馬堤的剪報筆記

中信銀接受Cybertrust資安管理顧問服務，從2002年開始到2006年底，經過5年的合作，分成3階段導入SMP認證。

中國信託商業銀行日前取得資安管理顧問公司Cybertrust SMP（Security Management Program Enterprise Certification）企業安全管理認證，這也是北亞區第一家取得該認證的企業。中信銀表示，該公司從2002年開始，接受Cybertrust的輔導，分3階段對中信銀的IT架構作全盤檢討、分析與矯正，在2006年底順利取得SMP認證後，未來將視認證取得的需求，以SMP為基礎，進一步介接其他如ISO 27001等資安標準，或其他如新巴賽爾協定（Basel II）等法令規範。

中信銀從2002年開始導入Cybertrust的資安管理顧問服務，該公司資訊長張汝恬回憶道，當初因為中信銀的網路銀行發展已經成熟，以及中國信託商業銀行有「中國」兩字，成為駭客經常性攻擊的對象。「中信銀擔心自己的經驗不足，相關資安訊息取得不夠迅速、即時，為了降低銀行整體的資安風險，因此決定引進外在的資安顧問服務，重新檢視中信銀的IT架構與進行相關風險評估。」張汝恬說。

「中信銀將資訊系統與資安管理，納入銀行的作業風險之中，」張汝恬表示，這也是中信銀與其他銀行，對於IT系統與資安風險做評估時最大的差異點。中信銀在評估導入外部資安顧問服務時，「Cybertrust最後雀屏中選的原因在於，該公司具有很強的資安與數位鑑識的技術背景，能夠補足中信銀IT人員在資安相關領域上的不足之處。」她說。

中信銀開始導入Cybertrust的資安顧問服務，分成3階段進行。其中，最難的系統矯正階段，總計耗時2年。張汝恬指出，包含分行上千臺用戶端電腦，超過500臺伺服器，300多個子系統等，每一個系統從測試、上線甚至到變更流程管理，都必須依照Cybertrust提供的資安風險規範與控制措施，進行系統矯正，某些時候，系統甚至得重新開發才行。經歷偵測、檢視和系統矯正等3階段，一直到2006年初，中信銀針對包含金融資訊系統、網路架構、設施及安全管理等面向，進行資安風險總體檢，並於年底取得SMP企業安全管理認證。目前，中信銀也是北亞區唯一取得SMP認證的企業。

Cybertrust從1997年開始推出的SMP認證，迄今超過10年，不僅是業界相當成熟的認證機制，該公司北亞區副總裁周耀祥表示，經過證明，導入該顧問服務的企業，平均在3個月中，可以降低87％組織的資安威脅。

SMP是一項以風險評估為基礎的顧問服務，包含政策、人員、組織體質、設備及網路等5大控制群組，其中更詳列31項控制措施。目前全球已經有超過 1600名客戶，導入SMP資安顧問服務或取得認證，其中6成是財務金融相關企業，另外4成則包含高科技產業、運籌業、水電基礎公司，以及少數政府部門。

周耀祥指出，SMP認證與其他資安認證，例如ISO 27001，有很大的不同點在於，「ISO 27001是一項資安標準，而SMP則是一個循環式的認證過程，必須經由持續性的評估活動組成。」也就是說，當企業取得SMP認證後， Cybertrust會持續導入控制確認的認證機制，確保企業符合SMP相關規定與準則。

假若原先取得SMP認證的企業被Cybertrust發現，該企業已經不符合原先的認證標準，Cybertrust會給企業30天的改善期，如果還是無法在時間內改善問題並重新符合認證標準，Cybertrust會撤回該企業使用或展示Cybertrust SMP認證的許可。

SMP認證獲得全球許多大型企業認可的另外一項重要原因在於， SMP安全控制要項，與取得ISO 27001資安認證所必須完成的條件相符合。中信銀資訊安全管理科協理方振維便說，「SMP認證與ISO 27001資安認證，相似度高達8成。」

因此，取得SMP認證的企業，若需要進一步取得ISO 27001資安認證，相對容易許多。此外，SMP也是一套資安方法論，企業若需要符合沙賓法案（SOX）、新巴賽爾協定、HIPPA或者是ISO 27001等，都可以在SMP的平臺上，往上發展。

目前中信銀每天遭遇到可辨識的資安威脅，包含Port Scan在內，平均為1天10次左右。「導入SMP資安顧問服務迄今，除了慶幸沒有發生駭客入侵成功的案例外，」張汝恬說，「也提升資安團隊的警覺性，更重要的是，資安團隊能夠化被動為主動，找出可能的行為異常，並縮小可能的受害範圍，且保留足夠的跡證做後續追蹤調查。」

ITHome 文⊙黃彥棻