掌握關鍵要領 不讓個資防護機制鬆動
引進優質的產品或技術,打造完備的防護體系,充其量只是因應個資法合規需求的其一步驟,而非全部;也就是說,如果企業已經砸下重本,並且盡心盡力建構防禦機制,心想藉由這些系統撐起保護傘,此後就可一帆風順,恆常處於安枕無憂境地,這肯定是所誤解,因為個資防護議題很大,除了架設系統外,還有許多事情要做。
展望未來,在1段可以預見的期間內,想必有不少企業資訊人員都將處於繁忙狀態,為了滿足個資法合規需求,有一些新系統正待安裝、測試與上線,甚或有部分既有資安系統,亦可能需要重新調校,譬如將原本較為寬鬆的設定,調整到更為嚴謹的狀態。
雖然這些任務,執行起來毫不輕鬆,一旦逐項付諸實踐後,資訊人員必然會有如釋重負之感,心想投入了這麼多心血,就可讓公司安然無恙,再也不擔心個人資料外洩;縱然日後百密一疏,仍然發生了少許個資洩漏憾事,但也並無大礙,因為只要拿出數位證據,便可證明公司已盡到資料保護責任,免於遭受重罰的命運。
但許多人往往忽略掉,用以保護個人資料的IT系統與技術,其實可算是最後1道防線,意即為最低限度的保障,若欲發揮最佳的安全維護功效,舉凡企業的組織、流程、人員、教育訓練…等諸多面向,全都需要加以配合,其關鍵程度甚至凌駕於IT之上。
舉例來說,假使某一企業自認已部署了固若金湯的防線,但員工卻毫無個資防護的認知,不僅平時疏於進行軟體更新,且動輒利用上班時間,恣意悠遊於社交或購物等網站,毫不避諱地點擊來路不明的連結,等於每個人都在舉手投足之間,不斷招惹禍害進門;就這樣一而再、再三地摧殘,再好的系統,恐怕都救不了這家企業,怎可能只會出現「少許」個資洩漏憾事?
再者,所謂的數位證據,並非垂手可得,它是需要經過一定的保存與累積過程,而且必須具有絕對正確性與公信力;資訊人員在辛苦布建IT系統之際,可曾針對這些課題深思熟慮?
如果把可被具像化的資安系統或技術,形容為「硬功夫」,那麼接下來的篇幅,便將以「軟實力」為主軸,鋪陳個資防護的若干關鍵要領;唯有軟硬兼施,才是企業賴以安身立命之道。
企業高階主管 必須扮演領頭羊
根據新版個資法第27條,「非公務機關保有個人資料檔案者,應採行適當之『安全措施』,防止個人資料被竊取、竄改、毀損、滅失或洩漏」,由此可見安全措施的重要,因此可以考慮在公司內部,設立個資保護工作小組、或治理委員會等必要組織,並應該清清楚楚地界定個人資料範圍,發布具體的資安政策與管控原則,據此嚴格規範個資蒐集、處理或利用之程序。
除此之外,舉凡當事人行使權利之處理程序、資料稽核規則制定、人員管理及教育訓練,乃至於緊急應變措施及通報,其間所有的SOP與教戰守則,都應當準備就緒;唯有如此,員工才能知所遵循,並深刻體認公司確實是「玩真的」,從而自我約束、自我惕厲,莫要把此事當作兒戲。
然而要想推動這些事項,相關的令旗或權柄,肯定不在IT部門的手上,值此時刻,高階主管能否身先士卒,展現百分之百的高度支持,無疑顯得十分重要。
有了企業高階主管的力挺,不僅可將政令宣導的力量,徹底落實到組織內部的每1位成員,且可透過周而復始的反覆教育訓練,針對全員進行「洗腦」,使得個資防護觀念深植人心,成為理所當然的反射動作。
即使有了工具 還是需要人為管理
要知道,個資防護成效,絕對不是一蹴可幾的,必須反覆歷經P(規畫)、D(執行)、C(稽核)、A(改善)的正向循環,方能一步步趨於良善之境。
如果以為有了資安防禦工具或技術,就可將人為管理的投入,降至微乎其微的低限度,肯定失之偏頗。IT系統雖然有其重要性,但只適合作為輔助人為管理的配套工具,充其量僅是配角,不應本末倒置躍居主角,因為它們沒有自主的靈魂,更無力觸發PCDA流程。
在此情況下,那怕企業部署了多麼高明先進的防禦系統,還是得切切實實地指派專責人力,就近看管這些系統,一方面可針對相關的Log與報表,進行深度分析,二方面則可全盤掌握個資變動狀況,繼而進行完善而細膩的稽核。伴隨人為管理的介入,原本缺乏靈魂的資安防禦系統,就彷彿被注入了豐富的生命力,終至發揮最大功效。
管理人員長期沈浸在這個情境,視野與見識隨之增加,即能深刻體會到,當前的個資防護措施,究竟有哪些值得加強或調整之處,發揮持續改進的力量。
妥善保管Log 並確保不被竄改
持平而論,個資法是1種很弔詭的法令,因為它完全顛覆了多數法律所訴諸的無罪推定原則,企業必須提出舉證,以證明自己盡到良善管理義務,已經傾全力防止個人資料被竊取、竄改、毀損、滅失或洩漏。
正因如此,舉凡IT設備或紙本資料的個資存取控制記錄、日誌(Log),以往可能被視為無足輕重,但如今都必須被完整保存,以便作為日後提出反證之用。
只不過,此事看似簡單,但其實有不小的執行難度。以存取控制記錄或Log等數位證據而論,其實都存在著複製、刪除或修改的可能,有一定程度的脆弱性,導致可作為呈堂證供的證據力大打折扣,不見得能在必要時刻發揮助力,使企業遠離法律究責陰影。
如何證明自己提出的Log,都確實是獨一無二、完全未遭受任何Log竄改?便需要在Log蒐集的過程中,適時搭配完善的儲存加密或存取控制等技術,藉此證明其舉證之有效性。
若不想這麼麻煩的話,其實還有1個做法,即是在部署IT系統時,就必須考慮該系統是否符合某些國際標準或法規,一旦符合,其Log便與生俱來擁有不可竄改的證據力,繼而成為強而有力的呈堂證供。然而時光不能倒流,有些未必符合這個條件的系統,早已為企業所引進,而且很難被替換,若是如此的話,只好再借助SOC或SIEM的日誌正規化力道,設法讓它鹹魚翻生取得足夠公信力。
別讓你的委外夥伴 成為洩漏個資的兇手
無論是防禦系統與技術,或者一些配套措施,它們可以發揮影響力的幅員範圍,通常僅及企業組織內部的員工,而不會擴及委外廠商。但依據新版個資法規定,委外廠商一旦觸犯個資外洩罪狀,可視同委託機關洩漏個資,除非能提出舉證,證明自己確實盡到管理與監督的義務,否則都必須負起完全責任。
不會吧?委外廠商闖的禍,卻要我來概括承受,那麼該如何是好?這件事可分非IT、IT等兩個層面來談。在非IT部分,比方說,委託機關與委外廠商簽訂契約時,即可將個資保全的相關權利義務,訴諸為白紙黑字,並列入合約條文之中;但畢竟合約不具絕對的強制力,更不是有效的呈堂證供,所以委託機關必須對委外廠商實施監管,甚至不厭其煩提供教育訓練。
至於IT層面,即是透過一些IT工具的輔助,藉此讓委外廠商無法看到個資,既然如此,就無洩漏之虞;然而要使用什麼樣的工具?最簡單而有效的做法,便是採用資料遮罩(Data Masking)方案,讓委託機關可以保持完整的資料邏輯,但能夠針對某些可辨認性較高的個資欄位,進行「遮罩(Mask)」或「混亂(Scrabmle)」,好讓委外廠商取得這份數據時,根據無從掌握任何個人資料,且由於資料邏輯並未遭破壞,所以還是可倒進應用程式做測試,絲毫不受影響。
友善連結 : http://www.digitimes.com.tw/tw/cloud/shwnws.asp?cnlid=16&cat=&packageid=5434&id=0000264213_P403B65S0I4XTT4NJRRIW
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
留言列表
