富邦金控
富邦金控是第一家导入云端办公室的本土金融机构,尤其是在金管会2019年第一次上云委外松绑后,富邦金控是少数率先获得核准通过上云应用的金融机构,这次经验更成了后续其他金融同业上云的重要参考。
早在2018年,富邦金控为了解决多项业务需求,例如员工个人信箱空间、行动装置管理、企业协同合作及线上会议等,开始考虑行动化办公的可能性,由富邦金控召开了多场跨各子公司的会议,从技术、成本、风险及效益面来评估,最后决定导入云端服务方案。
当时,金管会也准备要开放金融上云,将上云纳入委外管理来解禁。富邦金以试办、正式两阶段办理的方式,获得主管机关同意,在2020年先展开了试办。花了一年多,在试办期间采用了云端邮件服务、线上云端会议、也建立了数位团队协作平台,提供单位和员工个人的云端储存空间,并搭配采用了行动装置管理(MDM)安全机制来强化云端办公室的安全性,最后在2021年底,正式使用云端服务。
富邦金控副总经理苏清伟指出:「富邦先导入O365来尝试上云,背后有一个重要战略。」一方面让IT有机会练习,学习如何将系统上云,另一方面,选择一个影响所有人的环境来尝试上云,可以让大家学习上云。
当时遇到全球爆发了COVID-19疫情,提高了导入云端办公室的必要性和正当性,富邦金已经做好居家上班的准备,几乎50%的员工在家里透过云端办公,就像在公司一样,没有受到太大的影响。这一场靠IT对抗疫情的经历,也让富邦金控更容易说服主管机关同意。
为了强化OA上云的安全性,富邦金当时还订定了相当清楚的分级管理作法,区分出不同类型云端资产的安全等级,再依据员工业务所需,给予不同等级的权限。
苏清伟表示,因为资安是上云的重要基础,分级管理是上云的重要一步,才能依据风险采取不同方式的控管。
当时,就算员工居家办公,在家中使用自己的个人电脑来办公,也要透过远端虚拟桌面,先登入到富邦金内部的电脑,才能进行各项OA作业,彻底做到「传输加密,资料不落地,从端到端都确保在可控的环境下。」
富邦金控副总经理苏清伟指出,上云对业务最重要的一件事是上市时间,能快速因应市场的变化,不断推陈出新,才能提供合乎顾客期待的产品和服务。摄影/洪政伟
全体员工提升上云意愿,才能大胆往前进
「OA上云这一步最重要的任务是,提升全体员工上云的意识。」苏清伟表示:「有了经验,才能大胆进一步往前走。」
在富邦金控数位金融创新策略中,上云是关键一环,为了实践金融百货的愿景,富邦想要有能力满足顾客对金融服务的各种期待及需求,从银行、人寿、产险的各项金融服务,到支付、投资理财等。
「上云对业务最重要的一件事是上市时间(Time To Market),能快速因应市场的变化,不断推陈出新,才能提供合乎顾客期待的产品和服务。」苏清伟指出。
上云也是富邦数位转型的一项重要环节,富邦金推动上云,第一步先了解现况,进行成熟度分析后,再来订定愿景和目标,规画自己的云端治理框架和混合云架构,安排后续的发展策略和转型蓝图,并且要考虑如何治理、组织调整、资安保护等面向,最后再审慎评估哪一类AP适合上云。
苏清伟观察,这次主管机关再次松绑上云规范,最大影响是可以加速上市时间,来提升金融业的竞争力,另一方面,也可以提高金融系统的数位韧性。
富邦金控今年盘点了金控和银行所有系统,目前已经完成云端的策略和规画,将进行相关的建置,明年富邦将展开为期3年的云端转型计划,金控也会分享这些云端策略和规画,协助子公司可以以最快的速度开始云端转型。富邦金控也会设立专责单位来订定策略和管理方式,各子公司按照自己的需求和计划来发展上云。
云端供应商的资讯透明度不够高是一大挑战
身为资安长,苏清伟更特别从资安角度来思考上云的挑战,他认为,目前云端业者的透明度还是不够高。他进一步解释,金融业者希望能彻底掌握到每一种环境组态的设定和变化,可是,云端业者提供了多种形式的服务,各自的组态繁多也非常复杂,又可以透过程式化控制,「不只是技术问题,更涉及许多逻辑问题。」
一旦上云的服务发生了任何状况,金融业者会想要掌握到更多事故或系统运作的细节资讯。
可是,目前这些系统运作数据的提供,还是会受制于云端业者释出资讯的程度,尤其云端业者的维运数据还没有透过第三方来保全纪录,一但发生问题,只能片面接受云端业者的说法,而没有其他可信来源的维运纪录可参考。这是苏清伟认为,目前金融上云有待克服的一大挑战。
对富邦金控来说,未来3到5年的云端发展将聚焦多项课题,人才的培养是首要,找到具有相关技术的人才,也让既有员工扩展技能到云端,甚至能够跟上云端技术的最新发展。其次还要考虑资安如何到位,展开平稳及必要的上云搬迁工程。
富邦金控将聚焦多云策略,会选择先从一朵云开始,再快速扩展到第二朵,甚至第三朵云。还要同时兼顾云地之间的平衡,最后一项课题则是云端供应商的管理。