中山管理評論

  期刊全文閱覽

中山管理評論  2016/12

第24卷第4期 我國產業個案專刊  p.663-703

DOI:10.6160/2016.12.01


題目
eTrust網路銀行個資事件
Personal Information Leakage on eTrust Netbanking
(135_M5a1e3b359dcb7_Full.pdf 2,758KB)

作者
游士瑩、蘇雅惠/上海交通大學凱原法學院經濟法研究所、國立中央大學資訊管理學系
Shih-Yin Yu, Yea-Huey Su/

Institute for Economic Law, KoGuan Law School of Shanghai Jiao Tong University; Department of Information Management, National Central University


摘要(中文)

本個案是一個真實事件的管理層級之圖書館個案,藉由本教學個案讓學生可以學習個人資料保護以及資訊安全管理等相關議題。行動數位時代,個資保護已然成為顯學,資訊安全議題不再只是管控流程的作業層級議題,而是公司政策的管理議題。自1997年以來,中信銀進行e化及資安建置,然而在此次由ptt鄉民揭露的個資外洩事件中,卻凸顯了其資安管理的問題。資安管理的本質其實是代理問題,代理問題其實涉及一個公司資訊部門定位與資安人力成本議題,透過對於檢討中信銀內部資安管理制度與落實內控流程,讓學生得以進一步理解資訊人在金融業其實不宜只是支援角色,而是應該做領頭羊角色,以因應制度或環境快速變遷。而在整個危機處理過程中,看似完美堪為典範的危機處理背後,卻仍有不小的隱憂存在,究其根本原因是現行制度下的成本議題-個資外洩所必須付出的代價對金控公司而言其實微不足道,本個案透過討論銀行對於成本的權衡取捨行為,讓學員得以重新思考成本的意義。

(135_M5a1e3b359dcb7_Abs.pdf(檔案不存在))

關鍵字(中文)

個資保護、資訊安全管理、代理問題、內控流程、成本權衡取捨


摘要(英文)

In this library case we pursue the objectives for students to realize the issues related to personal information protection and information security management. It has been more matter for the issue of personal information protection since the mobile age. Information system security is a management-oriented rather than an operation-oriented or a technology-oriented issue. The event of personal information leakage on eTrust netbanking has led the critical problems about information security within CTBC Bank. The nature of information security management is an agent problem which involves the positioning of MIS department and the philosophy for human cost within a company. By discussing the internal control processes of CTBC Bank, the case looks at the challenges CTBC facing in a dynamic environment to regard MIS department not as a supporting role but a creating one. This case is also a good vehicle to focus on the cost tradeoff issues for students to rethink of the nature of cost for a finance holding company.

(135_M5a1e3b359dcb7_Abs.pdf(檔案不存在))

關鍵字(英文)

Personal Information Protection, Information Security Management, Agency Theory, Internal Control Process, Cost Tradeoff


政策與管理意涵

行動數位時代,普遍存在開放系統,而可以開放的資訊系統就會有隱藏的風險,對於資訊系統相關人員而言,面對資安議題,沒有人可以保證完全沒有問題。影響所及,個資保護與資安管理已然成為顯學,資訊安全議題不再只是管控流程的作業層級議題,而是公司政策甚至國安層級的議題。本個案透過中信銀網路銀行個資外洩事件,來凸顯資安問題其實是管理議題,而不僅是技術問題,透過個案五個問題的討論,可以延伸以下主要政策與管理意涵。 第一,對於公司而言,在進行資安政策設計及執行時,得以從本質面開始思考-資安管理的本質其實是代理問題,也就是說,資安管理存在著資訊不對稱的事後隱藏行動的道德風險之代理問題,而代理問題其實涉及一個公司資訊部門定位與資安人力成本議題,透過中信銀個資外洩事件中所涉及的各類成本的權衡取捨,讓公司CEO或CIO可以據此有機會重新思考成本的意義,並思考相關議題的因應之道。藉由理論基礎檢討中信銀內控流程的討論,管理者可以進一步思考如何落實執行公司內部資安管理制度。此外,本個案可啓發資訊主管重新思考資訊部門定位與人力成本本質,以協助其進一步在公司做領頭羊因應制度或環境快速變遷。 第二,對於金融業業者 (尤其是銀行業) 而言,可以透過此案例之分析,了解資安管理議題本質上其實是代理問題,從理論上是通過改變經理人激勵模式來改變員工的行為,實務上的做法可以考慮薪資結構從傳統的月薪制,改成類似職業運動員的給薪制度,如此吸引優秀資訊人員給予誘因全力付出所長,惟這自然會提供高公司成本。金融業亦可藉此案研究事先嚴格控制管理的風險管理及內部控制,並且亦能沙盤演練一旦遭受資安事件時,如何有效因應對策。 第三,對於政府如主管機關金融監督管理委員會而言,透過本個案的討論,更清楚業主如何思考成本權衡取捨,未來可以據此制定更切合實務的法令,以市場機制取代保護機制,讓金融業在自由市場競爭的環境下,能更落實對顧客的個資保護與資訊安全管理的責任。


參考文獻

朱元鴻、傅大為,2001,孔恩:評論集,初版,台北:巨流圖書。(Chu, Y. H. and Fu, T. W., 2001, T. S. Kuhn: Collection of Critical Essays, 1st, Taipei, TW: Chu Liu Book Company.)
張維迎,1999,賽局理論與信息經濟學,初版,台北:茂昌圖書。(Zhang, W. Y., 1999, Game Theory and Economics of Information, 1st, Taipei, TW: Tuugo.)
莊友欣譯,Simson Garfinkel and Gene Spafford著,2004,電子商務與網路安全,二版,台北:O’Reilly。(Garfinkel, S. and Spafford, G., 2002, Web Security, Privacy & Commerce, 2nd, Sebastopol, CA: O’Reilly Media.)
柯瓊鳳、陳專塗,2015,會計資訊系統:Cloud‧IFRS‧Big Data,八版,台北:新陸書局。(Ko, J. and Chen, C. T., 2015, Accounting Information System: Cloud, IFRS, and Big Data, 8th, Taipei, TW: Shin Lou Book Store.)
游士瑩,2007,我國銀行遵循法令制度研究,銘傳大學管理學院高階經理碩士論文。(Yu, S. Y., 2007, Study of Compliance Function in Domestic Banks, Master Thesis, Ming Chuan University.)
齊若蘭譯,Charles Handy著,2016,第二曲線:英國管理大師韓第的16個思索,預見社會與個人新出路,初版,台北:天下文化。(Handy, C., 2016, The Second Curve: Thoughts on Reinventing Society, 1st, London: Random House UK.)
Eisenhardt, K. M., 1989, “Agency Theory: An Assessment and Review,” Academy of Management Review, Vol. 14, No. 1, 57-74.
Hübner, R., Laycock, M., and Peemöller, F., 2003, “Managing Operational Risk” in Jenkins, S. and Roberts, K. (eds.), Advances in Operational Risk, Frimwide Issues for Financial Institutions, Second Edition, London: Risk Books, 17-42.
Jensen, M. C. and Meckling, W. H., 1976, “Theory of the Firm: Managerial Behavior, Agency Costs, and Ownership Structure,” Journal of Financial Economics, Vol. 3, No. 4, 305-360.
Kroenke, D. M. and Boyle, R. J., 2016, Experiencing MIS, 6th, New York: Pearson.
Kuhn, T. S., 2012, The Structure of Scientific Revolutions: 50th Anniversary Edition, 4th, Chicago: University of Chicago Press.
Saltzer, J. H. and Schroeder, M. D., 1975, “The Protection of Information in Computer Systems,” Proceedings of the IEEE, Vol. 63, No. 9, 1278-1308.
Tapscott, D. and Tapscott, A., 2016, Blockchain Revolution: How the Technology Behind Bitcoin Is Changing Money, Business, and the World, 1st, New York: Portfolio Penguin.