個資就是可以直接或間接識別一個人的資料,像姓名、電話、Email、身分證字號,這些是個資;員工編號、會員記錄,只要能連結特定的人,也可能是個資,手上保管的個資越多,保護強度就要越高,因為一旦外洩,影響的可能是一整批客戶、員工或會員。
企業控管個資的現況與落差
很多企業都有資安規章,並請員工簽保密切結書,甚至導入ISO 27001,但這些只是管理基礎,不等於已能有效控管個資,企業導入的資安工具若無法完整記錄使用者行為,例如誰存取、誰複製、誰傳輸資料,就會形成潛在風險。當有人問:「你有哪些證據證明你有在控管個資?」企業必須提供記錄,證明含有個資的檔案在哪裡、誰曾經使用,以及是否有外洩風險,這才是落實資安規章、有效控管個資的關鍵。
缺乏可證明的有控管資訊
檢視公司現有的資安控管,常見兩種困境:一是未導入工具的企業,完全不知道電腦裡是否有個資、有沒有被帶出去;二是已導入工具的企業,雖有檔案寫出的防護記錄,卻不知道寫出的檔案是否包含個資,也無法盤點電腦裡的個資分佈情況,這兩種管理落差,都讓企業在面對資安事件時,缺乏具備法律效力的舉證能力。
X-FORT端點資料防外洩
X-FORT是可在端點電腦各個檔案寫出通道進行控管與記錄的DLP(Data Leak Prevention)工具,涵蓋USB、網頁上傳、印表機列印、IM通訊軟體及 Outlook郵件等管道。因為資料傳輸不可能全開或全關,X-FORT會記錄寫出檔案的人、事、時、地、物,提供具備法律舉證能力的完整記錄。
傳統DLP看不到的影子資料
傳統DLP只從各個通道記錄寫出檔案的檔名,無法得知檔案內容是否包含個資,這造成了影子資料的灰色地帶,例如把.docx副檔名改成.jpg、檔名寫成「公司公告」,內文卻是大量個資,或將個資截圖,混在合法檔案中分批寫出,都可能規避DLP的防護。
X-FORT DLP+檔案清查+內容過濾
為解決影子資料問題,X-FORT在原有DLP架構下加入檔案清查與內容過濾兩種功能,靜態的檔案清查會主動盤點電腦裡含有個資的檔案,管理員可從主控台指定掃描範圍,系統依風險高中低自動將掃描到的檔案加密或刪除。
動態的內容過濾則在使用者透過USB、IM、Outlook郵件或列印等管道寫出檔案前,先進行內容過濾,依風險等級放行、記錄留存、或直接阻擋高風險個資檔案寫出,無論靜態或動態,兩者均具備圖片OCR能力,可辨識圖片中的個資,並識別檔案MIME TYPE與使用微軟MIP標籤來決定是否放行,有效找出電腦裡的影子資料。
具備法律舉證能力的記錄
X-FORT的檔案清查與內容過濾提供完整的清查記錄、清查檔案清單與個資內容,涵蓋人(使用者帳號、姓名)、事(清查結果)、時(何時寫出)、地(哪台電腦與寫出管道)、物(檔案記錄與備份),形成真正具備法律效力的可稽核記錄。
隱私保護與權責分離
系統提供權責分離的管理機制:管理員只能執行系統設定、無法觀看相關記錄;稽核人員只能觀看記錄、無法進行系統設定;並提供資料遮罩功能,確保管理員能發現違規,卻無法查看完整個資,防止球員兼裁判的情況發生。
讓資安規定真正落實
個資控管不能只靠規章與切結書,必須有真實可用的記錄作為依據,從靜態的檔案清查盤點電腦中的個資分佈,到動態的內容過濾在資料寫出前攔截高風險檔案,再加上具備法律效力的完整稽核記錄與權責分離機制,X-FORT協助企業將規定落實到控管上,在面對資安事件或法規要求時,都能拿出舉證記錄。