在台灣由於個資法等資安法規的推動,加上近年來不景氣下許多高科技與中小企業裁員所連帶產生的資料外洩風險,讓企業高層擔心影響公司存亡的機密及重要業務或客戶資料,會因擁有存取資料權限的主管或同仁離職而外洩至公司外。而法規中提到,企業需要提供相關的資料外洩證據,而電子監控系統具備各式電腦行為操作記錄,因此企業採購電子監控系統的意願比以往增加許多,即使內部IT預算縮減,導入內部監控系統仍是現在與未來在資安防護上勢在必行的作法。
企業員工的風險與威脅管理,是企業預防營業秘密外洩重點管理標的。其管理機制中,以建置稽核程序、內部監控系統的報表如何產出,來達到稽核效果,是目前企業裡積極建置的管理制度。其稽核與資訊部門在平時扮演什麼樣的角色,以協助企業落實員工管理?
取得高層同意與支持
內部監控幾乎是現代企業管理的必要手段,凡舉E-Mail、網路行為、印表機、IM通訊...等,都有企業進行監控,導入內部監控系統關鍵成功因素有下列層面,包括
- 組織結構構面,高階主管支持態度。
- 使用者構面,如員工對資訊安全的認同、接受度或抗拒程度、部門特性。
- 專案構面,如專案進度掌握、目標制定、工作範圍。
- 企業管理構面,如流程再造、工作分配、責任授權等。
綜合上述成功因素,當內部監控系統導入的同時,該如何避免侵害員工隱私及維持員工對公司的高度信任感?
建議作法如下:
- 內部監控系統的建置,當由高階主管階層支持與核准後建置,高階主管擔當資安長,最好再由跨部門主管會議核定為佳。
- 內部監控系統建置後,企業該當充分公告所採行的管理方式,尊重同仁的隱私並確保符合相關法令的程序要求。
- 內部監控系統的稽核程序,由企業公告正式的作業流程與規範。
- 內部監控系統應僅由被授權的人員在一定的SOP下執行,必須確保員工隱私資料的保護與合理使用。
IT、資安、稽核分權且獨立運作
企業資訊系統所需的監控系統,通常是資訊單位負責採購與建置,而最常使用的方案為【常態的進行稽核軌跡蒐集,但不主動查核】,這樣的建制方案能夠發揮的內控效果有限,建議採行以下方式發揮系統最大效果:
- 由資訊單位主動分析日常記錄後,定期產出報表,包括【異常存取事件】、【異常使用量】、【非法存取事件】等均應納入報表。
- 報表應定期(每周或每月)發送各級指定稽核專員查閱,以主動發現異常情事。
- 若稽核人員發現有異常情事,應遵循內部流程,針對特定員工進行深度調查與證據蒐集,以確保在必要時可採取法律行動來保障公司權益。
然而上述監控作業可能會侵害同仁的個人隱私,且隱私權屬於憲法保障範圍,在執行前建議應召集資訊、法務、稽核、管理單位,共同制定稽核政策與流程,包括公告稽核政策、請員工簽署相關同意書、稽核程序SOP化,以確保全部的程序均有嚴謹的內部流程控管,所有員工的隱私都能在合理的保障內,同時達到企業營業秘密監控的保護目的。
找出各部門重點控管標的
企業導入監控系統後,依不同部門屬性為其設定專屬的政策進行監控,來達到事半功倍的管控。
情境1:某食品技術廠商專精於飲料配方研發、應用與技術移轉,對於其配方文件、研發機密資料必須嚴加監控管理,防堵相關文件資料被員工攜出後自立門戶與原公司競爭。
一般員工可以啟動如USB加密寫出並起動相關電腦操作行為記錄功能。但對於研發同仁需要較嚴謹的政策,如USB/MTP裝置的儲存媒體禁用、網芳控管、網頁/雲端硬碟禁用、IM軟體文字記錄、禁止傳送檔案與截圖…等,減少配方文件、研發機密資料外洩風險。
情境2:某汽車零件製造商主要從事汽車及其零件製造,主打引擎相關產品,並與許多國外大廠合作。企業內部文件、電子郵件、設計/研發圖稿、客戶資料…等必須重點保護。
一般員工啟動如USB加密寫出,並啟動相關電腦操作行為記錄功能。
會計同仁增加啟動郵件寄送記錄或附件加密功能項目來保護寄送出去的郵件就算寄錯收件者,對方也無法開啟附件檔案。
研發同仁則再增加USB/MTP裝置禁用、網芳控管、網頁/雲端硬碟禁用、IM軟體文字記錄、禁止傳送檔案與截圖…等。依不同部門屬性為其部門設定其專屬的政策彈性控管。
成功的導入內部監控系統,需要公司高階主管的支持與推動,整合每個部門的工作習慣,並規劃流程與適當的政策。建立企業完整資安,全員必須動起來才能達到。