光罩業拿資安認證鞏固客戶

臺灣手機代工業者在2007年，便已經開始因為客戶要求，主動導入第三方認證的ISO 27001資安認證，藉此取得客戶的信任。這種因應客戶要求進而取得資安認證趨勢，也開始在高科技業蔓延。

臺灣最大的光罩業者中華凸版，為了確保相關IC設計廠商智慧財產權的資料安全，主動導入ISMS（資訊安全管理系統），並取得ISO 27001認證。協助輔導中華凸版導入ISMS的資誠企管顧問公司指出，中華凸版是以流程為認證範圍，能真正做到確保重要客戶機密資料的保護。

解決因人設事的防護作法
中華凸版行政管理處副處長許玄宗指出，中華凸版母公司日商凸版印刷是印刷起家，印製的產品包括日本紙鈔、郵票、獎券等重要的機密文件。許玄宗說，也因為母公司長期負責機密文件的列印，對於客戶機密資料保護，老早就有一套管理準則在運作中。

只不過，這一套機密資料管理的準則，常常必須要因人設事，也得要因地制宜，往往每一個客戶都有自己一套對於機密文件的規範流程。例如，A公司機密資料要採用AES-256位元的加、解密方式，不能透過FTP傳送機密資料，但B公司的加解密機制，可能只需要到AES-128位元即可，而且對於傳送方式並沒有設限。

因為中華凸版要因應不同客戶對於機密資料不同的保護方式，雖然客戶不同，但許多基本的防護作為，還是有一定程度的相似度。為了解決這種對於保護機密資料疊床架屋的作法，中華凸版總經理松澤優一表示，凸版集團全球有10個光罩廠，他在看到其他3家集團光罩廠進行資安認證同時，決定自我挑戰，成為集團內第4家取得ISO 27001資安認證的光罩廠。

以流程為認證範圍
資誠企管（PwC）價值管理服務部協理李少華表示，「和其他高科技製造業導入ISMS相比，中華凸版最大的特色在於，以整個流程作為認證的範圍。」他指出，如果企業導入ISMS只是因應上級法令規定，不是真正的理解到落實資安準則的重要性，在進行ISMS導入時，常常是虛應故事、敷衍了事，就可能會出現以IT部門、機房甚至是幾臺專屬伺服器做資安認證範圍的一般作法。

中華凸版資訊工程處處長陳汾碩指出，對於光罩產業而言，機密資料包含實體的光罩，以及客戶元件設計的數位機密資料。因為光罩是半導體業的最上游，每一個客戶的設計資料都攸關機密，每一個客戶都有一套對於機密文件的要求與規範。他表示，此次導入ISMS的過程中，遇到比較大的瓶頸在於，如何釐清每一個職位和人員對於機密文件存取的權限。

李少華表示，以流程作為資安認證範圍有很高的門檻，主要的原因在於「流程很難認證」。陳汾碩則說，這一次資安認證的流程從資訊流的流程來看，包括面對客戶、取得客戶機密資料的客戶服務部門（CE部門），經手資料處理的製造設計CAD部門，以及提供設備與追蹤的IT部門。整個流程中，雖然客服、CAD和IT是主要認證的3個部門，但陳汾碩指出，後勤支援的行政管理部、財會部門、人資部門和法務部門等，雖然不直接做資安流程認證，但這些後勤部門對於機密資料的保護也很重要，仍舊適用相關的機密資料防護的作業流程。

取得資安認證可為企業帶來實際營收
中華凸版在通過資安認證後，可以獲得5大好處。松澤優一表示，最大的好處就是獲得客戶的信任，吸引到新的客戶下訂單。最明顯的例子在於，中華凸版在今年4月取得ISO 27001的資安認證後，原本一間沒有合作的客戶在聽到這個消息後，便要求要拜訪中華凸版進行相關的稽核。在完成相關的拜訪後，該客戶就直接下單給中華凸版了。

這樣的拜訪並非特例。松澤優一表示，客戶願意相信ISO 27001這個國際性的資安認證，在中華凸版取得認證不到2個月，就已經有4家不同客戶進行拜訪或稽核，且稽核的對象並不侷限於單獨IT或生產部門。對於業務部門與客戶溝通時，有這樣的國際資安標準，對說服客戶相信中華凸版有能力保全相關的重要資料，是一個非常有力的證明。

再者就是，中華凸版可以順利、安全地取得協力廠商的重要資訊；也因為從廠商到客戶，中華凸版都能夠做到共同合作與開發，相對的，銀行對於企業銀根與財務也會比較信任。在上述的前提下，最終的好處，也是最實際的好處就是，取得資安認證可以為企業帶來實際營收的增加。

從這裡也可以發現，「對於包括光罩產業在內的高科技製造業而言，擁有一套對於機密文件管理的基本控管措施，是吸引客戶的重要關鍵。」松澤優一說。

帶動資安文件標準化與文件化
取得資安認證除了帶來業務上的效益外，對中華凸版在IT系統上帶來最大的好處就是資安文件標準化與文件化。

松澤優一說，以往，中華凸版要因應不同客戶的資安要求時，不同的客戶有不同的資安要求，就得遵守不同的資安控管流程。雖然都是資安的標準，但每家客戶資安標準都不一樣，中華凸版就得同時實施、遵守多套標準。在確定以ISO 27001作為最終的標準時，中華凸版所有現行的規範和程序，都必須統一到ISO 27001上。

但在導入ISO 27001之後，所有客戶的資安要求全部以ISO 27001為主。有了共通標準，客戶相信這個標準，對中華凸版而言，在執行面上，也只需要遵守一套完整的資安流程即可。

在實際執行的過程中，中華凸版面臨最大的瓶頸在於，將各種客戶資安標準的統一與文件化。由於先前必須針對不同客戶而有不同的資安規範，松澤優一說：「在進行各種資安文件、規範的統一時，中華凸版就整整花了3個月的時間進行資安規範和文件標準化的動作。」這個時程也比原本預定的時程晚了1個月。

也因為文件的統一是整個資安制度導入的瓶頸，當這個門檻跨過後，中華凸版在整個流程進度的掌握上，就逐步追上應有的進度。到農曆年前，整個進度只比預定進度晚一周，到了3月時，執行進度與預定進度完全一致。

做到一致性的管理
李少華表示，資誠企管在協助中華凸版導入ISMS的過程中，從3個構面去看整個ISMS的架構。首先，光罩產品的特性在於時間短、可用性高，因此在做資安管理前，必須先做好風險的盤點。其次，許多企業知道要重視網路安全，但常常忽略應用程式以及實體紙本的安全管控，李少華說：「企業在導入ISMS之前，應該要有一致性的管理活動。」

第三個構面面臨的問題則是，許多跨國企業在進行區域性的管理時，公司很多資產在價值認定上，常常會因為母公司、子公司的不同，而有不同的價值認定。例如，重要的研發資料，在總公司一定是最高機密等級，相關的防護措施一定設法做到滴水不漏。但同樣的研發資料，在分公司的業務同仁而言，或許就只是一種吸引客戶上門下單的誘因或利器。同樣的機密研發資料，在母公司和子公司可能會有不一致的管理措施，李少華認為：「資訊風險管理應該要從法規、客戶與合作伙伴，找出一套資安控管一致性的作法。」

臺灣BSI訓練部協理蒲樹盛觀察指出，目前高科技業在ISMS的導入上，雖然相關的管控作為上都比較落實，認證範圍也比較有規模，但導入ISMS資安制度，對於整個高科技製造業產生的群聚效益並不明顯。

蒲樹盛說，「即便是高科技製造業陸續導入ISMS的資安管理制度，但前提仍是各公司自行評估所需，並不是一個全產業的集體共識或行動。」但他有觀察到，雖然許多企業對於導入ISMS有不同的觀點，但對於企業持續營運管理的BS 25999的標準，的確有較高的共識。文⊙黃彥棻

中華凸版總經理松澤優一： 用IT落實光罩廠機密資料的安全

光罩廠是半導體業的最上游，中華凸版平常與上下游廠商都保持非常緊密的互動。中華凸版日籍總經理松澤優一一畢業就在日本凸版印刷集團的光罩廠工作，在光罩產業已經有20多年的經驗，他2年前來臺擔任中華凸版總經理一職之前，則是日本凸版印刷集團另外一間光罩廠的廠長。 因為松澤優一非常清楚光罩產業的價值與作業流程，他在接受本刊專訪時便指出，「不論是做到企業客戶機密資料的保護，甚至是落實企業公民的責任， IT系統都是攸關客戶滿意的重要關鍵。」 iThome問（以下簡稱問）：中華凸版對社會的企業公民責任為何？ 松澤優一答（以下簡稱答）：中華凸版是臺灣最大的專業光罩廠商，而光罩則是所有半導體產業的最上游。對於中華凸版而言，光罩產品並不是直接用在終端消費者身上，而是將整個IC設計的圖稿，分層繪製於玻璃基板上，此產品稱為光罩，光罩是晶圓製程的模具，晶圓利用這些模具製造IC晶粒，封裝測試後才應用在各種DVD播放機、電視機、電腦等3C產品上。 光罩對於這些產品而言，都是所謂核心的零組件，也是心臟部位。對於中華凸版而言，最好的企業公民責任就是提供最好的、最安全的光罩產品，給這些3C產品製造廠商製造出最好、最安全的產品。 問：你對IT部門的期許為何？ 答：IT可以分成廣義和狹義兩種。對整個資訊流而言，IT是非常廣義的，與社會、客戶相關的資訊都可以視為廣義的IT。若是定義為狹義的IT，除了單純指網路、軟、硬體設備外，所有與光罩生產相關的資訊，都在狹義IT的範圍中。 中華凸版IT部門的工作範圍，從客戶端到設計的資料，第一個是如何處理相關資料，接下來就是實體光罩的製程，而這個光罩製程牽涉到所有的部門，IT部門就扮演非常關鍵的角色。 不論是從客戶端到生產光罩所需的資料，或者在與客戶溝通及釐清、確認客戶需求時，IT部門必須做到確定相關資料的安全性。因為妥善保管客戶生產資料，杜絕任何外洩的可能性，IT部門必需要有良好的組織管理和流程控管。 問：當安全成為IT部門重要職責時，中華凸版怎麼落實資安控管？ 答：在保全資料安全的前提下，中華凸版開始作資安管理制度的導入，主要的目的還是希望能讓客戶信賴，有更多其他合作機會，進而為公司帶來好的利潤，讓製造廠商生產更多更好的產品。 中華凸版經過評估後，決定採用第三方的安全認證：ISO 27001。這個認證雖然是在臺灣取得，卻具有全球效力。這樣的國際性資安認證讓中華凸版的客戶，有一個客觀比較的資