文 / 精品科技 資訊安全顧問兼資安部經理/ 陳伯榆
「如何利用資訊安全技術來強化產品與系統」,沿用這樣的概念,技術應用當成內部及外部資訊安全其中一項重要手段。而「做好內部資訊安全」還需考慮到其他面向,包含:資訊安全管理制度( 標準遵循)、法令的配合遵守,都是組成資訊安全妥善度的重要措施。
內部資訊安全三大面向
上述這三個要素會因產業別、服務對象、法令或是行業法令差異、IT 部門規模、知識產權強度…產生不一樣處置或管理方式,有些組織或單位會特重某些面向,但都脫離不了建構資訊安全三大要素。
舉例來說,從法令差異分析,特定政府單位收集個資,因特別法的建構保護,單位可以依法收集特種個資,其他單位並無相關法令規範,就不能逾越蒐集特種個資。從行業別分析,如電信業者,就有NCC主管機關所訂定相關法令節制,這些都屬於特別法( 特別法優於普通法的大原則) 的範疇。從智慧財產分析,某些產業特別重視技術資產管控,來防堵重要智慧財產資料因內部人員的犯意、外部商業間諜與駭客入侵竊取。
上述案例,都因各種特殊性考慮而有所不同,所以協助客戶瞭解自身的需求,建構合宜的解決方案,甚至導入正確制度,才能達到內部資訊安全目標。而這樣的設計需要不同領域的實務專家角色協助,讓企業或組織在不失Confidentiality, Integrity and Availability (CIA) 原則下達到最佳的內部資訊安全防護。
從空泛的理論到實務
操作與落實這個章節將聚焦在法令遵守以及管理制度的實務建立。我並不去談法條精神與法條內容,將從各位切身息息相關問題著手,如何落實並可操作達到法令遵守及制度管控,有效且不發散的呈現。舉幾個例子來看理論與實務的結合,就從個資法操作來實作,篇幅有限可能無法全面性滿足並給與解答,強烈建議搭配外部資訊安全顧問,從企業屬性在適型性範疇內進行合宜的設計。
案例一,公司網站通常是重要資訊揭露的門面系統,也常用來蒐集與回饋客戶或民眾意見重要平台,在網站的設計是否考慮到個資法應顧慮的面向呢? 例如在網站功能面上會觸及「意見回饋」以及「問卷調查」的設計。甚至會增加會員註冊後才可以使用「意見回饋」以及「問卷調查」的設計流程。其中就隱含了個資法實務的應用與操作。包含:
- 蒐集前管理制度的檢核申請設計( 內容應具備:目的、類別、依據、特定目的、保存時間、方式…等);
- 網站系統蒐集個人資料時必要的宣告( 內容包含:目的、類別、特定目的、保存時間…等);
- 如何透過技術性設計,確認相關宣告已被使用者「閱讀」;
- 再透過技術設計讓使用者「同意」後,才進行系統性資料蒐集;
- 系統端要如何建立必要的技術性及制度性保護措施( 如:資料庫端資料加密保護、檔案的加密保護、權限登入管制…等)。
- 進階的技術作為,就是如何確保相關軌跡記錄,以及不可否認性,強化證據效益,作為資訊安全事件發生時最有利有效的紀錄。
上述的規劃,有制度面規範上的調整,有技術性保護設計應用;也有安全性產品的導入;更涵蓋了專業顧問分析過後整合性的分析。
歸納案例的設計大原則:合於法令要求、可用度最少蒐集、最少個資揭露。就可以達到相關實務應用。會比將法條規章熟背,卻不知何處著手來的有意義。當然以「網站」設計不僅僅這些項目,其他含有:「隱私權宣告」、「會員資料申請變更安全流程設計」、「EDI 交換安全設計」、「資料加密保存或銷毀作業流程」…等,都要依據企業組織特性,經過分析後進行整合規劃與應用。當然如果您所處理的是重要敏感個資資訊系統,還需要定期的安全技術驗證分析與修訂。
案例二,延伸到管理制度,要如何整合個資保護設計原理呢?三者並不相悖離。在ISMS 制度上,不外乎部分導入部分驗證、全部導入部分驗證、或是全部導入全部驗證。當我們將個資法融入時,要特別注意個資法屬於全面性保護原則,所以在現有設計ISMS 與個資法應用整合時,只需要掌握個資法「全面性」的原則,並注意「搜集、處理、利用以及刪除停止處理利用」( 不涉及跨國傳輸下) 規劃設計。我們可以在第三階辦法或四階表單設計上增訂其辦法,並增加相關表單。例如第四階可以增加「蒐集前個資檢核申請表」,融入到ISMS 制度中。或許有讀者會問我們尚未有ISMS 制度,又該怎樣進行呢?即使沒有導入ISMS 我們仍可以保有ISMS 的精神,在符合公司需求下進行規劃設計,都是很務實解決我們的迫切的需求。如果還是充滿疑惑不妨尋求資訊安全顧問的協助,給予適當的建議。
結語
做好內部資訊安全,當然不是只有上述的兩個案例,舉凡普遍性的資訊安全防護,防毒防駭的設計、重要資產資料的保護設計、ACL 權限規劃、定期的資訊安全教育訓練,提升整體資訊安全素養…等都脫離不了三個要素,不僅僅是IT 部門或是MIS 部門工作,更是需要企業組織成員以及公司高層的支持,才能有效落實。