國華人壽導入ISO 27001告別草莽時期

去年下半年，如果走進國華人壽的電子商務部，一定會感受到一股兵荒馬亂的氣氛，因為該部門正投入在ISO 27001資安認證的準備工作中。在經過一連串緊鑼密鼓的會議討論，文件書寫，教育訓練，實作之後，終於在去年底通過BSI的認證，成為國內第一家取得ISO 27001證書的壽險業者。不僅如此，該公司在133項評估項目當中，不論是主要缺失、次要缺失，都拿下零缺點的亮麗成績，只有2項輕微的瑕疵，被列為觀察建議事項。這樣的成績就連認證單位BSI，都感到意外。

帶領團隊完成這項任務的國華人壽電子商務部協理藍禮華表示：「是不是第一家取得認證，或者總評成績有沒有比別家公司好，我並不特別在意。重要的是，我個人把這個認證，當成是為電子商務部建立典章制度的一個儀式！」

藍禮華指出，在導入這套資安規範之前，該部門的資訊工作處於「頭痛醫頭，腳痛醫腳」的草莽時期，做法比較沒有系統、沒有頭緒，而「ISO 27001是一套很好的方法論，比起自己一點一滴摸索，直接採用這套做法等於是走捷徑一樣，何樂而不為？」他說。

2年前公司網站被駭，隨即派員了解BS 7799
事實上，國華人壽電子商務部早在2003年就開始為了取得這個資安認證而暖身。嚴格說來，真正的引爆點是因為那一年，美國與中國大陸正進行一場駭客大戰，國華人壽的網站被誤認為大陸網站而遭竄改，當下該公司深刻體會到建立嚴密資訊防護的急迫性。於是，隨即撥了10多萬元預算，派了2名資訊人員去上BS 7799的課程（BS 7799/ISO 17799在去年10月才正式改版成ISO 27001標準，因此該公司前幾年的準備工作都以BS 7799為準則）。

這2名資訊人員是種子部隊，把這套方法、觀念帶回部門後，便開始著手檢視現有制度與BS 7799規範的差距，並想辦法朝著規範中的理想模式邁進。「這個階段，主要是把基礎架構建立起來。」藍禮華說。

由於國華人壽打算認證的範圍定在電子商務部的機房，因此，第一步就是檢視基礎架構的完整性，比對規範的需求之後，針對比較重大的風險來源，在2003～2004年間，陸續把網路線路補足，引進頻寬負載平衡，還添購了弱點偵測及入侵防禦的系統。此外，也建立了比較嚴密的備份、備援的制度。為了讓這些基礎架構完備，前後大約花了500萬元左右添購各項設備。

不僅資料要備援，甚至人力也要彼此支援，因此當時也增添3名資訊人員。

這些基礎都打好之後，才開始覺得「是拿認證的時候了」。於是去年5月，選定了顧問公司，便進入真正的導入期。雖然已經經過2年的暖身，不過真正進入導入階段，卻仍然陷入「水深火熱」。

資訊資產風險項目，林林總總高達1萬多項
在ISO 27001的規範書當中，主要利用10多個專章，分別針對企業的安全政策，組織安全，人員安全，實體環境安全，通信安全，存取控制，系統開發之維護等等項目要求加強管理。這些專章之下，又分別明列出許許多多的控制目標，企業在導入這套規範時，則必須老老實實地為這些控制目標，找出切實可行的施行方案。一般在導入這套方案時，最痛苦的，倒不在於找出防堵風險的方法，而是辨認出風險來源、定義出風險層級，國華人壽便在其中經歷了十分折磨的過程，「光是第一個步驟，辨認資訊資產、定義風險，就花了一個多月！」藍禮華說。

之所以花費很長的時間，在於一開始摸不著頭緒，同仁們針對自己負責的資產項目去辨認風險時，不僅繁瑣、缺乏系統，且往往不知要做到什麼程度，

他們是進行到了第三個禮拜時，才發現這樣針對枝微末節的細項訂定方案不是辦法，於是才回頭把大原則訂出來，後來一共訂出8大項資產分類（包含運算設備、作業系統、網通設備、應用軟體等等），所有資產都在可以在其中找到分類，接著在這些分類下又再根據重要性訂出風險的輕重程度等原則性規範。

舉例來說，在作業系統這個資產項目中，先大致列出所有作業系統必須注意的風險來源，包括軟體本身的瑕疵風險，人員操作的風險等等，因此只要是作業系統，就套用這些項目，不必再一一重新檢視，但作業系統又分很多種，以風險承受度來說，伺服器的作業系統比起桌上型電腦的作業系統，更不能忍受風險，這兩種作業系統大致的風險項目相同，只是依照需求，調整其風險程度以及作法嚴密度即可。

這套標準訂出來意義很大，因為它最後成為部門可長可久的制度，未來再添購資訊軟硬體，只要依照這套標準，便可以輕鬆將之「歸位」，進行控管。

在找到對的方法之後，資產清算及風險辨認的工作便得以加速進行，最後該公司針對現有資訊資產所清查出來的風險項目，加總起來共有1萬多項之多！

針對1萬多項風險加強控制，交織出嚴密防護網
雖然該公司界定的範圍在機房的管理，但這1萬多項風險項目當中，不僅是機房裡的軟硬體設備，還包括了會與這些資訊資產接觸的所有的人員，包含資訊人員，業務人員乃至於該公司的客戶，而透過徹底清查出來的風險項目，所做出的控管方案，則交織出一套完善的資訊安全防護網。

藍禮華指出，這套制度建立起來，也讓資訊部門從人治走上有法可循的制度化管理階段。他舉例，以前程式開發人員享有很大的自由度，他們開發出各種程式如果需要異動，通常也必須找到原開發者，別人需要花很多時間搞清楚原開發者的設計邏輯及流程；現在遵照風險控管的原則，不能再容許這樣的情況存在，因此程式開發從一開始開發就被嚴密控管，包括必須畫出設計流程，以便日後查詢。開發過程當中，所有版本也利用流水號碼進行集中管理，避免存取時弄錯版本。任何程式上線前則必須經過一定的測試程序，並經過主管核可才可上線。甚至包括只是一個小修改，程式人員也必須遵照一定的程序來作，並同樣經過主管核可才上線使用。

這對程式開發人員來說，是個很大的衝擊，一開始不免產生不被信任之感，「不過這就是ISO 27001的精神，任何有可能發生風險的地方，都要找到方法控制住。唯有強迫大家這麼做，才能改善原有的積習，轉型成以制度來運作的單位。」藍禮華說。他並表示，現在制度建立起來，他便完全不擔心部門會因為一個同仁離職就搞得雞飛狗跳，因為現在所有作業都有辦法按照一定的程序，找到作業的方法，別人要接手也比過去容易了。

另外一個他認為ISO 27001為該公司帶來的好處，是導入了事件追蹤的概念。他表示，過去一些危機發生了，同仁就盡快把它排除就是了，不過卻不保證下次不會再發生。導入ISO 27001後，規範中明訂必須紀錄所有事件的發生，並且追查出事件發生的來源，找出那個原先沒注意到的風險，並想出解決方案防止事件再度發生。

藍禮華認為，這個概念能讓資訊部門的工作進入正循環，每次事件發生就是契機，長久以往，透過不斷的改善，系統、制度也會越來越緊密周延。文⊙何玉美

CIO小檔案－藍禮華
國華人壽電子商務部協理
●學經歷：中央大學數學系畢業後，於1988年進入國華人壽企劃部擔任精算人員，3年後轉入資訊部工作，歷任科長、襄理及副理等職務，2001年銜命成立電子商務部，歷任經理、協理等職務，2年前並開始兼任證券投資部主管。

公司檔案－國華人壽
●公司成立時間：1963成立
●主要業務：人壽保險
●營業額：2005年總保費收入355億元
●電子商務部：2001年成立，主要負責網站系統的維運
●電子商務專屬IT人力：28人
●電子商務部IT預算：每年約3000萬元
●電子商務部IT分工：1.公司網站之建置與發展。2.營業單位電腦化之建置與發展。3.業務人員行銷系統之建置與維護。4.總公司行銷系統之建置與維護