採用X-FORT打造資安防禦網

 

對生技業而言，立基點就是研發部門辛苦研究出來的配方與製程，杏輝藥品為此積極建立一套可行的資安控管方案，在經過嚴格的評估與測試之後，於2009年決定導入精品科技的X-FORT，打造更完備的資安防禦網。

 

杏輝藥品成立於1977年，創立之初，便是看好冬山鄉純淨的水質與清新的空氣，是絕佳的製藥環境，便選擇宜蘭這一片單純的土地上扎根。

即使隱身桃花源，杏輝所面臨的卻是來自全球生技產業的競爭，為了鞏固研發產品的心血結晶，同時支援藥廠各式的外部稽核作業，並管理日益擴張的組織架構，杏輝的IT部門意識到資安管理的重要性，除了完整的資安政策外，更需一套可行的資安控管解決方案。

 

IT角色不斷轉換，「變」是IT人不變的原則

 

在杏輝有十五年資歷的資訊部經理葉家維，談吐間流露出工程師敦厚樸實的氣質，「剛到杏輝上班時，最大挑戰來自生技製藥產業的許多特殊需求，這和過去在軟體產業的思維並不同，」葉經理回憶說道。不過憑藉深厚的軟體開發能力，及旺盛的求知力與學習力，葉經理見招拆招，小從電腦維護，大到資訊架構佈署，以及藥廠專用ERP，甚至2000年Y2K危機，都可以在精簡人力下迅速完成，達到提高工作效率、減少人力支出的公司目標。

不過2000年後IT最大的挑戰，是來自杏輝上櫃（代號：1734，目前已上市）的衝擊！不但強化許多內稽內控的規範，還有各種制度的產生，所有流程牽一髮動全身，IT的考量已經不僅是為了提供更方便的服務，而是更全面性的資安管理與思維。「資訊部為了配合公司上櫃，不但在這幾年將人力逐步增加到8人，也陸續導入相關的系統，並特別安排人力，專注於資安管理，一直到去年導入精品科技的X-FORT，整個資安架構才算是完備。」

 

工欲善其事，必先利其器

 

跟其他產業相同，杏輝的每一筆IT預算都必須要精準地花在刀口。葉家維說道：「要導入杏輝藥廠的系統，都必須要有兩把刷子，一把刷子要提供員工安全、便利的使用環境，另一把刷子要滿足公司上層的管理需求，同時

符合這兩方面的條件，才算有其價值。」所以去年為了做好完整的內稽內控機制，貫徹公司『公時、公器，禁止私用』的一貫政策，並為了確保研發資料的安全性及因應個資法要求，杏輝評估市面上所有相關的解決方案，以部署容易、功能完整、權限嚴明為準則，最後僅有精品科技的X-FORT通過測試，成為杏輝藥品資訊安全的守門員。

「當初決定購買X-FORT這一類資安防護、監控管理的系統，是期望這套軟體可以像尚方寶劍般，立即斬斷所有可能發生的資安危機，但是又不想讓員工認為資訊部可以監控他們一舉一動，被唾棄成東廠的角色。所以精品科技X-FORT的權限設定，可以嚴謹到只有被允許的管理者，才可進行監控及報表觀看。IT部門則是依照公司政策部署軟體，屬於執行的單位，讓管理與執行者的權責十分清楚。」所以去除球員兼裁判的疑慮後，X-FORT各項功能及支援服務都高分過關，「而且我們發現連刁鑽的日本人，都十分認可並採用X-FORT時，讓我們也對這套解決方案深具信心，」葉經理說明。

 

良善溝通與上層支持，是導入資安系統的必備要素

 

 

導入監控類型的資安系統，雖說是資安趨勢，但是沒有員工會喜歡一舉一動都被監視。「便利與安全，總是相斥的」，葉家維感慨地說道。不過當初選擇精品科技X-FORT便是看中權限管理的特色，在設計上縝密地考量過人性，所以去年導入時，高層便在全員工的集會，宣布公司的資安政策，並告知X-FORT系統導入。於是資訊部在公正分明的態度下，與使用者進行良善的溝通，即使有些資深員工會偶有小抱怨，但都願意配合IT部門的部署作業，幾乎沒有什麼反彈。

「當初X-FORT測試時期，我們先針對部分員工進行監控，的確發現公司內部隱藏許多資安問題及IT資源被濫用，例如大量複製機密文件、USB隨身碟無法管理、頻寬與IM被私事佔滿，這些在正式導入系統後幾乎獲得立即性的解決！」葉家維繼續說道：「或許這就是人性，當員工知道公司對於IT資源會進行管制時，員工就會節制使用，公私分明。好的工具不可或缺，但是上層支持與IT人員良善的溝通能力，更是我們成功導入X-FORT的重要因素。」

 

以X-FORT為基石，延展資安防護網

 

談到了售後服務，杏輝確實感受到精品科技售後服務的即時性與紮實的技術能力，「接觸過這麼多的廠商中，精品科技的服務團隊，相當具有耐心，可以不厭其煩的解答我們所提出各種疑難雜症，並提供適當的資安政策建議」。

面對下一階段的挑戰，除了持續應用X-FORT各項模組，讓杏輝的研發成果受到保障外，「我們要讓杏輝的國外各據點，也能將資安防護拉到與總部相同的嚴密等級，透過資訊部的努力，杏輝將會是最安全且零時差、零距離的國際大藥廠。」葉家維表示。