富邦金內外並進守護資產，打造企業信任與防詐核心力

冬日清晨六點半，天色剛透出微光，延後到達的冷氣團，反倒替「2025臺北馬拉松」送來適合長跑的清爽早晨。起跑汽笛畫破空氣的瞬間，兩萬八千名跑者同時湧向賽道。

在這片流動的人海之中，富邦金控資安長蘇清偉以穩定的步頻前進，最終順利跑完馬拉松全程，成績落在參賽者中的中上段。對他而言，為馬拉松進行的跑步訓練是生活的日常；與駭客長期對峙，更是他工作中不曾停歇的日常。

與多數出身純技術背景或企業機房的資安長不同，蘇清偉人生前半段，是在臺灣警界最前線度過，長年遊走於犯罪現場與數位證據之間。

這段歷練，讓他對攻擊者的行為模式與戰術技術流程（TTPs）有著近乎本能的敏銳度，也培養出屬於第一線指揮官的冷靜與果斷。

他從警界退休繼而轉戰金融業後，這股「警魂」則被蘇清偉移植到金融資安的戰場。這種從實戰中淬鍊出的「即時應變」DNA，讓蘇清偉在面對駭客威脅時，始終保持高度警戒。

他以「步步為營、如履薄冰」形容自己對資安工作的態度；更隨時提醒自己：科技會進步，工具會更新，但人性與犯罪動機並不會改變。對他而言，看懂技術只是基本功，更重要的是看懂對手、看懂風險，以及在關鍵時刻，做出不容遲疑的判斷。

從基層科技警察到資安長的跨界之路

蘇清偉從警察大學資訊管理學系畢業後投身警界，是妥妥的本科生，在當時，科技警察是一條相對少見的養成路線。

回顧在警隊服務的歲月，長期投入科技犯罪偵查與數位鑑識相關工作，蘇清偉感受到科技對傳統偵查方式帶來的衝擊。早年警察處理現場狀況時，後方指揮官只能透過無線電接收片段回報，「聽不到，也看不到」與犯罪現場的資訊不對稱，讓決策存在落差。

為了改善這種斷層，他積極導入資訊技術，推動現場影像即時回傳情報中心，協助指揮中心能同步掌握全貌，幫助指揮官精準地下達指令、打擊犯罪。

長年站在第一線的經驗，讓他能理解攻擊者如何蒐集資訊、如何試探防線，這種對風險近乎直覺的判斷方式，並非短時間內，能從書本或規範中學得。

科技警察除了資訊專業外，更普遍具有法律素養，也為他日後從警界轉戰金融圈埋下伏筆。蘇清偉坦言，許多資安主管具備深厚IT與資安技術能力，但在面對法遵與跨部門協調時，往往需要更多磨合。警察出身的他，早已習慣在法律框架下運作，更能理解制度背後的治理邏輯，讓他更能適應金融界的工作型態。

從警界轉入金融業，表面看似跨度甚大，但在他眼中，兩者核心高度相通。他直言，儘管今日的網路犯罪手法不可同日而語，但犯罪本質始終沒變，無論攻擊系統漏洞或透過社交工程操弄人心，目的都是尋找「脆弱點」。

進入金融體系後，蘇清偉面對的是一個橫跨銀行、人壽、產險與證券的龐大金融集團；資安長要因應的挑戰，不只關乎系統是否穩定，而是涵蓋高度組織化的攻擊行為、地緣政治與利益衝突交織而成的資訊戰，以及不斷翻新的高科技詐騙手法。

他表示，背後牽動數以百萬計客戶的資產安全與信任基礎，與難以量化、卻極為珍貴的品牌價值。

一條鞭式的管理，平衡治理與技術

在資安圈，資安長的角色，長年存在技術與治理之爭，蘇清偉說：「資安長不能偏廢治理面，但沒有專業技術支撐的治理，往往會變得無法到位。」他語氣篤定表示，在發生真正網路攻防戰時，資安長若不理解攻擊原理，站在指揮位置上的人，很難做出精準決策。

這樣的觀點，並非單純的技術至上論，而是來自他對「即時應對」的高度重視。蘇清偉舉例，當駭客試圖DDoS攻擊消耗系統資源時，處置必須快如閃電，治理若缺乏對技術細節的掌握，最後只會流於形式。

這套思維，深刻影響他進入富邦金控後，所推動的資安治理模式。面對龐大的金融集團，蘇清偉很快意識到，資安最大風險在於「組織防禦力不一致」。他常掛在嘴邊的比喻是「木桶理論」：一個木桶能裝多少水，取決於最短的那塊木板。

為了避免這種「短板效應」，蘇清偉在老闆授權下，推動「一條鞭」管理模式。意味著，在資安這條軸線上，他不只是顧問角色，而是擁有跨子公司統籌、監督的權力，必須對整個金控的資安狀況負責。

他笑稱，現在自己是純金控資安長，不需像早期兼任銀行資安長、或兼任金控資訊長時，容易出現「左手打右手」的顧慮。

「一條鞭」不代表高壓集權，而是以一致性為核心的治理設計。蘇清偉每年會邀集各子公司資安長共同討論，依據年度風險，訂定一套具體而量化的資安管理績效指標。

這些指標涵蓋：資安曝險分數、病毒偵測數、員工社交工程演練的點擊率，及系統上線前的資安審查件數等。他表示，設定這些指標的目的不是為了排名或羞辱，而是確保每塊「木板」都達到基本高度。

讓這套制度發揮效果的關鍵，在於透明化，蘇清偉每個月都會將各子公司的資安指標分數，直接送交董事長與總經理。他笑說，這個做法讓各級長官「立刻有感」，因為資安不只是技術單位內部的專業議題，而是攤在經營階層眼前的治理成績單。當資安表現開始與經營責任產生連動，組織內部的資源配置與決策優先順序，也隨之改變。

資安是集團數位轉型幕後推手

對蘇清偉而言，資安存在的意義不是替創新踩煞車，而是成為那個「如影隨形」、協助集團順利數位轉型的守護者。

蘇清偉直言，資安若只在最後一刻出現，會被視為「扯後腿」的角色，面對數位金融浪潮，資安長已逐步走到營運前線，追求的是：讓資安融入開發流程的每個環節，成為業務推進時，自然存在的一部分。

他以能進行交易、查詢餘額、承載大量敏感資訊的「富邦Plus」（Fubon+）行動銀行App為例，資安團隊在開發初期就已加入協作，而不是等到系統接近完工、要做滲透測試（PT）時，才輪到資安團隊發揮。

在App開發過程中，資安同仁不斷提醒開發人員要做到SSDLC（安全軟體開發生命週期），協助他們在寫程式時，就避免常見資安風險；讓系統未上線前，弱點已被找出並完成修補。

蘇清偉坦言，早年做法是「開發完再找資安來測」，常常變成臨門一腳被打回重來，既傷感情，也影響效率。現在透過「敏捷式」的結合，資安與業務不再是對立的兩方，而是並肩合作的夥伴。

攝影／洪政偉

「資安團隊不扮演扯後腿的角色，而是要把IT和業務單位的系統，調校到最安全。」這句話，是蘇清偉在內部反覆傳達的核心理念。他追求的是「安全的可行性」，只要能清楚說明業務上的商用需求，資安團隊就會協助找到一條既安全、又能完成任務的路徑。

這樣的治理哲學，讓資安不再被視為數位轉型的絆腳石，而是推動轉型的助力。在數位金融競爭激烈環境下，產品推出速度越來越快，系統複雜度越來越高，任何一個漏洞，都能直接衝擊客戶資產與品牌信任。蘇清偉深知，唯有讓資安與業務節奏同步，才能在創新與風險之間取得平衡。

他用「下水道工程」來比喻資安工作本質：平時運作順暢時，沒有人會注意到它；但只要出問題，後果一發不可收拾。因此，他在富邦建立全天候的防護與監控機制，從端點的EDR、網路層的NDR，到24小時運作的SOC（資安監控中心），形成一張不間斷運轉的防護網。

即便是下班時間，當系統偵測到異常活動，警報也會透過即時通訊軟體，第一時間傳送到同仁的手機。這種「隨時應戰」的運作模式，是為了確保在關鍵時刻，能即刻反應、即刻處置。對蘇清偉而言，資安不是朝九晚五的工作，而是一場需要高度韌性與紀律的長期戰役。

在外界眼中，富邦金控能穩居市場領先地位，靠的是多元金融布局與亮眼營運表現；但他認為，在背後支撐整個數位體系運作的，正是這套看不見卻從未鬆懈的資安防線。

他表示，當資安能「如影隨形」地融入每次系統開發、每項創新服務，它便不再只是風險控管的成本，而成為企業放心向前的底氣。

金融業成為第一線打詐主力

在全民談詐色變的此刻，金融體系早已站上打詐第一線。蘇清偉表示，面對不斷進化的電信與網路詐騙，他將大半心力投注在「打詐」與「防範偽冒」之上，因為他比誰都清楚，一旦品牌被利用，受害的不只是個別客戶，而是整個金融體系的信用基礎。

詐騙手法已從早期面對面詐騙、電話詐騙，演進到透過社群平臺進行大規模擴散，甚至即將邁入結合AI深偽技術的第四代詐騙。蘇清偉從實戰發現，當假冒官網帳號被下架後，詐騙集團將受害者導入沒有品牌Logo、難以主張侵權的私密群組中，繼續進行誘騙。這種「轉移術」，成為近年最令金融業頭痛的詐騙樣態。

面對真假難辨的數位訊息，他不再依賴傳統、緩慢的人工巡邏，而是導入自動化工具進行大規模監測巡邏，要求Meta或LINE下架假冒富邦帳號，並以「一案一案處理」的方式，堅持將假訊息阻斷在源頭。他坦言，這是一場消耗戰，因為只要鬆手，代價就是客戶的信任。

所以，他在金控內部成立跨部門的「打詐應變小組」與「偽冒應變組」，整合資安、風控、法遵、法務與品牌公關的力量，只要網路上出現假冒富邦高層或Logo的訊息，團隊就會立即啟動SOP，用最快速度向平臺檢舉並報案。

「我不殺伯仁，伯仁因我而死。」這句話成為他形容企業打詐社會責任時最沉重的註腳。在他眼中，防詐不只是合規或風控問題，而是必須正面承擔的道德義務。

警察出身的他深知「情報」與「聯防」，才是真正的防禦前線。他在富邦內部，建立一個高階主管通報群組，只要出現可疑IP位址、攻擊手法，甚至地緣政治引發的異常跡象，都會在第一時間把資訊同步給各子公司的資安主管，進行聯手防護。「這不只是技術協作，更是一種組織層級的風險共識。」他說。

對外，他積極參與F-ISAC（金融資安資訊分享與分析中心）聯防機制，透過與同業交換情資，第一時間掌握駭客正在利用的漏洞與最新詐騙模式，迅速在內部防火牆設定規則、進行阻擋。同時，富邦也與政府單位如165反詐騙專線、數位發展部及電信業者保持密切合作。

他直言，資安不該「自掃門前雪」，業界資安長間的人脈連結與資訊交換，往往是能否提前防禦的關鍵；打詐也不是單一機構能完成的任務，應該成立「打詐國家隊」，讓政府與企業站在同一陣線。

內化資安文化到工作日常，從白名單重構信任

對蘇清偉而言，真正堅固的資安防線，不在機房深處，而在每位員工的日常選擇裡。他說：「只靠資安部門幾十個人的力量是不夠的。」因此，富邦推動「資安管理官」與「資安種子」制度，在各個業務單位中選拔對資安有基礎概念的同仁，成為第一線溝通與宣導節點。

這些人不只是政策傳遞者，更是文化播種者，公司贊助這些種子人員考取ISO 27001等國際認證，讓「資安人人有責」不再停留在標語，而是轉化為可被驗證的專業能力。

蘇清偉認同，AI將是資安防禦最大的挑戰，也是最大的機會，尤其是深偽技術（Deepfake）的成熟，「你沒辦法百分之百確定它是假的，」他冷靜地分析。

因此，他提出一個策略：從「白名單」出發，與其費力澄清層出不窮的假訊息，不如建立讓客戶清楚辨識什麼是「真的」機制。例如，未來金控發布的官方影片，可以透過數位簽章認證，只要看到簽章標記，客戶就能確認這是來自富邦的真實資訊。在他看來，這不僅是技術問題，更是一場關於信任的重新建構。

圖片來源／富邦金控

 公司檔案 

富邦金控

●董事長：蔡明興

●總經理：韓蔚廷

●1961年：富邦產物保險公司的前身國泰產險正式開業

●1992年4月20日：富邦集團創立富邦商業銀行

●2001年12月19日：富邦金控成為臺灣首家掛牌的金控公司

●2021年：富邦金控公開收購日盛金控，國內首樁「金金併」里程碑

●2022年：富邦金控完成合併日盛金控

 資安部門檔案 

●資安部門名稱：資訊安全處

●成立時間：2019年

●部門主管：蘇清偉副總經理

●直屬主管：韓蔚廷總經理

●資安部門人數：2025年金控暨子公司共計95名

●資安部門工作範圍與目標：完善防護基礎、精進資安韌性、守護客戶資產

●資安部門角色與分工：完善防護基礎、精進資安韌性、守護客戶資產；訂定資訊安全政策，規畫辦理資訊安全風險管理；規畫辦理資訊安全作業與管理規範；規畫辦理資訊安全交流與合作；規畫辦理各子公司資安績效衡量、監控、報告機制；規畫辦理資訊安全防護、偵測、回應、復原機制；維運資訊安全相關系統；規畫辦理資訊安全教育訓練

 資安大事記 

●2025年：富邦金控獲頒BSI「2025數位信任獎」集團獎；富邦金控打詐，加入「公眾人物反詐通報專用郵箱」機制

●2024年：富邦人壽取得NIST CSF認證，通過ISO 22301營運持續管理續審認證；富邦證券通過BS10012：2017個資保護管理體系認證；富邦投信通過ISO 22301營運持續管理認證；北富銀啟用AI洗防系統「獵鷹系統」

●2023年：富邦產險首家獲主管機關核准試辦行動身分識別；台北富邦銀行攜手刑事警察局，將鷹眼模型AI偵測專利技術無償提供逾30家銀行應用；富邦金控年底取得英國標準協會BS 10012：2017個資保護管理系統認證

●2022年：台北富邦銀行獲得英國標準協會ISO 22301營運持續管理認證，首家獲頒此證的民營銀行

●2014年：台北富邦銀行（安和分行）存匯業務及信用卡業務，通過BSI「BS 10012：2009」資料保護個人資訊管理制度」認證

●2011年：富邦金控旗下銀行、信用卡與證券期貨三大客戶服務部門，領先通過英國標準協會BS 25999營運持續管理驗證

●2009年：富邦金控資訊暨作業本部榮獲ISO 27001認證