宏泰人壽是第一家導入BS7799的壽險業,事情要從1999年開始說起,當時宏泰人壽的前身是宏福人壽,因為宏福人壽第一任的總經理楊諭傑,希望針對資訊系統導入所謂的「電腦稽核」,成為開始接觸資訊安全的契機,當時並沒有太多人知道什麼是電腦稽核,於是便委託勤業眾信管理顧問協助導入,導入一年之後,在2001年開始針對各種軟硬體設備與工作流程提出改善建議,同時間剛好BS7799在臺灣萌芽,宏泰人壽就進一步計畫導入BS7799,從2002年開始,歷經1年多的籌備、制定工作流程、準備文書資料、公司搬家,直到2003年才正式取得認證。
早期導入BS7799,
時間與金錢成本相對提高
談起這個在當時算是很時髦的BS7799經驗,宏泰人壽保險資訊部經理李銓林不諱言的說,一方面是當時導入太早,提供顧問服務的廠商很少,市場不像現在競爭相當激烈,所以導入的成本相當高。另一方面,因為對這個領域完全不熟悉,能夠自己做的成分很少,大部分的制式報告、文書資料多仰賴顧問公司完成,這個部分也拉高了一些導入成本。
談起BS7799,李銓林表示,所謂的BS7799精神,很多大項目在一般有制度的資訊單位,應該都已經是例行工作,只是BS7799提供更多細節的部分,尤其是一些大家大家很容易忽略的,或是可以做的更仔細的,就由BS7799來補強。
「舉例來說,大家都知道要做資料保密,但是在影印機旁邊貼上提醒的小標示,要大家記得把印好的東西帶走,或是必須做廢的資料,最後有沒有用碎紙機銷毀?這類細微末節的安全把關,都是進一步發揮BS7799的精神。」他說。
評估企業可承擔風險程度,
再採取合適措施
李銓林覺得BS7799是把風險評估的觀念帶進企業,企業資訊長應該評估企業自身可以承擔風險的程度,以網路斷線為例,銀行可以承受的斷線時間可能只有幾分鐘,但是壽險業就可能可以忍受2到3天。企業不一定要採用最高的安全層級,或是滿足所有資安需求,一定都要投入幾千萬做異地備援嗎?成本會不會太高?「企業經過風險評估,才有辦法去想什麼是你的企業最合適的措施。」李銓林說。
壽險業最重要的就是客戶資料,現在宏泰人壽有高達26萬筆的有效保單資料,每筆資料的週期長達數十年,資料儲存是很重要的課題,他表示,在預算有限的情況下,盡量遵照BS7799的原則辦理。資料天天進行磁帶備分,分別儲存在兩棟大樓不同的伺服器中,每周再儲存到中央系統,雖然備分與復原有時間差,但是還在宏泰可以承受的風險範圍。
宏泰人壽每個部門都有所謂的作業流程手冊,規範一些工作流程與軟硬體設備標準等,BS7799的目的就是重新檢視這些工作流程,套用它比較先進的觀念,把原本沒注意到的細節補強。另外一個重點,就是協助企業檢視工作流程本身是否符合政府的法律規範。
自建符合BS7799精神工作流程,既經濟又實惠
拿出花費了一翻心力才完成的好幾本BS7799作業流程手冊,所有的資訊安全政策都在裡面,李銓林笑著說:「費用成本都是花在製作手冊。」只要人員有異動、工作流程有改變、軟硬體設備有增加,就要重新修改手冊內容。宏泰人壽還成立一個資訊安全委員會,資安委員長由總經理擔任,委員成員包括各單位主管,由資訊部襄理林昌儒擔任資安工作負責人,職務等同於企業內的資安長。
許多企業在導入BS7799時,一開始並不會全面引進,而是從一些特定部門開始,宏泰人壽當時礙於導入成本及業務投入程度,也沒有將整個資訊系統納入範圍,只能將當時的新興部門「電子商務部」列為範圍,由這個8人小單位取得認證。一方面是小範圍的導入較為容易,小單位執行成功後,可以將相同經驗複製到公司其他單位,這也是宏泰人壽這幾年來的做法。
一般認為資訊部門最需要導入,但他強調一般工作人員更缺乏資安觀念與訓練,更需要受到BS7799的訓練與規範,資訊人員其實比一般員工更具備安全觀念,訓練也更容易。
流程循規蹈矩,
有沒有取得認證並不重要
BS7799必須經歷相當程度的「繁文縟節」,從前期準備工作,到後續的大量文書工作都相當繁重,而這些報告是否絕對必要值得商榷,李銓林則建議BSI可以稍微簡化這部分的工作方式,有些細節雖然考慮較為周全,但實際執行上會有困難,工作流程也會變得很複雜。
他舉了一個實例,像是要求清潔辦公室的清潔人員簽署保密協定,尤其清潔公司有很多臨時雇員,或是根本沒有固定的清潔公司,這個部分就很難真正做到。所以就要回到風險評估的原始精神,防堵真正的風險來源,比較不重要的部分就可以「放鬆一點」。
由於認證3年期限即將屆滿,宏泰人壽會不會「重新再來一回」?或是擴大導入範圍?李銓林毫不避諱的表示,雖然建立了公司整體對客戶資料的安全觀念,但確定不會繼續取得新的認證,並非BS7799沒有發揮成效,而是重拿跟擴大導入範圍的投資成本太高,只要所有工作流程都能遵循BS7799的規範與精神,他認為,有沒有取得認證並不重要。文⊙高雅欣
為了發展電子商務,
未來考慮改走開放架構
宏泰人壽的電子商務與M化都做的很早,先期導入的成本的確比較高,李銓林建議企業還是謹慎選擇,不要一昧趕流行,他認為電子商務是壽險業必然的走向。
由於人壽產品較其他壽險產品複雜,核保、理賠、保服等後續工作相當繁瑣,再加上服務還是需要與業務員面對面,不像產物保險、意外險或是旅遊保險可以直接線上購買,所以現在只有簡易的人壽保險可以放到線上。
但是隨著客戶越來越年輕,上網購物的習慣已經養成,如何針對這個族群提供新型態的線上產品跟服務,李銓林認為目前最大的挑戰就是由既有的封閉系統走向開放。要提供網路服務,系統勢必得開放,但又無法信任微軟的Windows系統,要如何兼顧資訊安全?李銓林正在尋找既安全又開放的可用技術。
PROFILE
CIO小檔案
李銓林
宏泰人壽保險資訊部經理
●學經歷:逢甲大學企管系,臺育企管顧問公司以及宏泰人壽保險資訊部經理。
公司檔案
宏泰人壽保險
●主要業務:宏泰人壽保險,為宏泰集團成員之一。1999年7月宏泰企業買下宏福人壽,並於2000年1月1日正式更名為宏泰人壽。只要提供人壽保險、投資型保險、醫療保險、傷害保險、旅行平安險、團體保險及保險專案等產品。
●員工人數:320人
●IT部門人數:20多人
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-03
2024-12-02