FineArt News

資安新知

產業資安稽核重點,客戶實際案例分享

在資訊安全的領域,台灣產業普遍推行ISO 27001作為主要的資訊安全管理標準,根據不同產業特性(半導體、汽車、電子、金融)以及客戶的要求(如Apple、Tesla) 通常還會被要求或建議符合特定產業的資安規範。

規範/標準

適用對象

常見要求情境

ISO 27001

所有製造業

建立基本ISMS,招標/供應鏈要求

TISAX

汽車供應鏈

歐系汽車品牌稽核

CMMC

美系軍工航太

美國國防客戶

NIST CSF

科技/電子製造

國際大廠要求

ISO 27701

有處理個資者

客訴/服務資料處理者

ISO 22301

關鍵產業(半導體、精密)

營運不中斷要求

個資法

全產業

處理個資即適用

不同產業的資安稽核重點都會略有不同,在全產業裡只要企業有處理個資就需要符合個資法,近期針對零售業又有零售業個人資料檔案安全維護管理辦法需要遵守,金融業就須符合金融業導入零信任架構參考指引

 

ISO 27001:2022 8.12控制措施加入DLP項目

資料外洩已經成為資訊安全最大的威脅之一,ISO 27001:2022的更新中,新增8.12數據 / 資料洩漏預防的控制措施,主要指引企業需導入DLP(Data Leak Prevention, DLP),而X-FORT本身功能就是以DLP為主,搭配資料保護、資產管理、使用者行為記錄等功能可符合ISO 27001:2022中12種的控制措施。

 

製造業的稽核重點:聚焦智慧財、供應鏈傳輸控管

ISO 27001稽核員在不同產業進行稽核時,會根據產業特性與風險背景調整稽核重點,以下介紹已導入X-FORT的客戶應對ISO 27001稽核人員的實際作法。

以下根據幫多家製造業客戶導入X-FORT時,遇到最多被稽核員稽核的項目進行案例分享

A 5.14 資訊傳送:應備妥正式之資訊傳送規則、程序或協議於組織內部及組織與其他團體之間所有類型之傳送設施,這條控制措施主要是檢查是否有制定資訊傳送規則,例如:外接碟、Mail、IM軟體、紙張傳遞等。

客戶實際的合規作法:根據各個資料傳輸管道,利用X-FORT制定以下政策符合要求:

  1. 外接碟預設禁用,需申請核可後由管理員配發公司註冊設備,寫出資料會自動記錄與備份實體檔案。
  2. 紙本列印預設加註浮水印(含日期、部門、帳號),且僅限公司印表機使用,無法連接私人印表機。
  3. 僅公司內部系統(如 ERP、HR、CRM、SCM)可透過瀏覽器上傳檔案,其他網站需申請許可後方可上傳。
  4. 雲端硬碟全面禁用,無論網頁介面或本機同步工具皆無法傳輸資料。
  5. IM軟體預設禁用,有業務需求者須申請開放使用,並記錄傳輸行為。

A 8.1 使用者端點設備:應保護經由使用者端點設備所儲存、處理或可存取之資訊

端點設備如:PC、NB等,實施包含安全設定、資料加密、防惡意軟體、防竄改、端點存取控管與設備遺失處置等機制,以確保設備中資訊的機密性、完整性與可用性受到適當保護。。

  1. 利用X-FORT啟動用戶端的BitLocker讓整顆硬碟加密,尤其是筆記型電腦,此舉可防止硬碟被拔走導致資料外洩。
  2. 透過 FileLocker 對電腦內部檔案進行加密處理,以防止未經授權之存取或外洩。

A 8.15 存錄: 應產生、保護、保存及分析紀錄活動、異常、錯誤及其他相關事件之日誌

客戶實際的合規作法:上面A5.14資訊傳送除了可以禁止以外,也提供記錄功能。

  1. 所有可寫出、上傳資料的管道均啟動記錄,例如:外接碟、MTP裝置、 列印、瀏覽器、IM軟體。
  2. 啟動檔案操作記錄,記錄使用者在電腦的檔案軌跡,例如:從網碟複製檔案到本機電腦並更名,再寫出到外接碟,一系列的軌跡動作都詳實記錄。
  3. 將以上的記錄定期產生報表寄送給系統管理員與高階主管。
  4. 定期備份資料庫,並提供客戶備份資料庫還原查詢操作手冊。

 

零售業的稽核重點:主要保護客戶個資

零售業最需優先保護的資料即為顧客個人資料,特別是經營會員制度的業者,通常掌握大量會員個資,一旦外洩,極易遭詐騙集團濫用,對企業信譽與顧客權益皆構成重大風險。因此,在資安稽核中,個資保護要求為重要關注重點。

個人資料在企業內常以以下兩種形式存在:

  1. 儲存在 CRM 等客戶管理系統中的資料庫;
  2. 以 EXCEL、PDF 等檔案形式儲存於終端裝置或網路磁碟。

上述類型的資料需採用不同的保護機制,以下將依《零售業個人資料檔案安全維護管理辦法》為基礎,結合實務導入案例進行說明。

 

7.4 於傳輸個人資料時,是否依不同傳輸方式,採取適當之安全措施

此要求與 ISO 27001 控制項 A.5.14「資訊在系統間的安全傳輸」有高度一致性。企業在傳送個人資料時,無論透過紙本、電子郵件或網路,皆應依傳輸方式採取相應的保護措施。除了對檔案寫出進行存取控管與記錄外,為強化個資傳輸防護,亦可搭配 X-FORT 的內容過濾功能。

當使用者將檔案寫出至外接裝置、即時通訊軟體傳送附件、透過 Outlook 郵件附檔或列印文件時,系統將自動檢查內容是否包含個資。若檔案內個資數量超過預設風險門檻值,該傳輸行為將被自動阻擋;即使未達門檻,凡含有個資的檔案皆會被完整記錄,確保可追溯性與事後稽核能力。

 

7.5 有加密必要之個人資料,是否於蒐集、處理或利用時採取適當之加密措施

針對需加密的個人資料,企業在蒐集、處理與利用過程中,應確保資料自始至終皆處於加密保護狀態。凡屬應加密之個資,必須在整個處理流程中落實加密控制。

例如,透過 File Locker 對電腦上的個資檔案進行加密,即便從 CRM 匯出個資檔案,一旦儲存至終端設備即會自動加密,即使另存新檔亦同樣受到保護,確保個資在存放與使用階段皆維持加密狀態。

本文所列案例源自實務經驗,多數為企業在通過稽核後依據缺失改善而產生的功能需求。雖各企業營運型態與作業流程略有差異,但從 X-FORT 的應用實務觀察,其控制核心大致涵蓋上述幾項保護措施,僅在執行細節與控管強度上有所調整。