個資法上路即將屆滿十年,企業組織為因應法規,須依法落實個人資料保護,整合資訊安全,以降低風險與罰則衝擊。非公務機關若違反法規除罰鍰外,主管機關得依法派員檢查、銷毀個資,甚至可公布違法公司違法情形及其公司名、負責人姓名。就個資法適用對象,並非只有金融、服務、醫療業者要重視,一般製造業和高科技製造業,因為產業的質變而擁有大量業務聯絡人以及服務第一線使用者的個人資訊,自也不能輕忽個資法的影響。因此,資料外洩防護及個資盤點偵測的整合,成為企業資安防外洩的二大課題。
強強聯手—對應法規要求
為了強化端點外洩防護,更加精準的掌握資訊外洩內容,精品科技將原有外洩防護X-FORT,擴充對資料內容偵測,與業界個資偵測服務工具代表安資捷 PrivacyID整合,強化DLP在資料安全上的防護方案,在資料移動之前,先行過濾文件內容,確認風險符合組織規則,才予以放行。搭配既有檔案操作記錄,畫面錄影強化使用者遵循規範,也提供了有效的證據力追查來源,無論在設備安全管理,資料安全稽核機制,使用記錄、軌跡資料及證據保存上,都能充分對應法規要求。
將機敏資料集中到保險箱
企業組織應對重要、敏感資料、個資進行加密或存取控管方面,經由安資捷個資工具盤點出本機電腦中含有個資的機敏檔案,並自動搬移至指定的資料夾存放,結合X-FORT的FAC資料夾防護功能,以AP白名單限定可存取的機制,使惡意程式難以存取、竊取資料,如同將重要檔案放在保險箱內作業,不僅符合法規要求,也能有效保護資料免受攻擊。
個資寫出結合主管審核
X-FORT可定義個資掃描的全域控管等級,決定偵測到風險時的處置,分為:
- 五種等級:最嚴謹、嚴謹、一般、寬鬆、最寬鬆
- 四種處置:阻擋寫出、須主管審核、警示、記錄
當X-FORT用戶端啟動個資掃描政策時,有USB檔案寫出需求時,會先經由安資捷個資工具內容即時偵測檔案,一旦偵測內容包含個資,就進行寫出申請。並通知主管審核,主管下載、審批後,系統通知使用者,檔案即可寫出至USB儲存媒體,寫出的檔案會備份至X-FORT主機,全程都保有完整軌跡記錄可供稽核。若公司資安政策採較嚴格者如偵測到個資,就一律阻擋的需求,X-FORT也能透過政策中自訂風險等級,做到無風險(放行並記錄),含有風險無論低、中、高則一律阻擋,全公司統一管理,或是採不同政策區分控管的機制。
主管審核的獨家技術
X-FORT的主管審核,可以記錄申請寫出的檔案特徵,一旦提出申請後若逕自異動檔案內容,X-FOR會偵測到檔案特徵不同,則原申請批准將無效,須重新提出申請。X-FORT在審核寫出流程上的高度掌控,也正是其他DLP產品在審核時容易產生疏漏的弱點。
證明已善盡保護責任才能免責
個資法規定,企業組織保有個資者,應採行適當之安全措施,防止個資被竊取、竄改、毀損或洩漏,若有違反規定,企業要能證明已盡防止義務者,才能降低營運損失或可能的鉅額罰款。選擇適合的資安產品,避免導入資安工具缺乏整合,仍無法善盡保護個資之責任。選擇能有效落實資安法規的個資防外洩工具,IT才能事半功倍,高枕無憂。