了解你的客戶也要了解你的敵人，合勤投控平衡營運效率與資安

合勤科技（Zyxel）在1992年研發出全世界第一臺結合數據、傳真和語音的三合一數據機，專精各種網路通訊設備的研發與製造，也是網通設備中資深的臺灣自有品牌業者。

但許多人可能不知道，在2010年已經成立合勤投資控股公司（簡稱合勤投控），目的就是為了因應未來公司營運，要走向專業分工的道路。在2011年，合勤科技首先將研發、生產、設計、製造和代工部門，獨立成立子公司盟創科技，原先的合勤科技成為負責品牌、行銷和業務的子公司，而這兩間公司都隸屬合勤投控。

擔任合勤投控資訊服務處協理游政卿表示，公司將提供共通服務的部門，例如法務、資訊服務以及稽核等部門，全部集中到合勤投控。雖然，資訊服務部門採用集中化的管理模式，但隨著企業對IT依賴比重越來越高，加上合勤投控子公司等遍佈臺灣、中國、美國和歐洲等地，他表示，為了便利當地企業運作效率，避免鞭長莫及的窘境，資訊服務部門也開始採用聯邦制的IT管理制度。

他進一步解釋，合勤投控各個子公司也會成立自己的IT部門，相關的資訊服務若涉及集團應用服務，如ERP、CRM等，或是資訊策略的規畫（Plan）與稽核（Check）部分，由總公司的資訊服務處負責；若是當地公司所需的資訊基礎建設服務，像是提供各種即時需求服務的網路、電話等，及落實總部資訊政策的執行（Do）和後續矯正措施（Act），就會由各地分公司的資訊服務部門提供。游政卿認為，總公司和分公司的資訊服務部門彼此分工，扮演並落實PDCA的循環，都可以讓合勤投控的資訊服務更深入每一個部門和員工，讓公司運作更順暢。

資訊服務處雖屬二級單位，卻是重要決策會議當然成員

不過，資訊服務處直屬主管是集團財務長，組織位階屬二級單位，但游政卿說，看資訊服務處對於資訊決策時，在公司組織層級位階雖不高，但因為是各個部門最重要的策略夥伴，所以，資訊服務處都是一級決策會議的當然成員。

至於資安的部份，他也說，因為層級和業務運作需求完全不一樣，涉及公司更關鍵的供應鏈和營運決策，包括集團資安以及所有的資安應變處理，直接由資訊服務處回報給合勤投控執行長朱順一，並會在董事會做報告。

資訊服務處為什麼可以扮演公司各個部門重要的策略夥伴？游政卿表示，這跟公司企業文化以及所強調的核心價值有關係，重點就是要「了解你的客戶」（Know Your Customer，KYC），簡單來說，就是「你所提供的服務是客戶真正需要的，而不是，只提供我會做的、我想提供的服務給客戶而已。」

因為合勤投控子公司遍佈全球、幅員廣大，必須透過IT技術和提供的服務，把總部和前線子公司串接起來，就必須仰賴網路通訊和相關的資訊情報等等，尤其在執行通路業務的操作上。

他笑說，或許其他高科技製造業者更在意產業設備或是工廠自動化投資，但從他2007年任職合勤科技的第一天開始，IT就是全公司最重要也是最忙的單位。

IT部門搖身一變，成為產線部門最佳策略夥伴

他表示，合勤工廠自動化小組是由IT部門主導而非工廠主導，原因在於，這套系統是要提供給合勤的客戶使用，而不是工廠，當IT部門協助完成相關的自動化系統後，後續的維運就會交給第一線的產線人員。

工廠同仁才會真正了解第一線產線同仁需求，而IT部門人員又該如何弭平這樣的產業知識的鴻溝？重要是，怎麼做到「要讓產線人員信賴IT人員，講相同的語言，有相同的思考模式」？

合勤在意「了解你的客戶」這件事，游政卿就任沒多久，面對內部跨部門合作上，IT部門就取得很好的角色和定位，定位彼此是夥伴關係，合作的時候，對方就不會把你當賊，才能做到互信和互補。

不可否認，最了解工廠自動化這個系統的人，一定是生產線和工廠同仁，但為什麼合勤會由IT部門負責主導呢？

游政卿認為，這中間的關鍵就是，生產線同仁把IT部門同仁當成自己的夥伴，相信對方可以幫得上忙、有良好的互信外，彼此之間的專業也可以互補，就像是馬戲團表演高空拋接一樣，因此，除了互信，也要有不同專業，才可以完成精采的表演一般。

游政卿指出，IT部門負責MES（製造執行系統）的人，工作的地點不是辦公室而是產線，而IT部門主管也會接觸生產線同仁，詢問他們是否認識某位IT部門人員。如果產線的回答是，對這名IT人員不熟，這表示IT部門同仁「跑產線跑的不夠勤」；但如果產線表示，某某IT人員常常來產線時，這也意味著，產線人員經常需要IT人員協助，而IT人員也的確幫得上忙，才可能常常跑產線，使彼此有互動。

另外可印證兩者密不可分的例子就是，某些子公司的工廠會準備一套IT部門專屬的防靜電衣（俗稱的防塵衣），一旦產線需要IT部門同仁支援，IT部門同仁就可以立馬提供協助。這也表示，生產部門和IT部門是同一陣線的人。

IT協助內部客戶完成滿足客戶的需求，就是最好的績效

互信不會憑空得來，他進一步解釋，IT部門幫忙做完工廠自動化，不是為了證明IT部門可以做得多好，關鍵在於，能否和產線部門做到雙方技能互補，並且可以提供客戶所需要的資料；而產線人員對設備雖然在行，但如何把系統整合到公司帳務系統與介接客戶系統，卻不在行，「這也是IT部門最好的切入點，」他說。

畢竟，ODM客戶不喜歡看到企業存在任何不必要的內耗，合勤科技與盟創科技組成一個虛擬工廠，彼此互信、互補，可以讓流程更有效率。

游政卿指出，IT部門人員願意聽外部客戶的需求，還可以給生產線部門建議，且不會僭越客戶和生產線部門的專業；至於，如何提供產線人員確認客戶所需要的資訊、滿足客戶對系統的需求，則是IT部門的專長。

他指出，以目前而言，只要是工廠召開的各種系統服務改善會議，IT部門都是當然成員，IT如何扮演一個被需求的單位是很重要的關鍵，也「讓IT部門在各個階段都有被利用的價值，展現互補和提供客戶所需要的東西，就是合勤投控資訊服務處可以結合其他部門，產生的最大價值。」他說。

當然，可以做到互信互補也和合勤的企業文化有關係，他表示，合勤的企業文化和單純以製造導向為主的公司的文化不一樣，相較外面其他業者在意「契約」和「程序」，合勤更在意「人」。

這也是為什麼，其他高科技公司要讓IT部門扮演融合角色很難，因為，一般而言，產線部門認為IT部門人員不懂產業知識、不懂產線所需的服務；而IT部門則認為，產線人員不了解客戶系統需要哪些資訊，彼此互不信任也難合作。

游政卿坦言，因為IT部門將產線部門視為內部客戶，所以，「了解你的客戶」並滿足這個內部客戶的需求，就是IT部門最大的信譽和績效，這也是，為什麼合勤IT部門同仁，可以成為產線部門同仁策略合作夥伴最重要的原因。

了解你的敵人，資安成為合勤營運重心

合勤投控資訊服務處協理游政卿表示，從警方提供該集團網域帳密外洩事件之後，痛定思痛，邁開資安防護、對抗駭客的第一步。攝影／洪政偉

游政卿表示，IT部門從「了解你的客戶」下手，不只是讓IT部門與產線部門成為策略夥伴，該公司也利用同樣的手法去「了解你的敵人」，讓被網軍鎖定的機敏供應鏈客戶資料與企業資安，可以獲得最大的保障。

回憶起2007年的某天，游政卿表示，公司總機部一直打電話要他下樓，因為有位刑事局的警察要找他商討一些事情，原本以為是詐騙集團並不想理，但在確認該名員警真實身分後，便在對方鍥而不捨的要求下見面。

游政卿說，他永遠忘不了當時，該名員警對著他，拿出合勤全集團網域帳號、密碼時的情景。原來，這些資料是當時刑事局掃蕩外面中繼站（命令與控制伺服器）所找到的資料，那一刻，他深刻感受到，原來公司帳密資料掉光光，是多麼恐怖的事情。

諷刺的是，合勤是一間網路公司，重視效率的前提就是「信任」，但資安的前提卻是「零信任」。游政卿指出，這件事情對他和IT部門帶來極大的衝擊，不僅事情牽連範圍甚廣，加上該公司也是一些機敏單位重要的供應鏈業者，如果壞人無所不用其極，想要用盡各種手段進到合勤企業內部偷資料的時候，該公司對於確保機敏資料的安全性，責無旁貸，所以，他也在第一時間向創辦人兼董事長朱順一報告相關事宜。

當年，大家還不了解什麼是APT（進階持續威脅）攻擊、針對式攻擊時，合勤決定面對並接受被駭客鎖定攻擊的事實。之後透過資安鑑識手段，從某一些工具跡證回推，發現駭客可能在2004年就已經潛伏在企業內部、伺機而動。

游政卿表示，做了十年的資安，剛開始有從上而下的支持，才踏出資安的第一步，當時，只是先從IT部門找懂得防火牆、懂網路的人成立資安小組；直到2013年，才真正成立專責的資安部門，並有獨立的資安專責人員。

他也說，這樣的經歷，讓合勤開始學會「了解你的敵人」，面對資安威脅的心態，從以前的恐懼，隱蔽，逐漸調整為現在的接納和觀察，並且從最早的不知不覺；到後來，懂得運用一些方法做到後知後覺，可以察覺駭客來過的足跡；到現在，則透過打造資安平臺和資料庫，以及建立模型和指紋，記錄壞人的樣貌等，做到即時偵測。

CIO小檔案

游政卿

合勤投資控股資訊服務處協理

學歷：大同大學應用數學系

經歷：最早是在工研院電通所工作，後來到業界工作，陸續任職於旺宏電子、虹光精密和陽明光學等公司，於2007年擔任合勤科技資訊服務處協理一職，2010年成立合勤投資控股後，資訊服務處採集中化管理方式，設在合勤投控之下

公司檔案

合勤投資控股

● 成立時間：2010年3月23日

● 主要業務：合勤集團以合勤投控為母公司，子公司合勤科技聚焦於合勤集團品牌發展，子公司盟創科技則專注於產品與技術創新

● 總部：臺灣新竹

● 執行長：朱順一

● 年營收：226億元

● 員工人數：4,400人

資訊部門檔案

● 資訊部門名稱：資訊服務處

● 資訊最高主管：游政卿

● 直屬主管：集團財務長

● IT預算：每年4,500萬元

● 資訊部門人數：65人

● 資訊部門分工：資訊基礎建設、應用系統服務、資訊安全服務等三個部門

IT大事記

● 2007年：建置現場資訊監控系統（SFCS）

● 2008年：重新建置Oracle EBS R12系統，導入新版ERP系統、先進供應鏈規畫系統（ASCP）和供應商協同系統（iSP）

● 2009年：建置商業智慧系統（BI）；建立銷售、存貨、製造、售服分析及財務管報多維度資料庫

● 2010年：導入產品生命週期管理系統（Oracle Agile）

● 2011年：因應IFRS規範做財務帳務系統的調整

● 2012年：導入虛擬化及雲端服務機制，提供機房主機虛擬化及全球性應用程式服務（企業網站、線上訂單系統、客服管理系統）的效能及可用性

● 2013年：成立集團專責資訊安全服務團隊

● 2015年：導入ISO 27001資安管理認證

● 2016年：導入資訊服務地圖，彙整資訊服務相關程式及報表執行狀況，提供作業部門及管理階層量身訂製的資訊索引服務