文 / 精品科技 資訊安全顧問兼資安部經理/ 陳伯榆
「如何利用資訊安全技術來強化產品與系統」,沿用這樣的概念,技術應用當成內部及外部資訊安全其中一項重要手段。而「做好內部資訊安全」還需考慮到其他面向,包含:資訊安全管理制度( 標準遵循)、法令的配合遵守,都是組成資訊安全妥善度的重要措施。
內部資訊安全三大面向
上述這三個要素會因產業別、服務對象、法令或是行業法令差異、IT 部門規模、知識產權強度…產生不一樣處置或管理方式,有些組織或單位會特重某些面向,但都脫離不了建構資訊安全三大要素。
資安巡航 守護無垠
Ultimate Security for Business Longevity
控管外接式儲存裝置/MTP裝置
控管印表機、光碟、無線網卡
控管共用資料夾、網頁瀏覽
控管雲端硬碟
記錄IM(Skype、LINE)交談記錄
檔案行為操作記錄
產品優勢
100%台灣研發
精品研發團隊位於台灣新竹,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。
通過ISO 27001
精品領先同業通過ISO 27001 資訊安全管理認證。在研發資安產品的同時,展現重視公司內部資安的決心。
專利數最多
相較於其他資安研發廠商,精品擁有國內外超過130項產品專利,讓您在使用資安系統時,更加放心。
市面上有不少品牌的電子資料控館系統,雖都具備USB埠管理、檔案存取管理等功能,但是細部功能卻相去甚多,唯有精品科技X-FORT的功能最細膩,能夠滿足漢芝電子的工作需求。
陳志忠
漢芝電子 資訊技術服務部 部經理
X-FORT操作介面簡單、易上手,不需花費太多時間即可熟悉操作,可快速完成相關管理設定與產出報表。支援Windows XP、 7、8、10等,搭配精品科技完整技術支援服務,能大幅節省系統安裝與部署時間,也能與現有資安防護機制、ERP系統完美融合。
黃財賢
泉順食品 資訊部 課長
恰逢Skype推出新版軟體的關係,各家品牌資料監控軟體都會出現閃退的現象,多數廠商都採取逃避態度,且將問題推給Skype。精品客服不僅正視我們的問題,也積極協助解決。
朱柏憲
嶄富科技 資訊部
我們對電腦設備盤點印象功能最為深刻,資訊單元在該功能協助下,可精準掌握電腦設備數量與實際現況。還可將每台電腦設備的軟硬體現況列印出來,貼在用戶端設備的外觀上。
廖鋸賢
食研所 資訊單元管理師
約30,000台用戶端電腦導入X-FORT,以東京為中心擴展到全國(日本)。除了基本網路、多個部門網路和研發網路,X-FORT伺服器超過200台。目的是防止資料外洩,防止無心寫出資訊,與工作進行中的記錄。
山岡 正輝
NTT DATA 資訊安全促進室 室長
X-FORT管理功能非常細膩、全面,且相容於現有資訊架構,讓資訊管理部能在最短時間、最少人力,達成管理全公司電腦運作狀況的目標,台灣保來得非常滿意這項專案的成效。
王柏烜
台灣保來得 資訊管理室
管理者能有效控管,還節省不少工作成本。可以在X-FORT Console輸入關鍵字就能查詢多位人員記錄,針對人員、日期等篩選條件選擇,以時間軸順序排列,將多類型的事件記錄做複合式檢視瀏覽。
劉玲君
攝陽企業 資訊管理課課長
文/精品科技 品管課課長 許祐福
個資等於錢,擁有個資就擁有商機
過去國際犯罪的不法所得,金額最大應該是走私毒品,而現今利用個資所從事的犯罪行為,極有可能取代毒品成為金額最大、影響範圍更為普及的非法活動。所以國際間已經非常重視個資的保護,如果某個國家被認定在個資保護上不週,則國際間各個國家將會限制個資輸出到該國。對於極度仰賴進出口的海島型台灣,會損失很多商機,所以政府緊急修法,是為了讓台灣企業的個資防護水準能與國際接軌。
在現今資訊快速傳遞的年代,個人資料都可以跟錢有直接的關聯,如何合理被利用,也是法律制定的目的。以臉書(facebook)在今年5月21日的收盤價33美元計算,市值約為930億美元。目前臉書的使用者總數已突破9億大關,其中每日活躍使用者(daily active user)人數為5.26億人,因此平均每位使用者貢獻的市值為176.81美元(930億除以5.26億;約台幣5,300元)。臉書上市創造的億萬財富,都是由這群每天主動奉上生活點滴的使用者所成就的。然而,他們並沒有因此分得任何一毛錢。也無法限制臉書如何利用他們的個資來從事營利行為。
個資法上路,台灣比國際更嚴格
隨著個資法上路,未來當事人在被收集個資時,可以得知是哪個企業的哪個部門,為了什麼目的要得到這些個資。甚至還可以知道,他所提供的個資會被保留多久,會不會傳遞到海外。而當事人了解這些資訊後,還會被告知若不願意提供個資,會有什麼權益受到影響(像是收不到優惠通知,或是無法收到中獎的通知…)。這些資訊的明確告知,確保當事人是在知情的情況下,自願提供這些資料,供企業作特定目的的利用。若未來他所提供的個資,要被作超出原先目的、範圍的用途時,他也應會收到一份請求同意的專屬通知。也可以在首次被行銷時,透過免費的聯絡方式要求停止利用他的個資。只要他高興,可以隨時向企業要求閱覽、給予複製本、更正或刪除企業所擁有的個資。
然而,法律是兩面刃,保障當事人權益的同時,也給了來者不善的人士傷害企業的機會。就像企業的資訊設備提供對內對外的服務,是為了創造營收或增加工作效率,但也為駭客提供了長驅直入的窗口。身為企業或資訊部門的主管,面對即將上路的個資法(預計2012年10月01日正式實施),必須要重新檢視和調整個資蒐集、處理、利用的程序,避免以身試法,成為同業間分析個資法的經典案例。
尤其台灣所制定的個資法比國際間更嚴格。以日本在2005年正式實施的個人情報保護法為例:日本是以擁有5,000筆個資,才需納入法律保障的規範;而台灣是一次到位,只要擁有1筆個資就需符合法律要求。適用範圍也從初期的電子商務,擴展到所有的公務與非公務機關。且企業需自負舉證責任,依照「舉證責任之所在,敗訴之所在」的經驗,企業在面臨訴訟時明顯處於劣勢。
個資法推行,企業應該思考的重要問題
未來也可能是個資蟑螂橫行的時代。個資蟑螂可能藉由各種手法來勒索或打擊企業形象。例如:向主管機關舉發企業未善盡保護個資責任,而使企業蒙受行政處罰和商譽損失。或是假冒當事人行使檢閱個資的權力,取得當事人更完整的個資去從事犯罪。如果企業無法舉證,未來當事人受到實質損失時,企業可能會面臨當事人訴訟及賠償。如同燦坤在2012年初發生的案例,在未來個資法上路後,已經不是一句不知道或是查不出來就可以脫身的。
作者: 林佩怡 中時電子報 2012/1/6
台北市法規會最近接獲六位民眾投訴,指在燦坤網路商城購物後,接到詐騙電話,其中一人遭騙十多萬元;消保官懷疑個資外洩,要求業者說明,警方也介入調查。
燦坤副總經理張岳龍說,有關個資外洩的說法,燦坤已經向警方備案,但燦坤查不出有個資外洩,警方也未查出,所以並沒有個資外洩,因為連警方也查不到。張岳龍呼籲民眾購物,若發生詐騙情況,應向警方報案,燦坤希望警方早日偵破詐騙案。
所以在個資法推行後,首先您必須思考的幾個問題是:
1. 我們企業有那些個資?
2. 我們真的需要這些個資嗎?
3. 這些個資當初被收集的目的為何?
4. 現在留著這些個資還有價值嗎?
因為企業常見的問題是,蒐集了太多不需要的人的個資,也囤積了太多已經用過,未來用不到的個資。過去個資在企業代表的是正資產,擁有越多個資就擁有越多客戶或潛在商機。但隨著個資法上路,為了符合法令的最低要求,多了許多個資的維護成本,還可能因為保護不周而遭到行政、民事,甚至刑事訴訟。所以過去的正資產,現在可能變成負資產。
為了達成適當的防護水準,增加的個資維護至少包含:
1. 已擁有的個資,須於首次行銷時,實行一對一的完整告知。
2. 須提供正確、合理的聯絡管道,供當事人提出請求。
3. 當事人有權請求閱覽、製給複製本、補充、更正、刪除所擁有的個資。
4. 應有受過個資法訓練的專人,負責處理當事人請求。
5. 現有儲存個資的資料系統,需因應個資法增加欄位(取得來源、直接or間接收集、使用期限、使用目的)
6. 依照個資的使用期限,定期銷毀並留下記錄供未來舉證…等。
訂定管理手段與管理程序,有效保護個資
以上都是因應個資法所需增加的行政程序,為了避免被增加維護成本拖垮,讓握有個資維持在正資產的價值,建議企業需遵循最小蒐集原則加上個資使用期限,來控管個資數量。藉由盤點企業手上握有的個資,把不需要或已經用不到的個資銷毀,只留下有價值的個資。並主動告知客戶,你擁有他哪些資料,提醒他我們是在哪一次的活動中獲得他的資料,這些資料會拿來做那些用途。趁著因應個資法向客戶宣告,我們是注重個資的優良企業,也向潛在客戶聯繫,增加行銷機會。
接下來要思考的是:
1. 這些個資散落在何處?
2. 由哪些人保管?
3. 用什麼方式保管?
4. 在現有的使用流程中,有沒有機會遭到內部或外部人員上下其手?
對於沒有電子商務,也沒有蒐集大眾個資的企業,其實更要注意第4點。因為,不管你是哪一行業,企業可能都會保有面試的應徵者資料,員工的人事資料、保險和健檢資料。這就符合個資法,不限行業只要有一筆個資的適用範圍。
相較於電子商務經常遇到各式各樣的詐騙行為,業者早已習以為常,練就一套相應不理、明哲保身的標準作業程序。一般企業面臨的是
1. 你難以否認你握有曾面試、在職或離職員工的個資。
2. 這些個資會被不肖員工或外部有心人士,作為勒索或打擊企業的手段。
3. 缺乏面對個資訴訟的經驗,難以舉出企業有善盡保管責任的證據。
也就是,一般企業未來可能會面臨到的是有計畫性、針對性的攻擊,而非只是亂槍打鳥的詐騙行為。
因此,為了遵循法律以及避免可能的損失。即便是沒有蒐集個資的一般企業,勢必要作些調整與因應。要花很多錢投資嗎?其實也不見得,因為個資法主要是要求管理流程上的調整,並搭配適當的技術性防護措施。已發佈的施行細則提供11條遵循方向,包含:
1. 成立管理組織,配置相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 必要之使用記錄、軌跡資料及證據之保存。
11. 個人資料安全維護之整體持續改善。
只要管理階層有決心,有宣示、有計畫的支持,初步增加的主要是管理和行政成本。各項管理防護程序進入到落實層面時,才是比較需要導入技術性防護措施的階段,用以降低管理負擔和確保作業程序被落實的下一階段改善計畫。
而且對一般企業而言,因應個資法的最大目的是為了避免損失,每年投入金額原則上也不應大於每年預計損失。因此在因應的初期,更需要有經驗的顧問輔導,將有限時間和人力花在刀口上。對於已有資安控管制度的企業,也可藉由這個契機,將個資防護納入現有的管理制度中,順勢爭取必要資源、一併強化資訊安全的防禦力道。
文 / 精品科技 稽核 許樹龍
個人資料保護法在2010年5月經總統府令公布後,延宕實施已超過2年多,行政院終於正式發布公告,除了規範特種個人資料的第6條及間接取得之個人資料須於1年內告知的第54條外,其餘新版個資法的條文在今年 (2012年) 的
10月01日正式施行,同時法務部也一併正式發布新版個人資料保護法施行細則共33條,該施行細則亦於10月01日同步實施。也就是說,因應個資法所需執行的相關措施已從討論評估階段正式邁入執行階段。
1.如果我們公司什麼都不做,會有問題嗎?
在個資法通過後的兩年多裡,市場上已有不少與個資法相關的資訊,相信您應該已經知道什麼都不做,對公司或是組織一定會有影響。但是,在這裡我們用一個最簡單實際的例子,也就是
所有公司組織都有的個人資料—員工資料,來簡要說明在個資法的因應上有哪些應該要做的事。
| 員 工 資 料 | ||
| 項目 | 僅蒐集執行法定義務所需之個人資料 | 蒐集之個人資料含有其他個人資料 |
| 內容包含 | 姓名、身分證字號、生日、地址…等。 | 學習歷程(曾經就讀之國小國中…等)、親屬姓名職業、親屬出生年月日…等。 |
| 1.告知義務 | 符合個資法第8條規定,得免告知。 | 須告知個資法第8條規定之告知事項。 |
| 2.蒐集、處理 |
符合個資法第19條之規定。
但是人員離職後,法定義務消失時,應主動將其個資刪除。
|
若離職後仍會將員工資料保存一段時間,應另外依循符合個資法第19條規定之項目。(如:取得書面同意) |
| 3.利用 | 應用於執行法定義務。 | 應用於所約定之特定目的。 |
| 4.個資當事人權利 | 須依個資法第3條、第10條、第11條、第13條、第14條之規定,因應並提供當事人行使其法定權利。 | 須依個資法第3條、第10條、第11條、第13條、第14條之規定,因應並提供當事人行使其法定權利。 |
| 5.事故管理 | 須依個資法第12條規定,應查明後以適當方式通知當事人。 | 須依個資法第12條規定,應查明後以適當方式通知當事人。 |
| 6.個資安全維護 | 須依個資法第27條採行適當之安全維護措施。(註:可參考個人資料保護法施行細則第8條及第12條) | 須依個資法第27條採行適當之安全維護措施。(註:可參考個人資料保護法施行細則第8條及第12條) |
| 註: 一般公司組織所負之法定義務如:替員工加保勞保、健保,所得稅扣繳申報…等行為。 | ||
從前表簡單說明的資訊中,可以很明確地知道,就算貴公司/組職只擁有執行法定義務所需的個人資料,也無法什麼都不做,除非你已經決定不遵循個資法的規範,願意承受違反法令所帶來的刑事責任、民事責任及行政處罰。
單以員工資料來看, 必須要做到以下事項:(1)列出紙本、電子檔案分別有哪些,並在員工進入公司時,告知使用範圍。(2)訂定規範,限制可以存取的人員,如人事主管、財會人員。(3)確認檔案的生命週期為何,何時需要新增、修改、銷毀。(4)最後定期的查看,是否內部都有遵守這些規定。
若有系統可以直接管理,則可以輕易的管理這些個人資料,若有外洩事件發生時,可以立即調出存取記錄,了解事故發生的原因。
2.我們該導入TPIPAS制度嗎?
TPIPAS全名為「臺灣個人資料保護與管理制度規範,Taiwan Personal Information Protection andAdministration System」,是經濟部商業司參考日本經驗,委由資訊工業策進會科技法律研究所執行「電子商務個人資料管理制度建置計畫」,針對電子商務業者所制定的個資保護管理的驗證制度。通過TPIPAS驗證的企業,可以取得DP Mark (資料隱私保護標章),預計在2013年會擴大到商業司管轄的服務業皆可申請驗證。目前僅有8家公司通過資策會科法所審核推薦,取得導入TPIPAS制度輔導機構的資格,精品科技是其中之一。
整個制度的基礎架構模式與常見的國際標準相同,皆是以PDCA的方法論為基礎;TPIPAS制度總共分為10章,對於事業體主要行為的規範落在第4~9章等6個章節,簡要說明TPIPAS章節內容如下。
- 前言:概述TPIPAS、訂定目的、用途及PDCA方法論。
- 適用範圍:說明制度規範係針對蒐集、處理、利用及國際傳輸個資之事業,訂定相關規範事項。
- 版本標示:說明應註明引用版本,未註明者視為使用最新版本。
- 用語及定義:說明制度規範中重要名詞、特殊名詞及用語之定義。
- 要求事項:說明各個事業體建立個人資料保護管理制度之具體要求事項,如:管理政策、管理手冊、風險管控措施、個資蒐集處理利用之管理、委外管理、當事人權利管理、管理監督、教育訓練…等。
- 管理責任:說明各個管理階層的責任,及特殊人員的資格要求。
- 有效性量測:說明制度規範中重要名詞、特殊名詞及用語之定義。
- 文件及記錄範圍:說明必要之文件,文件管理及記錄管理之要求。
- 內部評量:說明每年應進行內部稽核,以確認制度及制度之執行符合法令、法規、公司內部及外部合作組織之相關要求。
- 改善:包括定期檢視之持續改善,以及立即處理的矯正及預防措施等規定。
在簡單了解TPIPAS制度後, 便可以討論導入TPIPAS是否是公司因應個資法的必要選項呢?很抱歉這個答案仍是個選擇題,各個公司組織可以視實際需要決定是否導入TPIPAS。不過,可以確定的是,導入TPIPAS的確可以協助公司在個人資料保護管理做得更好,而且TPIPAS制度要求須遵行法令,制度要求的事項亦可以對應個人資料保護法施行細則第8條及第12條的適當安全維護之參考管理項目,並透過維持制度持續有效的外部監督機制,讓公司擁有另一個客觀的角度可以提出協助改善的建議,減少內部執行的盲點。此外,取得制度之驗證亦可增加公司商譽的價值。
3.什麼樣的產品才適合我們公司?
以上都是因應個資法所需增加的行政程序,為了避免被增加維護成本拖垮,讓握有個資維持在正資產的價值,建議企業需遵循最小蒐集原則加上個資使用期限,來控管個資數量。藉由盤點企業手上握有的個資,把不需要或已經用不到的個資銷毀,只留下有價值的個資。並主動告知客戶,你擁有他哪些資料,提醒他我們是在哪一次的活動中獲得他的資料,這些資料會拿來做那些用途。趁著因應個資法向客戶宣告,我們是注重個資的優良企業,也向潛在客戶聯繫,增加行銷機會。
下表簡單地將防護方式分為:紙本資料實體防護、電子資料外部防護、電腦資料內部防護。其中實體防護無須多加描述,而電腦資料外部防護在網路服務已應用多年的前提下,目前多數公司皆已有規劃並執行。根據統計,大多數的資訊安全事件、個資外洩事件都是由內部人所造成的,因此電腦環境的內部防護已成為目前資訊安全防護措施的重點,亦近幾年來大家關注的議題。根據iThome2012年個資法大調查,61.3%的企業採購資安產品來因應個資法,而個資法的經費投資重點如下表:
| 資料型態 | 資料型態存在型態 / 流通方式 | 防護方式 | 實際防護作為 / 產品 |
| 紙本資料 | 實體流通 | 實體防護 |
• 存放區域區隔、上鎖
• 門禁管制軟體
• 電子鎖/實體鎖
|
| 電子資料 | 電腦主機 / 網路流通 | 外部防護(防止入侵) |
• 防火牆
• 防毒軟體
• 網路安全軟體
|
| 電腦主機、伺服器 / 端點存取、內網流 | 內部防護 |
1.實體環境防護
2.電腦環境防護 (資訊安全產品):
DLP軟體 (防洩密)
DRM軟體 (加密)
內容掃描軟體 (盤點)
Log記錄軟體 (監視)
|
不過,在評估上述相關資訊安全產品時,該如何選擇呢?我個人給的答案是預防勝於治療,建議優先選擇防護類型的產品。另外,施行細則第12條也特別提到「使用紀錄、軌跡資料及證據保存」,因此資訊安全防護軟體的記錄能力也是一個重要的評選項目;而記錄不只是保存數位化Log而已,重點在於要能夠證明採用資訊安全防護的記錄軌跡,以及「還原」事件原本的面貌。
【 結語 】
因應個人資料保護法的正式施行,所有公司組織都應該增加或調整公司管理制度,並視實際狀況及可用資源導入資訊安全軟體,協助保護個人資料,善盡管理者之義務,以避免個資提供者之人格權受侵害,並促進個人資料之合理利用,以達成立法保護個資之精神。