要這筆錢是該花的錢,相關的資安預算絕對不打任何折扣,「資安在2018年整體IT預算編列中,占了8%。」他說。

至於,2018年制定的資安發展藍圖預計達成的目標,包括:導入個資管理系統(PIMS),並強化原有 SOC(資安監控中心)的效能,在其他同業的案例加持及主管機關強力要求下,會針對跨國匯款轉帳的SWIFT平臺,強化相關的實體安全措施,也同時強化ATM提款機的實體安全等;接下來,因為APT(進階持續威脅)已經是金融產業無法避免的資安威脅,也會針對銀行內部,針對APT風險做相關的強化防護措施。

許多針對性的APT攻擊,其實都透過社交工程的方式,掌握到特定當事人的資訊,甚至也利用這種方式,入侵個人電腦或竊取個人帳號等等。所以,張忠吉表示,以往在公部門任職時,政府每年都會有兩次的社交工程演練,透過高度仿真的社交工程郵件,測試每個部門的資安意識強弱。

借鏡公部門,張忠吉也針對板信商銀同仁,進行社交工程演練,他說:「只要這樣的演練是玩真的,就絕對不可能出現信件零點擊的狀況。」社交工程演練的社交郵件點擊率,就是一種參考。

因為沒有百分之百的資安防護措施,張忠吉認為,所有人對資安都應該要抱持著「零信任」(Zero Trust)的概念,在預設會遭遇到各種資安威脅與攻擊的前提下,做到主管機關要求的「合規」,就是最好的防護措施;此外,他也說,可以參考政府部門制定的資安基準計畫,制定相關的步驟、計畫與彈性,將資安真正做到分級與分類。主管機關也鼓勵金融業者,彼此之間可以做到相互聯防,也有助於各家銀行對於資安的投入,提高相關的資安意識。

擘畫資訊藍圖,近期提報董事會

由於板信商銀是傳統中小型的銀行,迄今成立超過一甲子,張忠吉坦言,該銀行的確已經面臨轉型的衝擊,尤其許多新興的熱門議題,不論是金融科技或者是區塊鏈,都讓老銀行思考應該要如何走下一步。

科技金融講的是金融服務數位化,對於大型銀行而言,許多基礎服務都有一定程度,但關鍵在於客戶體驗好不好,是否可以做到滿足客戶需求和公司需求。因此,他擘畫了一份資訊發展藍圖,從P(規畫)、D(執行)、C(稽核)、A(改善)等四個面向,滿足板信商銀在新科技挑戰的同時,如何力拼轉型。

板信商銀原本就設置資訊發展委員會,制定相關的資訊計畫,而張忠吉上任之初,為了掌握過去板信商銀的資訊發展歷程,第一件事情就是,完整調閱資訊發展委員會的會議記錄。他表示,板信商銀過往的資訊策略,比較像是解決眼前立即的難題,因為缺乏完整的規畫,並且未與銀行的營運目標結合,使得過往的資訊應用,相對顯得片段。

「資訊是企業進步的助力,」張忠吉表示,為了規畫該銀行短、中、長期的資訊發展策略,決定擘畫板信商銀有史以來第一份「資訊發展藍圖」,不只是資訊部門必須提出未來的資訊發展計畫,包括業務營運等相關單位,也必須提出各自的資訊發展計畫。

他指出,板信商銀為了完善這份資訊發展藍圖,開了至少8次會議,在確認細節後,預計近期提報給董事會。

區塊鏈應用進入概念驗證階段

面對新興的金融科技與區塊鏈技術應用,板信商銀也不落人後。張忠吉表示,緊密的客戶關係一直是該銀行的強項,看重區塊鏈的去中心化和公開透明的優勢,便和臺灣網路認證公司合作,針對板信商銀的供應鏈融資及直保業務,進行區塊鏈的實作應用,目前還在PoC測試驗證階段,但他說:「在嘗試解析業務流程及上鏈角色、情境方面,已經有完整的構圖。」

在第三方支付服務推動上,考量到自行打造系統並沒有優勢,張忠吉決定直接和TaiwanPay接軌,借力推動板信商銀不足的第三方支付。他指出,板信商銀不需要自行打造每個系統,有時候,採用第三方系統,反而可以加快服務推陳出新的速度。

 CIO小檔案 

張忠吉

板信商銀副總經理

學經歷:政大地政研究所畢業,在政府擔任公職35年,曾經任職內政部資訊中心科長、臺中市政府資訊中心主任,以及行政院科技部資訊處處長,也擔任師大兼任教授與金門縣政府縣務顧問,於2016年6月從公職退休,2017年6月接任板信商銀副總經理一職,負責管理資安、資訊及數位金融三大部門

 公司檔案 

板信商銀

● 地址:新北市板橋區縣民大道二段68號

● 成立時間:1957年4月25日成立板橋信用合作社,1997年9月30日改制板橋商業銀行

● 主要業務:商業銀行之存放款及財富管理業務

● 總部:臺灣

● 員工數:1,401人

● 資本額:150億元

● 董事長:劉炳輝

● 總經理:高明賢

 

 資訊部門檔案 

● 資訊部門主管職稱:經理

● 直屬主管:副總經理兼資訊長

● 資訊部門人數:81人

● 資訊部門分工:設置9個科,分別負責業務分析、系統操作、程式設計及資訊安全

● IT預算:1億9,600萬元

 

 IT大事記 

● 1978年:進行業務電腦化,啟動銀行業務自動化

● 2000年:網路銀行上線

● 2006年:架設全行VPN網路;BI系統上線;建立業務資料運用及分析模式

● 2007年:主機系統汰舊換新,同時IBS系統更換為印度塔塔公司(TCS)系統

● 2017年:啟動臺幣主機系統升級,從IBM大型主機P5升級到P8,新銀行核心系統(NBS)正式上線;建設新資訊機房,打造未來10年數位金融作業環境;完成資訊安全發展藍圖,成立資訊安全科,分階段逐步進行資安防護部署

● 2018年:完成資訊發展藍圖,業務系統流程再造優化與金融科技發展雙策略並行


Advertisement

更多 iThome相關內容