兆豐銀行聯合中華資安國際建立SOC / SRM迅速因應資安事件,打造資安韌性健全金融服務網
兆豐國際商業銀行導入中華資安國際SOC與SRM資安管理系統,加速資訊安全事件之掌握與反應能力,提升資訊服務與安全防護之韌性,進一步保障關鍵金融服務保有最佳營運品質。
金融業與資訊應用的關聯十分緊密,數位科技最早應用於商務的目標也是為了管理金流。對IT人來說,將金流與資訊流整合的這段路並不簡單,尤其是金融業背後仰賴龐大且複雜的資訊系統,除了要確保服務穩定、可靠,讓整體環境具備「資訊安全」也是非常重要的課題。
兆豐國際商業銀行資訊安全處處長郭應俊指出,銀行每天要處理非常龐大的敏感資訊與金流,倘若過程中遭遇了資安事件導致系統停擺或資料外洩,不僅影響客戶信任,對銀行營運、商譽也會造成非常嚴重的影響,甚至對整個金融體系、國際金融穩定性帶來衝擊。
「在台灣,兆豐銀行的主要業務涵蓋了存款、貸款、投資與匯款等金融交易,同時也是現任美元、歐元的清算銀行,是六家D-SIBs重要銀行之一。如果發生資安事件影響了相關系統運作,全球金融秩序都會有所影響,而維繫所有資訊服務穩健運行的資安政策,也是我們兆豐銀行非常重視且積極投入的營運目標。」郭應俊處長說明道。
資安監控連動風險管理,落實高標準資安治理目標
要維繫銀行內資訊系統穩定正常,首先要在資安管理與治理等層面妥善規劃,同步搭配功能完善的資安技術防護,再落實管理規劃中的行動與因應方針,藉此打造具備高度韌性的資安防護網。其中技術面的關鍵點,是運用了中華資安國際SOC資安監控服務(Security Operation Center)打造集中化之資安監控平台,同時配合SRM資安風險管理系統(Security Risk Management)之事件處理模組,協助兆豐銀行7x24全天候監控,確保轄下所有資訊設備符合資安規範。一旦發生資安事件時,SRM能針對事件提供應變處理SOP,將資安事件所帶來的傷害降至最低。
除了SOC與SRM兩大資安系統輔助營運,中華資安國際也提供專業的資安顧問諮詢與委託代管等服務,針對兆豐銀行的內部管理規範提供對應的協力支援,包含資安報告分析解讀、資料分析模型提供等,並有支援人力協助管理之委外營運監控,與兆豐銀行資訊安全處相互搭配,大幅提升資安日常管理與緊急應變上的處理效率。
數據圖表精準呈現,量化指標輔助理解資安現況
「資訊安全在IT管理上是一種很抽象的概念,透過中華資安國際的SOC監控中心,能以圖表的方式讓這些狀態具體呈現。一目了然的報表,團隊間彼此『溝通』就更有效率,不論是對於資訊安全處內部討論、與銀行內其他單位水平與垂直溝通,或是外部第三方單位的討論時,這些具體的資訊都能快速凝聚共識,落實後續的安全舉措。」資訊安全處副處長李正仁表示,對於專業團隊如兆豐銀行的資訊處,中華資安國際SOC具體且詳實的報表能幫助雙方快速了解現有狀況,第一時間即時處理,減少溝通之訊息落差。
對於IT專業能力較缺乏的單位,中華資安國際的SOC報表也能提供有效的參考數據,配合專業團隊的說明,能幫助彼此快速了解資安事件的來龍去脈。李正仁副處長以分行作業系統更新狀況為例,點出以SOC平台匯出的報表能匯整統計每間分行電腦的安全更新狀態、建立排序。透過SOC平台的數據圖表,可以快速掌握各單位更新狀態,需要時也可以會同資訊安全處,共同協助各單位執行作業系統更新,有助於資訊安全處與各單位進行溝通,透過量化的數據向同仁們布達相關情況,協助每位同仁落實資安責任。
「不同情境對資安報表的需求也不盡相同,包含目標、權限、對象等不同情況就會產生不同的需求。當然,不同的產業、企業規模與法律規範所需要的資訊也會有所不同,這時候就非常仰賴中華資安國際SOC在報表客製化這塊的大力支援,幫助兆豐銀行在落實資安管理時,能根據個別情境與需求產出兼顧溝通與機敏防洩所需之詳實報表。」李正仁副處長進一步說明。
針對溝通的部分,郭應俊處長也隨之補充:「兆豐銀行在台灣金融產業肩負重任,萬一發生重大資安事件,我們必須向上對主管機關、檢調單位等彙整報告,這時候中華資安國際SOC產生的分析報表就是對外溝通非常重要的資料。」
監控系統搭配人力支援,落實7x24全時段無縫防護
從金融服務的角度出發,資安管理的工作時間是7x24的,而且需要資安專業人員隨時待命,這代表著需要非常龐大的管理人力,因此中華資安國際在SOC監控服務提供多種支援模式,滿足各種不同規模、資安訴求與規範的企業需求。
目前兆豐銀行與中華資安國際合作的SOC監控服務採協同維運的機制,搭配中華資安國際的專業人力來輔助共同管理,分擔彼此的工作時數,藉此兼顧人力與高強度資安管理的訴求。資訊安全處科長楊志文指出,銀行單位是受到高度監管的產業,銀行全體都必須嚴格遵守主管機關或內部制定的資安管理規範,而要達到高強度監控品質,背後所代表的是更多的專業人力需求,因此兆豐銀行與中華資安國際合作,由中華資安國際協力支援7x24的第一線管理人員,輔助掌握整體資安狀況,並在事件發生時協助通報,同時減輕內部人員輪班負擔,完善的合作機制也能提供兆豐銀行充分的處理權限。
「中華資安國際在SOC監控服務的人力也包含了臨時性的技術支援,像是銀行內部資安演練時攻防組別的專業支援等,能讓我們克服人力上的挑戰,這點也幫助我們在演練後養成更敏銳的因應能力。」楊志文科長認為,在確認協力廠商具備可靠的信用與專業下,資安專業委外能充分降低人力成本,尤其是專精資安領域的人員異動時所產生之隱藏成本。「跟外部專業團隊合作,彼此也能交流最新的資安情資,不只是技術或事件,包含資安治理的知識與相關法規等,隨時更新,這部分對資安防護工作而言也是非常重要的。」
SOC支援眾多資安品牌,資料分析符合國際認證所需
為了健全內部的資安管理規範,兆豐銀行參考了許多國內外政府機關監理以及第三方的資安管理規範,並落實一連串的安全防護政策,包含2014年導入資訊安全管理系統ISMS、2015年通過ISO 27001資訊安全認證、2022年通過ISO 22301業務持續營運認證,以及BS 10012個資保護之國際認證等。要能通過多項國際認證,在選擇資安相關方案時就必須以嚴格的標準檢驗,方能符合多項認證之規範。
「兆豐銀行在資安監控中心發展上也是循序漸進的,從最初的資安紀錄管理(Log Management)到現階段的SOC監控中心與SRM風險管理等,為了要達到主管機關的要求,我們在評估各項資安方案時,也都會考量其能否符合各個國內外法規的要求及合乎金融監理的特性,同時在技術面也要考量能否滿足國際標準,SOC監控中心在導入時也是如此。」負責SOC與SRM專案導入,同時具備科技法律背景的資訊安全處科長張哲銘表示,兆豐銀行對SOC與SRM系統的評估非常嚴謹,除了評估相關系統的報表是否滿足各項規範要求,廠商本身的資安實力也是重點,而中華資安國際的SOC服務連續四年皆榮獲行政院資安評鑑A級評價,且母公司中華電信亦有專業的資安研究背景,系統可行性與適法性均無須擔心。
評估SOC監控中心平台時,兆豐銀行也將平台可相容的系統納入評估標準。張哲銘科長指出,SOC監控中心平台會將各種資安相關的紀錄匯整、分析,因此必須要能支援銀行內所有IT系統與資安設備所匯出的相關紀錄,在評估後也確認中華資安國際的SOC監控中心能完整支援兆豐銀行內的所有資安廠牌,充分扛起這家跨國金融業者資安監控平台的重責大任。
廣納國內外標準參考,以風險思維確保金融服務永續安全
回顧兆豐銀行在2017年啟動SOC資安監控中心計畫,到2020年開始與中華資安國際合作,導入中華資安國際的協同維運服務,雙方也共同合作開發TMS威脅管理系統(Threat Management System),並於之後升級轉化為現階段的SRM風險管理系統,將SOC監控中心搭配SRM風險管理,使金融業內的資安監控、管理、處置到緊急應變等資安治理所需的任務一氣呵成,領先臺灣官股銀行,是第一個規劃整合性風險管理平台者,也代表著兆豐銀行的服務品質更加穩健且可靠。
與中華資安國際合作邁入第五年,兆豐銀行的SOC資安監控與SRM風險管理也已經邁入正軌,日常營運中能發揮風險示警的功能,並輔助內部管理即時因應。張哲銘科長表示,資訊安全處將會持續進行SOC成熟度評估的任務,參考第三方機構的準則,及中華資安國際的專業建議,不斷精進,讓轄下的資安管理機制適時、適用、有效率。
討論到資安防護相關方案的布署規劃時,李正仁副處長分享他的觀點,建議企業可參考美國風險管理的方式,運用如風險回報等方式來評估資訊安全投資所帶來的效益,就能把資安方案的投資成果量化,內部溝通時也有助於推動相關資安防護之落實。
鑑於資安防護是一場無止歇的競賽,對於接下來的資安管理整備,郭應俊處長認為,兆豐銀行未來將依循金管會等主管機關提供的金融資安行動方案等政策,並積極參與銀行公會發起的資安自律管理,從整體規劃的方向持續提升資安防護力。不論新興科技與企業經營議題等都會左右金融界資安政策的制定內容,例如人工智慧、ESG永續經營等議題,在這些創新技術帶來新價值的同時,兆豐銀行以積極的態度面對這些風險,不停調整各種資安戰略,導入適合之防護系統與服務,為金融服務的數位安全把關。
新聞來源:IThome
更多關於SOC監控服務