群益證券藉外部稽核落實資訊治理

群益證券藉外部稽核落實資訊治理 
文/黃彥棻 (記者) 2010-01-19 

http://www.ithome.com.tw/itadm/article.php?c=59088

群益證券是臺灣第一個同時取得ISO 27001、BS 25999和ISO 20000等三合一國際認證的企業，因為嚴謹的外部複審機制，獲得主管機關同意減免外部稽核

重 點
● 群益證券透過定期外部稽核，達到公司資訊治理目的
● 群益證券的外部稽核獲得主管機關的認同予以免驗

臺灣證券業進軍中國市場，第一個被中國業者點名合作的券商就是群益證券，而群益證券更是第一家獲得證交所、期交所減免外部稽核的證券業者。

群益證券近年來陸續取得多項的IT國際認證，該公司總經理周康記表示，取得的每一張IT國際認證的出發點，除了提高群益證券的知名度外，最主要原因就是為了落實對客戶的承諾。他說，為了確保客戶資料的機密性，2006年3月成為臺灣第一家通過ISO 27001資安認證的證券業者；為了避免企業營運中斷，2008年10月將所有業務部門都納入BS 25999的認證範圍；為了提升IT部門的服務品質，2009年12月取得ISO 20000認證。

群益證券執行副總裁賈中道表示，近年來透過取得國際認證與定期外部稽核，落實組織內的資訊治理。

群益證券執行副總裁賈中道則指出，該公司透過一次次定期外部稽核，維持認證有效性，最重要的目的在於，希望藉由定期的外部複審和稽核制度，做到對外部客戶和股東負責、資訊部門自我提升，及強化組織內資訊治理目的。

率先同業取得資安認證
從2004年開始，證券業者陸續轉變成財富管理業者，這期間，群益證券為了確保客戶相關個人和財產的資料安全，開始導入資安機制與標準。因為資訊部門是群益證券各部門中，最有機會接觸到客戶機密資料的部門，因此，群益證券在導入資安認證時，第一個階段就是將全部的資訊部門，納入ISO 27001的認證範圍。

賈中道坦言，剛開始導入資安認證時，IT人員反彈大，但有鑑於證券業核心系統變動頻率高，如果客戶資料和下單資料都暴露在IT部門員工下，例如四大基金的下單狀態不設防，被IT人員得知而跟著下單，對群益證券的信譽將造成嚴重損傷。

賈中道說：「導入ISO 27001資安認證其中一個重要的目的就是希望透過建立ISO管理體系，並將資訊安全流程標準化。」ISO 27001總共有11個資安領域、133個控制措施，群益證券將整個資訊部門納入資安驗證範圍，做到全面檢視資訊流程、提升同仁資安認知。

從2006年取得ISO 27001資安認證以來，最主要的目的就是在於保護客戶交易權益和客戶敏感資料，賈中道指出，群益證券資訊部門迄今已經通過8次的複審，除了維持ISO 27001資安認證的有效性，透過每一次專家建議，都可以讓資訊部門資安作為更落實。他進一步指出，他說：「從群益證券落實每一次的外部定期稽核的作為，更獲得證交所和期交所主管機關的肯定，成為第一家減免外部稽核的證券業者。」

企業營運中斷復原時間為1小時
群益證券有臺北總公司，還有香港、上海和越南分公司，提供的各種證券交易業務，讓該公司一天盤中時間高達23小時。也就是說，如果群益證券業務因故中斷一天以上，就損失了23小時的交易金額。

一般人或許認為企業營運中斷難度很高，賈中道以群益證券臺北總公司所在的信義區為例，曾經在1年內發生纜線被挖斷4次，盤中2次無預警停電，總公司樓下餐廳發生小火警等造成營運暫時中斷。由此看來，要導致企業營運中斷的原因很多，難度甚至也不高。

群益證券為了降低企業營運中斷的風險，賈中道說，在取得BS 25999企業持續營運認證之前，該公司從2002年開始陸續進行機房整併，最後只剩下總公司的機房，和桃園中華電信富國機房的備援機房。

企業持續營運除了硬體設備外，組織管理和同仁意識，才是最終關鍵。依照目前法律規範，證券業者可以中斷營運時間為4小時，為一個證券交易日。但在總經理周康記的要求下，群益證券營運中斷的復原時間為1小時。

群益證券將所有與業務相關的部門，包括證券、期貨、付委託等部門，全部納入BS 25999的認證範圍內。賈中道說，群益證券在總經理全力支持與授權下，並納入所有高階主管，成立營運持續暨資訊服務委員會，由總經理擔任指揮官，賈中道則為代理人。他說：「在公司高層全力支持下，企業營運持續認證範圍才能完全納入業務和IT部門。」

賈中道指出，群益證券導入BS 25999有一個很重要的關鍵在於，各個工作執掌代理人的確實維護，一旦有發生任何同仁職務變動，相關的人事系統就會顯示相關代理人的變動。他也說，同仁要到異地辦公室辦公，若要能夠順利執行業務，很重要的關鍵在於聯絡人資訊和所需業務資料的確實備份。

企業持續營運認證在導入的過程中，賈中道認為，應該由業務主管決定應該承擔的風險水準，及提供業務流程面的緊急復原程序；而IT部門則依照業務部門提出的流程，提供所需要的資訊系統和相關的基礎建設。他說，IT部門也應該協助業務部門找出各部門的關鍵活動，並將資源切實投入在關鍵流程中。

賈中道說，透過每半年BS 25999定期演練和外部定期複審，每次都有持續改善空間。以同仁到異地辦公室上班為例，原本動員要1小時，現在只要46分鐘，50％重要系統都能切實復原，事先安排好異地辦公室座位表和電話號碼，就是流程持續改善的最好例證，也是透過外部定期稽核，落實內部資訊治理的例證。

落實IT服務水準標準化
賈中道說：「當公司業務開始放大前，IT部門就必須要先能做到作業流程和系統標準化。」對於以「秒」做為獲利單位的證券業而言，IT就是公司獲利和打仗的武器，群益證券光是盤中交易就有10多種， IT部門人員更從2001年的36人，成長到2009年的100人，賈中道表示，這也對IT部門造成一定的壓力，那就是，IT部門要提供業務單位好的服務，IT部門自己就必須先將所有的流程做到標準化。

要做到IT部門服務流程標準化，賈中道說，由IT部門和其他內部部門簽訂SLA（服務水準協議）是第一步。他坦言，IT部門和業務部門溝通SLA時，業務部門都希望做到100％，但在成本的考量下，提供過去與同業的資訊比較，在IT部門和其他業務單位同意下，SLA訂99.684％。

IT部門和業務單位簽訂SLA，IT部門就必須有能力做到標準化服務的提供。所以，群益證券花了107周的時間，進行ISO 20000總共有13個流程的導入。其中，勤業眾信的顧問服務只有7個月，剩下的則是採購HP OpenView服務管理流程系統的測試和使用。

藉由導入ISO 20000標準流程，賈中道說，一旦盤中發生異常事件時，IT部門負責同仁就可以透過ISO 20000事件管理流程，將意外的衝擊降到最低，之後再透過緊急變更上線流程，有效處理該事件並符合資訊安全的要求。若要有效控制變更風險，則可以透過CMDB各組態元件的關係，作為評估變更風險的參考依據。

賈中道認為，導入ISO 20000對IT部門最大成就就是，內部客戶對IT部門的滿意度，從2008年的3.68分，提升到2009年的3.85分；在此同時，IT部門每個月能夠處理的需求單，也從每個月的500多件，提升到每個月600多件。文⊙黃彥棻