中國砂輪資訊部副理房嘉輝說,當公司進行數位優化、數位轉型的過程中,公司整體資安成熟度的階段是首要入手之處,因為資安成熟度評估可讓企業本身知道有那些優缺點,進一步更落實數位轉型的資安部署。
台灣著名的陶瓷之鄉鶯歌,臥虎藏龍,有一家民間企業明年即將歡慶已創立˙70年的中國砂輪(簡稱中砂),中砂首創半導體 CMP 製程拋光墊修整器(鑽石碟)取代了美、日國家先進產品,成為國內外半導體廠製造晶片不可或缺的工具。中國砂輪 KINIK ,不但是台灣一家砂輪專業製造廠,持續保持傳統產業中的翹楚,同時也晉身為高科技產業成為台積電供應鏈中的供應商一員。
「20 年前,中砂數位化列隊入內,從防火牆的導入和自建郵件伺服器(Mail Server)設備為起點,當時中砂的服務項目是多元化成長,國內外合作廠商陸續加入,中砂廠房持續擴建且大量編制人員,因此數位化的導入讓內部員工、外部合作夥伴透過數位化管道,讓彼此溝通與互動上更加便利與效率提升。」中砂資訊部副理房嘉輝,回憶起 20 年前公司數位化的導入過程,依舊展露出炯炯有神的眼神熱情地分享。房嘉輝副理任職中砂公司資訊部門 25 年,幾乎可形容資訊部是房副理的第二個家,房副理一路伴隨且親力親為,中砂公司內外部的資通訊與資安系統的規劃、導入、運作、管理與維護。
穩扎穩打 – 邁向數位轉型
企業導入數位化,表示企業資訊流通,邊際的開放,也瞬間提高資安的風險,例如企業機敏資料的外洩、不預警的入侵攻擊威脅。我們長期觀察發現企業的資安破口,多數來自郵件的收發管道被入侵或是員工上網隨意點閱所致。由於中砂業務特殊性的關係,對於資訊內外的傳輸,均秉持謹慎處理的態度,所以資訊安全部署上,防毒、閘道安全防護及端點安全防護的設備是備齊的,同時對於企業的軟硬體資安管控也同步進行。
房副理提及,當公司進行數位優化、數位轉型的過程中,公司整體資安成熟度的階段是首要入手之處,因為資安成熟度評估可讓企業本身知道有那些優缺點,進一步更落實數位轉型的資安部署。我們則是透過經濟部工業局推動產業共通資安服務平台(SECPAAS,Security Platform as a Service)找到竣盟科技公司協助我們進行成熟度評估及封包檢測與弱掃,竣盟科技對我們公司整體資安建置部署上給予許多專業且務實的服務與建議。
用一句話來形容資安管理是「管理人的行為」,對於員工大量使用資訊數位化便利的同時,適切管制員工的使用行為是中砂資訊安全的考量,因此中砂導入特權帳號系統與上網管制及端點防護機制,主要目的是直接阻斷惡意行為入侵、提升員工資安意識與警覺性。房副理提醒大家,「企業未必需要導入所有的資安產品,並非每個資安產品的導入就可以確保 100%保護我們企業,因此企業要找出自身的需求為關鍵要素,再加上企業自我審視所著重需要保護的面向,例如營業秘密資料文件、高階主管的郵件往來、人員帳號管理、網路流量等等。資訊單位除了重視,還要多執行與應用其他相關資安設備產品,進行搭配保護,避免未知的漏洞遭受攻擊者所為利用,成為攻擊跳板的可能性。」
2023 年精益求精 – 「綠色鑽石」中國砂輪
近期五年,中砂數位轉型卓有成效。房副理說「中國砂輪企業理念是,你好我好大家好(共好)、精益求精為產業與客戶創新價值的使命,資安部門的任務也是如此,跟隨公司的腳步持續前進,除了防護公司的資訊安全外,協助公司營運穩健與成長也是重中之重的任務之一。」,對於即將邁入 2023 新的一年,中國砂輪的資訊資安藍圖在房副理的內心似乎有著篤實與落實的方向,完備資訊基礎作業(人事物)合規,加強規範集資安人員技術能力、建構推動完善的資安營運環境、推動資訊目標提升防護及加強資安應變、資安管理制度(ISO27001)和企業永續經營願景雙向達成,為中砂資訊安全的落實目標。
20幾年前即對外出版與資訊網路相關的中英文實務手冊的房嘉輝副理,可見他具備深厚的資訊資安技術底子,長期帶領著中砂資訊資安藍圖的願景、部署與執行,房副理採以專家們所推崇的 CDM(Cyber Defense Matrix)矩陣和美國國家標準技術研究所(NIST)提出的網路安全框架(Cybersecurity Framework,CSF)所定義的五大項目為導入資安防護作為指引,因此資訊部核心目標是讓公司達到最小化的傷害災害,具備即時災害應變的能力,以及能迅速恢復企業營運狀態。