[案例分享] 永豐銀行引領創新金融服務及取得 ISO 27001 認證的關鍵 --- 導入微軟 Release Management 自動化過版 豐掌櫃及網路銀行系統更快抓住市場需求以提供高品質服務

永豐銀行引領創新金融服務及取得 ISO 27001 認證的關鍵

導入微軟 Release Management 自動化過版   豐掌櫃及網路銀行系統更快抓住市場需求以提供高品質服務

近期永豐銀行不斷地推出創新金融服務，像是「豐掌櫃」網路代收付的第三方支付平台，在 2013 年時中華職棒義大犀牛推出其強棒曼尼限量商品，20 分鐘內被球迷搶購一空，其交易是由當時試營運的「豐掌櫃」服務擔綱; 還有與社區小型商店及超商合作，讓消費者可以其信用卡進行小額付款消費，這些新一代的金融應用，也走向了 Mobile 行動化、Social 社交化的新時代 Bank 3.0 趨勢。然而這些新興服務的背後，都需要一個隨時可依市場及客戶需求，頻繁改版的應用系統，而且必須滿足金融業要求的系統穩定性以及資訊安全的標準。

永豐銀行資訊處為了確保能更有效管理應用系統開發及機房管理制度化，也已於2014年6月取得 ISO 27001:2013 的資安認證，該認證對台灣金融業有其重要性，若想在海外成立分行，若該銀行已經先取得 ISO 27001 認證，相對容易取得當地監理單位的信任以核可成立當地分行並執行業務。然而 2013版本的 ISO 27001 流程標準要求更加嚴謹，其應用程式開發及上版流程需標準化，並可供稽核。但其資訊團隊所管理的重要應用系統，例如: 網路銀行、分行系統，如何讓其上版流程標準化符合 ISO 要求，但又能用最少的人力及時間做到自動化過版呢? 讓我們來看一下其使用微軟 Release Management 自動化佈署解決方案之分享。

永豐銀行資訊處系統部團隊，採用微軟 Release Management 自動化過版，提高應用系統過版效率並通過 ISO 27001 認證

 

網路銀行及分行系統頻繁改版如何因應 - 從人工上版作業到自動化

因銀行業的應用系統都是非常重要之核心系統，畢竟任何金融交易都必須正確無誤，再加上金融監理單位的法規 (compliance)要求及資訊安全大幅重視下，其應用系統開發，不論是自行開發或是外包，其開發、測試環境乃至於上線環境(Production) 的伺服器是由資訊處系統部所維運，AP開發團隊開發好程式，佈署到測試環境供使用者來驗證，最後上版前需經由資安人員檢查程式碼是安全無誤才得以上線，這在大型企業或是任何金融單位皆是很常見的應用系統維運模式。讀者也可以想像一下，例如網路銀行若一次新功能改版，但上線後立刻有客戶反應無法線上轉帳，這對企業的形象及客戶滿度意都是很大的影響。若經資訊部門查後發現是換版錯誤，例如某個元件版本錯誤、資料庫沒異動到、伺服器某個設定沒打開、放到上線環境的程式檔不是最新版本，若是人工來進行過版動作，即使有層層關卡審核，因都由人來做這些頻繁且需要高度集中力的事，除了耗費的時間人力成本外，也很容易有這類上版出錯的風險。

「包括網路銀行、分行、會計系統、豐掌櫃、ATM 等系統，都是永豐銀行重要且高交易量的系統，因此一旦需因應市場需求、新產品上線、使用者端來的新需求，就需要由 AP 應用系統開發部門或是外包廠商修改程式再透過層層的把關及測試才能過版到上線環境開始營運。」永豐銀行資訊處系統部系統科科長林彥良提到。「以網銀及分行系統為例，這兩個系統改版頻率很高，約每週 2 次以上，而分行系統是以 .NET 技術開發，每套分行系統會有 4台 AP Server、2台 DB Server 做 Cluster，只要有新的海外分行據點，又是至少 6 台 Server，因此每次過版流程會變更到許多 Server 設定，若沒有一個自動化過版機制，對資訊團隊將會是一大阻力」  再加上取得 ISO 認證勢在必行, 需要有一解決方案, 能用最少的人力, 並讓 AP 開發, OP 系統管理及資安團隊都能很容易地管理這個過版流程, 將會是永豐銀行資訊團隊的重點工作, 如此才能即時改版以因應市場需求,快速地推出新金融商品及服務給客戶.

 

永豐銀行取得 ISO 27001 認證的關鍵 - 採用微軟 Release Management 自動化佈署 上版流程標準化

為了能順利取得 ISO 27001 認證及資訊安全的考量下, 需讓上版流程標準化, 資訊團隊開始進行內部上版流程的優化設計, 林彥良也簡單說明了其上版流程:「在 ISO 認證要求, 所有應用程式修改歷程、以及過版到測試、UAT、Staging、Production 環境都需由不同人員審核並留下稽核記錄. 因此修改好程式後，程式碼需集中編譯，並佈署在內部的 UAT 環境，供User及測試人員來驗證其功能是否為正確; 若需修改，則再回覆 AP 開發團隊繼續修改再次佈版到 UAT 環境; 待功能性確認無誤，再交由資安控管人員透過程式碼掃描工具做安全性的把關，確保這次改版的程式碼沒有任何資安問題。」

內部過版流程設計好後，接下來透過微軟 Release Management 所提供的佈署流程設計工具，其工具的操作及設定很有彈性，可將常會用到的 Web Server設定、DB 資料庫異動、作業系統的設定、複製任何檔案或是啟用/關閉伺服器服務等動作，都可透過元件化的方式設定好，並且讓設計過版人員可以拖拉點選的方式來設計佈署流程。

銀行內部系統會分為開發(Dev)、測試(UAT)、準備上線環境(Staging)及正式上線環境 (Production)，因此過版到不同環境其流程會略有不同，例如過版到AP開發團隊需要的開發/測試環境中，因只是供內部開發者及User作功能簡單驗證，因此其佈署流程會較簡化；但若佈版到Staging及Production環境，因機房中的伺服器數量更多且設定更複雜，也不得任意修改設定，因此其佈署流程會較完整，這在 Release Management 的流程設計工具中，都可以很容易的實作。

永豐銀行的AP開發採用 Team Foundation Server (TFS) 做版本管控、集中編譯及自動化建置 (Build)的工作，因此可設計一個 end-to-end 的完整流程，從 AP 開發團隊一寫好程式就透過 TFS 進行自動化建置的動作，建置完成可自動觸發 Release Management 中設計好的佈署流程，這比以往由不同 AP 開發團隊自行撰寫過版程式，以及人工將驗證好的程式複製到測試環境集中編譯及建置，來得更全面自動化及透明化，每一個開發->測試->佈署的動作都可完整的檢視，大大提升過版的效率，讓 AP 開發能更快地滿足使用者需求。

過版到 Staging 前需由資安人員做程式安全性把關，Release Management 的好處可以很容易地設定流程中每一關卡由哪些人員來審核及驗證，而且每一關卡由誰、何時所審核，都會留下可供稽核的查詢紀錄以符合 ISO 及金融監理單位的要求。再來像是排程上版也是很方便的功能，一旦在staging環境驗證都沒問題後，系統人員可排定一個時間，時間到了自動執行上版程序，例如許多服務可設定在半夜系統使用量最低時來過版，不再需要人工來處理預定的時間上版，這大幅降低系統管理人員的過版工作量以及可能產生過版錯誤的風險。

 

省時高效率、降低出錯風險、跨平台 - 從重要系統過版頻繁性看到微軟 Release Management 自動化過版的價值

網路銀行及分行系統算是過版比較頻繁的應用，在 ISO 27001 認證中將一些資訊安全要求較高的應用系統分類為「高風險」，因此導入初期先由這類的系統做起，在微軟 Release Management 解決方案的協助下，只有短短2個月的規畫及執行時間，永豐銀行也順利於 2014年6月取得 ISO 認證，目前 (2014/8月中) 已有 7個重要系統都已採用 Release Management 進行自動化過版，平均每天至少 23 次的上版 (包含 UAT 及 Production 部署)，到2014年底預計有 40套重要的系統都會採用 Release Management 來進行上版，這之中也會包括非微軟平台技術的應用系統，例如採用 Java 開發 ETF 系統及 Unix上的系統。

談到導入自動化過版的好處及價值，林彥良提到:「因銀行的系統都是不容許發生錯誤的，因此在以往每次過版都需很謹慎地花大量的時間及人力處理，再加上系統科所維運的系統很多、許多線上服務系統例如 : 網路銀行、信用卡、ATM 這類的系統改版很快，若沒有一個穩定且很有彈性的工具，用來設計應用程式的佈署流程及每一關卡的簽核流程，將會是很大的負擔。現在透過微軟 Release Management 解決方案，整個過版時間及人力大大降低了，流程也簡化了，並且從開發、測試到上線皆符合 ISO 27001 認證要求，讓系統管理人員的生產力提升」「對 AP 開發團隊而言，以往佈署到UAT環境給 User 測試較麻煩，需寫一個過版文件，清單上註明這次過版需做哪些設定及動作，再由系統管理人員來處理，現在每天都改好幾次，AP 改完了馬上佈到UAT讓使用者來測試，讓應用程式可以加速上線，以因應新金融服務上線的壓力，更快地回應使用者需求，提高銀行的競爭力！」

「讓應用系統過版效率更好、時間更省、降低錯誤風險，這都是微軟 Release Management 帶來的明顯價值」永豐銀行資訊處系統部系統科科長林彥良提到。

 

追求卓越、從 A 到 A+   應用系統上版流程更完整且自動化

對於目前採用 Release Management 進行自動化過版，林彥良回想起整個導入過程，從中看到其對於資訊部門及銀行所帶來的好處，感到很值得。「在導入時，只有一開始第一套系統花比較多時間內部溝通討論設計跨單位的過版流程，並整合內部需求單系統，接下來每一套系統上線，平均只花約4 ~ 5個工作天，因為在 Release Management 中的流程範本、元件及佈署腳本都可重覆套用，大幅降低導入的時間」之前採用另一套的方案時，很多環節無法做到自動化，例如集中化建置build，以及版本控管需搭不同的軟體，整合度較不好，需自行撰寫不少客製化程式，針對不同的應用系統，都需要重新設計並客製化流程，也沒有像 Release Management可以彈性設計審核的流程。協助導入的台灣微軟企業服務處技術支援經理邱英瑞也提到「永豐銀行資訊處既有的需求單系統，Release Management 也都整合的很好，從AP 開發單位接到使用者的需求，從需求單系統發出一個工單，到寫好程式集中建置並佈署到 UAT、到資安審核、上 Production都串起來，在需求單系統中就可以清楚看到每次過版的版號以及異動清單，另外資料庫異動比較也設計在流程中。看到了永豐銀行採用 Release Management 後讓他們的開發、測試到過版上線的流程更標準化且自動化，更有效率地進行上版，自己也很高興參與其中！」

永豐銀行不斷地追求卓越，迎向了新時代 Bank 3.0 趨勢推出各式的金融服務，透過微軟 Release Management 應用系統自動化過版方案，讓頻繁改版的應用系統能更快地因應市場及客戶需求，且符合資訊安全的要求，順利通過了 ISO 27001 認證!

 

[延伸閱讀]

1. [自動化佈署及過版的價值] 為什麼 Release Management (發行管理) 是團隊開發的最後一哩路? 系統維運人員也該關心 - https://aka.ms/rm-deployment

2. [觀看 Demo 影片] Release Management 發行管理及自動化佈署系列影片 - 好處及 Demo (共4段，一次了解 Release Management)