文 / 精品科技 董事長 劉振漢
個資法正式實施,企業須做好準備
2012年10月個資法正式實施,對各行各業帶來程度不等的衝擊。壽險業者是受影響最大的行業之一,有報導,10月之後,業績掉了三成以上。不意外的,電話行銷因為被追問「你怎麼會有我的個人資料」,面臨被提告求償的風險。大家可以明顯感受到電話行銷的騷擾變少了,相對的,電銷業面臨了巨大裁員壓力。
產險業者推出最高保額二億元的「個資外洩險」,保費超過百萬元,電信、銀行保險業及線上購物業者等最易觸法判賠的「高風險群」為主要潛在客戶。然而,購買個資外洩險,某種程度意味「企業本身對個資處理沒信心」,若被揭露,對企業的形象會有很大的損害。如何防範個資外洩,避免「受到行政處分,甚至被鉅額求償」,是每個企業必須面對的課題。
公司營業秘密恐外洩
公司營業秘密外洩事件無時無之,大公司的洩密案,媒體皆曾大幅報導。中小公司不為人知者,更不知凡幾。政府重視這問題,也將修法將洩漏營業秘密從民事案改以刑事論罪。由於公司營業秘密牽涉利益重大,被盜竊不易察覺,成為許多企業的隱憂。
資訊安全是重要的課題,沒有資訊安全,就沒有國家安全。政府不做好資訊安全,人民就沒有保障。公司不做好資訊安全,公司的發展就受到限制。我們有這樣的經驗,有客戶突然就找到我們,要最短的時間導入資安系統。不久就看到新聞,這家公司接到國際大廠的代工訂單,這種例子相當多。
大家也許聽過一個報導,在蘋果公司的內部iphone的產品開發代號叫做『紫色專案』(ProjectPurple)。這個專案,賈伯斯只允許使用蘋果內部的員工,絕不能從外部挖人。
『紫色專案』團隊占用了蘋果總部辦公大樓的其中一整層,當然是安裝了門禁系統,大門口貼了寫有『搏擊俱樂部』(Fight Club)字樣的標牌。『搏擊俱樂部的第一條規則就是,大家不能談論搏擊俱樂部』。因此蘋果公司的其他員工也不知道有『紫色專案』。『紫色專案』這個專案名稱會曝光,是因為蘋果和三星打專利官司時主動揭露,大家才會知道。做好資安,也是蘋果成功的原因之一。
由上往下顯示導入資訊安全系統的內容
導入資訊安全系統
首先必須確立單位執行資訊安全政策的決心,其次要建立資訊安全組織,評估單位所屬行業的法律要求(銀行、醫療各有特殊的管轄法律,個資法則是所有單位必須遵守)。接下來將單位資訊資產分類,評估其風險。之後,針對人員安全、實體與環境安全…等6大項目(圖中灰色部分)建立(或改善)管理制度。
這個資訊安全管理系統的內容是ISO27001國際標準訂定的,是非常有價值的遵循標準,舉兩個項目為例:
- [系統發展與安全]的管理,會在導入一個新的系統(例如CRM客戶管理系統)時,考慮到個資的保護,操作手冊完備,使用者權限管理、電腦網路效能負載…等問題。
- [實體與環境安全]的管理,會評估包括機房溫濕度、火災風險、人員進出控管,異地備份的需要性等等。
根據這個準則實施,可以完整的考慮到所有的安全問題。
量化指標和定性化指標來評估實施成效
建立資訊安全管理系統,應以定量化指標和定性化指標來評估實施成效:
- 定量化指標:
- 確保系統、主機中斷營運服務之情事,每年不得超過X次,每次不得超過X個工作小時。
- 確保相關之資訊安全辦法有確實實施(每年至少查核X次)。
- 依職務、責任提供全體同仁資訊安全相關訓練(每年至少執行X次)。
- 定性化指標:
- 加強內部控制,防止未經授權之不當存取,以確保資訊資產受適當的保護。
- 確保資訊在傳遞過程中,不透露給未經授權的第三者。
- 確保所有資訊安全意外事故均依循通報機制逐級反應,加以調查及處理。
如果公司已經建立好很好的資安管理系統,根據此系統的要求,「對於法規的變動必須因應」,會在既有的架構下,增訂個資保護的辦法,增加個資管理系統。
選擇適當產品,讓管控更周延
按照行業的要求,公司業務的性質,公司可以選擇適當的資安產品,構成資安管理系統的一環。精品科技可以協助評估公司所需要的產品,依據不同的評估和比較觀點做出專業的建議。
首先功能要符合需求,技術解作為防止資料外洩的急效藥,導入就是要立刻防堵曾發生的外洩方式再度發生。例如防止從USB帶走機密資料, 或是能舉出機密資料被寄到私人信箱的證據。
但除了滿足初步目標外,也要考慮到後續的需求。因為資安的特性就像治水,對有心人士而言,防堵了一道門,他就會立刻找另外一個洞鑽。所以初期的導入目標可能只是防止機密資料被一支不起眼的隨身碟帶走,漸漸的其他需求會逐漸浮現,例如管了USB行動碟,可能導致網芳和光碟機的使用頻率增加;另外,現在盛行的網路硬碟、智慧型手機(BYOD)的趨勢,逐漸改變人們作業流程,新的工作方式會衍生新的漏洞。如果導入的產品沒有可擴充的架構,或是原廠沒有順應需求,持續推出新版本、新功能。未來企業在面臨新的需求時,可能又必須再評估第二套、甚至第三套資安產品。不但增加導入的金錢、時間、人力、維護成本,疊床架屋的架構也會嚴重拖慢電腦效能,引發使用者的排斥與抗拒。
滿足了初步需求和未來擴充能力後,還要考慮對原有作業流程的衝擊。如果資安產品只能藉由限制存取來防止資料外洩,強迫使用者改變習慣配合新的作業流程,通常會大大增加導入的困難度。如何在最小影響使用者的情況下,防堵可能的惡意操作,或是能彈性的依照時間、日期、黑白名單、審核機制來設定控管政策,其實也是評估資安產品非常重要的指標。尤其大型企業在導入時,非常重視廠商的導入經驗,如何與現有流程整合、跨site架構的整體規劃、能隨著專案階段對不同層面進行教育訓練,才是決定大型專案導入能否成功的重要因素。
也要評估實際導入時會遇到的問題,包含系統是否發展成熟、與企業內常用軟體的相容性。除了可藉由使用者接受測試來評估,也可藉由產品的推出時間、Reference site的數量與規模,是否有獲得獎項等指標來衡量。
另外,如果企業導入資安產品,是為了滿足國外客戶對資安的要求,或是本身就是跨國企業而必須滿足國際資安法規。那在選購資安產品時,也可以考慮到資安產品是否有行銷國際。有國際知名度的資安產品,對企業在向國外客戶證明有能力保護機密資料時會更有認同感。
還要考慮的是,資安產品既然要整合進作業流程,操作容易也是非常重要的評估指標,因為資安管理系統使用者除了IT人員以外,還可能包含各部門主管、稽核人員,甚至企業老闆本身。
謹慎小心為上
方便和安全常常是對立的,隨身碟很方便,卻很不安全。雲端非常方便,連CIA局長裴卓斯和布洛德威爾女士使用Google的雲端服務。雲端卻也引發很多安全疑慮。大家都使用「雲端」, 卻不知到各個「雲端」到底在世界那個角落?熟悉網路技術的人也許知道:可以用url2ip ip2location(由url找到網址的ip編號,再由ip編號找到位置)的兩段步驟來找到「雲端」的真正地理位置。一般人可能就沒想這麼多了。
雲端有很多免費的儲存空間( 中華電信、Google、Dropbox…),資料放在那裡,隨時可以取用。假設你有同學的通信錄,為了方便,把它放上雲端,可能你已經違反個資法了。個資法第 21 條提到,「…國際傳輸個人資料…接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞…」。使用對岸雲端空間的人不在少數,對岸是否算是「對於個人資料之保護未有完善之法規」,有待政府和法官來釋疑。
我國個資法涵蓋範圍廣、而個資和資通訊的牽連太大,已經超出一般人的處理能力。可以預期「個資」紛爭將急速成長。在此建議,時時省思,處處小心,是我們面對個資法應有的基本態度。