文 / 精品科技 資訊部 鄭文聖
目前企業較為常見的作業系統大都為微軟Windows及 Red Hat Linux,而經常使用及管理微軟作業系統的人知道,每星期或每天幾乎都有修補檔(Patch)要安裝,防毒軟體更新等,而系統管理人員大都也會乖乖照做,問其原因,普遍回答”Windows很容易中毒”、”Windows容易被攻擊”⋯等,其實所有作業系統均需要被良好的管理,差別在於觀念及做法,下面我們從使用者角度介紹,來看看如何做好個人電腦的資訊安全防護。
文 / 精品科技 法務 邱芷葳
接到僱用公司的錄取通知後,報到當日往往需要花費至少半天的時間來簽署各種文件,但報到當天要簽的文件究竟有哪些呢?
文/精品科技 研發一部 鄭楷照
隨著智慧型行動裝置(手機、平板電腦等)的普及,人員攜帶行動裝置上班成為普遍情況。由於行動裝置的功能強大,如果企業、組織沒有做好防範,便有可能造成機密資料、資訊洩漏。在企業、組織的機密管制區域,通常會禁止人員攜帶智慧型行動裝置(手機、平板電腦)入內,以避免機密被洩漏。然而行動裝置有許多功能對於使用者有幫助,可增進工作效益,而不虞造成機密資料洩漏。如果能夠對於行動裝置可能造成機密外洩的功能或行為進行限制,而不影響其他功能,將可以在保護資訊安全的前提下,給使用者更多便利。
行動裝置控管(Mobile Device Management,簡稱MDM)能夠對行動裝置(如手機、平板電腦或其他攜帶性裝置等)的功能或操作行為進行控管,以保護企業組織的機密資訊。
現行MDM軟體的常見功能,包括整合使用者帳戶/憑證,以設置資安控管政策與權限;控管行動裝置硬體功能(如相機、Wi-Fi、藍牙…)並且留下使用記錄;收集行動裝置硬體與系統資訊(包括裝置ID、各硬體功能開關狀態、電量…);行動裝置遺失對策(位置追蹤,遠端鎖定裝置,遠端抹除裝置資料(Wipe)…)等。
MDM軟體對於行動裝置上的軟體(APP)亦可進行控管(亦稱為Mobile Application Management,MAM),例如控管行動裝置安裝的軟體:強迫安裝、反安裝APP,限制軟體的執行,以及管理企業內部APP的下載分享。MDM軟體可控管企業組織的機密資料的存取途徑、與使用者權限,避免儲存於行動裝置的機密資料被外移備份(亦稱為Mobile Content Management,MCM)。
現有的MDM軟體架構,除了運行於行動裝置的MDM APP,通常還具有MDM的中央伺服器。中央伺服器可以是Internet上的雲端伺服器,或架設於企業組織內部網路。中央伺服器管理安裝有MDM APP的行動裝置,例如指派資安政策、收集裝置資訊、遠程遙控等;中央伺服器可兼具企業資料伺服器的功能,行動裝置只能透過中央伺服器途徑存取機密資料,使機密資料流向得以管制;中央伺服器亦可作為企業內部的APP Store,讓使用者下載安裝所需的應用軟體APP。
為了在使用者上班時自動控管裝置,而在下班後能便利解除管制,現有MDM軟體有些可設置為根據時間與位置決定是否處於管制狀態。例如判斷時間是否為設置的上班時段,如果在上班時段內才啟用管制。這需要與中央伺服器同步時間,並且偵測時間是否經手動修改;地理位置則根據GPS、AGPS取得座標,檢查是否在定義的管制區域內,如果在管制區域內才執行資安政策。
1.使用者將企業組織機密外流:
企業組織常在內部網路,以資料伺服器方式儲存、分享資料。現在的智慧型行動裝置均具有Wi-Fi連線能力,因此若資料伺服器與行動裝置雙方面沒有保護措施,當行動裝置進入內部網路區域,便能夠作為終端隨意下載內部資料,抑或是透過USB、藍牙直接與內部設備連線,從而複製外移檔案,造成機密資訊外流。此外現在行動裝置大多具有攝影機設備,若未加以限制,則很容易經由拍照或錄影方式取得機密資料。
為了保護企業組織的資料不外流,對於儲存、分享資料的途徑必須加以管制,例如使用中央伺服器統一儲存管理資料。使用者需要以本人帳號登入中央伺服器才能夠存取內部資料,並且所有存取行為會留下操作記錄以便追蹤。機密資料在傳輸過程也必須加密,並且經MDM APP下載到行動裝置後,需要將機密資料分隔存放於保護區(仍加密),使資料不能夠複製外移,要檢視機密資料亦需要進入MDM保護區(可設密碼保護),並且透過指定的唯讀APP或是MDM軟體解密後瀏覽,以進一步保護資料。透過MDM軟體限制行動裝置的相機等硬體,以避免機密資訊被拍照流出。
2.行動裝置遺失:
若存放有企業組織機密資料的行動裝置遺失在外或失竊,則機密資料可能被因此外流。若行動裝置預先安裝有MDM軟體,則遺失裝置時,可即刻透過網路或簡訊方式遙控,遠端將行動裝置鎖定、遠端抹除行動裝置資料,或利用位置資訊追查裝置下落等措施進行補救。並且平時MDM可強制使用者設定有足夠安全的密碼(與有效期限,到期則必須重設),再配合將機密資料加密、分隔存放的方式,以增加遺失裝置後的安全時間。
3.不當APP
使用者可能有意無意間,執行不當的APP軟體,例如已知的惡意軟體(木馬、資安漏洞軟體)、可能造成資訊外洩的APP、破解或非法軟體、或其他列管APP。透過MDM軟體,可以設置黑白名單限制行動裝置可安裝或執行的軟體,以避免因為使用不當APP遭受損失。
端點防護軟體包括防毒軟體(Anti-Virus)、防間諜程式(Anti-Spyware)、防火牆軟體(Firewall)、入侵預防(IPS)等,可防範外來的病毒、惡意軟體、木馬或其他形式的入侵攻擊。MDM軟體則可管制使用者的操作行為、控管行動裝置功能與APP執行、以及機密資料的存取途徑,從內保護企業組織的機密資料。若能搭配MDM與端點防護軟體,可更全面的保護機密資料安全。
精品科技現有MDM產品為AndroidFORT,支援Android平台,具有硬體控管功能如Wi-Fi控管(只能連結名單上的AP)、藍牙控管、SIM卡異動鎖定、遠端鎖定、遠端抹除資料等,可收集硬體資產資訊(裝置ID、SIM卡ID、SD卡容量、電量、…)、位置追蹤;能夠依名單管制APP軟體的執行,並且收集已安裝APP軟體名單。與多種操作記錄(檔案操作、軟硬體異動、來電撥出記錄、…)。
MDM軟體能夠管制行動裝置功能與使用者操作,讓企業組織能夠信任人員攜帶行動裝置工作時,避免因此造成機密外洩的損失;對於使用者而言,在限制敏感功能後,能夠使用行動裝置其他功能可帶與其便利,而不至於徹底禁止攜帶智慧型行動裝置。唯在保護資訊安全之餘,也需要注意使用者觀感,尤其當行動裝置並非由企業組織統一配給,而是屬於使用者本人時(Bring your own device, BYOD):例如必須尊重使用者個人資訊隱私、不該在管制地區/時段外妨礙到使用者正常使用、事先向使用者教育管制項目、與將收集的裝置資訊等。
文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
首先要了解升級的背景,關於ISO/IEC 27001升級,依據國際標準組織(ISO)遵循標準,每隔5年必須進行升級修訂的原則來進行。而目前的版本是已經使用8年,這8年的資訊安全變化已非同日而語,必須因應需求進行調整升級。大家也認同原先ISO 27001:2005與ISO 27002:2005的版本在體系整合、控制項邏輯問題、充分性等條件都有強化改進的空間。此外雲端安全更是不能輕忽的狀態ISO/IEC 27001:2013可以與雲端安全聯盟 Cloud Security Alliance (CSA) 所提出雲控制措施矩陣Cloud Controls Matrix (CCM)讓相關控制措施充分結合與應用,就是在處理新資訊服務的另一發展趨勢。
文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
若以雲端服務及應用落實的Google 紀元來算起,Google雲端應用服務已經過邁入15年。反觀雲端服務成為廣泛應用也是這2~3年間才快速成長。不從學理上嚴謹的Cloud Computing的定義來界定市場「真雲端」、「假雲端」服務。單就服務應用與創新層面來看,在網際網路結構下,雲端應用(SaaS)的龐大資訊應用與交換,以致延伸出巨量資料分析,就有十分驚人的價值。
文 / 精品科技 資訊安全顧問兼資安部經理/ 陳伯榆
「如何利用資訊安全技術來強化產品與系統」,沿用這樣的概念,技術應用當成內部及外部資訊安全其中一項重要手段。而「做好內部資訊安全」還需考慮到其他面向,包含:資訊安全管理制度( 標準遵循)、法令的配合遵守,都是組成資訊安全妥善度的重要措施。
上述這三個要素會因產業別、服務對象、法令或是行業法令差異、IT 部門規模、知識產權強度…產生不一樣處置或管理方式,有些組織或單位會特重某些面向,但都脫離不了建構資訊安全三大要素。
引用出處:大椽股份有限公司 http://www.digitimes.com.tw/
當前的企業資安正面臨非常嚴峻的挑戰,尤其是愈來愈多的企業機密,被更多資訊部門以外的人員掌握時,企業資安問題更形複雜。精品科技資安顧問許祐福指出,資訊部門人員其實在對抗外界威脅的表現還不錯,但對於內部營業秘密的保護,可能要更為用心,才能避免更嚴重的資安事故發生。
根據商業管理協會(Institute of Commercial Management)研究報告指出,白領工作者平均每周處理11 份機密營業文件,而且這些機密文件常常會在不必要的情況下曝光。報告指出,39% 的工作者曾經將客戶資料寄出公司,52% 的員工曾在離職時,將工作資料帶走;86% 的員工坦承習慣性將郵件轉寄其他人;26% 的員工甚至會使用免費信箱寄送工作資料。
文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
國內個人資料保護法( 以下簡稱個資法) 施行屆滿週年,這一年來看似無風無雨,仍有些個人資料外洩案例與事件引起大家的廣泛關注與探討。如果再仔細分析,這些國內個人資料外洩事件與判例,可以做為各行業個人資料保護的借鏡。
話說許多專家學者常列舉日本個資法施行後三年的案例大爆發週期,警示國內政府與產業來格外重視個人資料保護的重要性。從某些私下訪談中,也發現不少產業以為是種威嚇的觀點,甚至態度觀望不言而喻。目前並無任何分析佐證,國情文化差異可以將日本狀態,套用到國內個人資料外洩模式。但是提高警覺並適度改善,進而讓政府企業將個人資料保護延伸到機敏性資料保護的價值,是不否認的課題,相關的案例與訴訟也不少,這是我在第二個章節會特別提出的觀點。這樣的防護模式,才可讓企業主更重視相關保護規劃,以及提高個人保護的雙贏效果。
文/精品科技 品管課課長 許祐福
過去國際犯罪的不法所得,金額最大應該是走私毒品,而現今利用個資所從事的犯罪行為,極有可能取代毒品成為金額最大、影響範圍更為普及的非法活動。所以國際間已經非常重視個資的保護,如果某個國家被認定在個資保護上不週,則國際間各個國家將會限制個資輸出到該國。對於極度仰賴進出口的海島型台灣,會損失很多商機,所以政府緊急修法,是為了讓台灣企業的個資防護水準能與國際接軌。
在現今資訊快速傳遞的年代,個人資料都可以跟錢有直接的關聯,如何合理被利用,也是法律制定的目的。以臉書(facebook)在今年5月21日的收盤價33美元計算,市值約為930億美元。目前臉書的使用者總數已突破9億大關,其中每日活躍使用者(daily active user)人數為5.26億人,因此平均每位使用者貢獻的市值為176.81美元(930億除以5.26億;約台幣5,300元)。臉書上市創造的億萬財富,都是由這群每天主動奉上生活點滴的使用者所成就的。然而,他們並沒有因此分得任何一毛錢。也無法限制臉書如何利用他們的個資來從事營利行為。
隨著個資法上路,未來當事人在被收集個資時,可以得知是哪個企業的哪個部門,為了什麼目的要得到這些個資。甚至還可以知道,他所提供的個資會被保留多久,會不會傳遞到海外。而當事人了解這些資訊後,還會被告知若不願意提供個資,會有什麼權益受到影響(像是收不到優惠通知,或是無法收到中獎的通知…)。這些資訊的明確告知,確保當事人是在知情的情況下,自願提供這些資料,供企業作特定目的的利用。若未來他所提供的個資,要被作超出原先目的、範圍的用途時,他也應會收到一份請求同意的專屬通知。也可以在首次被行銷時,透過免費的聯絡方式要求停止利用他的個資。只要他高興,可以隨時向企業要求閱覽、給予複製本、更正或刪除企業所擁有的個資。
然而,法律是兩面刃,保障當事人權益的同時,也給了來者不善的人士傷害企業的機會。就像企業的資訊設備提供對內對外的服務,是為了創造營收或增加工作效率,但也為駭客提供了長驅直入的窗口。身為企業或資訊部門的主管,面對即將上路的個資法(預計2012年10月01日正式實施),必須要重新檢視和調整個資蒐集、處理、利用的程序,避免以身試法,成為同業間分析個資法的經典案例。
尤其台灣所制定的個資法比國際間更嚴格。以日本在2005年正式實施的個人情報保護法為例:日本是以擁有5,000筆個資,才需納入法律保障的規範;而台灣是一次到位,只要擁有1筆個資就需符合法律要求。適用範圍也從初期的電子商務,擴展到所有的公務與非公務機關。且企業需自負舉證責任,依照「舉證責任之所在,敗訴之所在」的經驗,企業在面臨訴訟時明顯處於劣勢。
未來也可能是個資蟑螂橫行的時代。個資蟑螂可能藉由各種手法來勒索或打擊企業形象。例如:向主管機關舉發企業未善盡保護個資責任,而使企業蒙受行政處罰和商譽損失。或是假冒當事人行使檢閱個資的權力,取得當事人更完整的個資去從事犯罪。如果企業無法舉證,未來當事人受到實質損失時,企業可能會面臨當事人訴訟及賠償。如同燦坤在2012年初發生的案例,在未來個資法上路後,已經不是一句不知道或是查不出來就可以脫身的。
作者: 林佩怡 中時電子報 2012/1/6
台北市法規會最近接獲六位民眾投訴,指在燦坤網路商城購物後,接到詐騙電話,其中一人遭騙十多萬元;消保官懷疑個資外洩,要求業者說明,警方也介入調查。
燦坤副總經理張岳龍說,有關個資外洩的說法,燦坤已經向警方備案,但燦坤查不出有個資外洩,警方也未查出,所以並沒有個資外洩,因為連警方也查不到。張岳龍呼籲民眾購物,若發生詐騙情況,應向警方報案,燦坤希望警方早日偵破詐騙案。
所以在個資法推行後,首先您必須思考的幾個問題是:
1. 我們企業有那些個資?
2. 我們真的需要這些個資嗎?
3. 這些個資當初被收集的目的為何?
4. 現在留著這些個資還有價值嗎?
因為企業常見的問題是,蒐集了太多不需要的人的個資,也囤積了太多已經用過,未來用不到的個資。過去個資在企業代表的是正資產,擁有越多個資就擁有越多客戶或潛在商機。但隨著個資法上路,為了符合法令的最低要求,多了許多個資的維護成本,還可能因為保護不周而遭到行政、民事,甚至刑事訴訟。所以過去的正資產,現在可能變成負資產。
為了達成適當的防護水準,增加的個資維護至少包含:
1. 已擁有的個資,須於首次行銷時,實行一對一的完整告知。
2. 須提供正確、合理的聯絡管道,供當事人提出請求。
3. 當事人有權請求閱覽、製給複製本、補充、更正、刪除所擁有的個資。
4. 應有受過個資法訓練的專人,負責處理當事人請求。
5. 現有儲存個資的資料系統,需因應個資法增加欄位(取得來源、直接or間接收集、使用期限、使用目的)
6. 依照個資的使用期限,定期銷毀並留下記錄供未來舉證…等。
以上都是因應個資法所需增加的行政程序,為了避免被增加維護成本拖垮,讓握有個資維持在正資產的價值,建議企業需遵循最小蒐集原則加上個資使用期限,來控管個資數量。藉由盤點企業手上握有的個資,把不需要或已經用不到的個資銷毀,只留下有價值的個資。並主動告知客戶,你擁有他哪些資料,提醒他我們是在哪一次的活動中獲得他的資料,這些資料會拿來做那些用途。趁著因應個資法向客戶宣告,我們是注重個資的優良企業,也向潛在客戶聯繫,增加行銷機會。
接下來要思考的是:
1. 這些個資散落在何處?
2. 由哪些人保管?
3. 用什麼方式保管?
4. 在現有的使用流程中,有沒有機會遭到內部或外部人員上下其手?
對於沒有電子商務,也沒有蒐集大眾個資的企業,其實更要注意第4點。因為,不管你是哪一行業,企業可能都會保有面試的應徵者資料,員工的人事資料、保險和健檢資料。這就符合個資法,不限行業只要有一筆個資的適用範圍。
相較於電子商務經常遇到各式各樣的詐騙行為,業者早已習以為常,練就一套相應不理、明哲保身的標準作業程序。一般企業面臨的是
1. 你難以否認你握有曾面試、在職或離職員工的個資。
2. 這些個資會被不肖員工或外部有心人士,作為勒索或打擊企業的手段。
3. 缺乏面對個資訴訟的經驗,難以舉出企業有善盡保管責任的證據。
也就是,一般企業未來可能會面臨到的是有計畫性、針對性的攻擊,而非只是亂槍打鳥的詐騙行為。
因此,為了遵循法律以及避免可能的損失。即便是沒有蒐集個資的一般企業,勢必要作些調整與因應。要花很多錢投資嗎?其實也不見得,因為個資法主要是要求管理流程上的調整,並搭配適當的技術性防護措施。已發佈的施行細則提供11條遵循方向,包含:
1. 成立管理組織,配置相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 必要之使用記錄、軌跡資料及證據之保存。
11. 個人資料安全維護之整體持續改善。
只要管理階層有決心,有宣示、有計畫的支持,初步增加的主要是管理和行政成本。各項管理防護程序進入到落實層面時,才是比較需要導入技術性防護措施的階段,用以降低管理負擔和確保作業程序被落實的下一階段改善計畫。
而且對一般企業而言,因應個資法的最大目的是為了避免損失,每年投入金額原則上也不應大於每年預計損失。因此在因應的初期,更需要有經驗的顧問輔導,將有限時間和人力花在刀口上。對於已有資安控管制度的企業,也可藉由這個契機,將個資防護納入現有的管理制度中,順勢爭取必要資源、一併強化資訊安全的防禦力道。
文 / 精品科技 稽核 許樹龍
個人資料保護法在2010年5月經總統府令公布後,延宕實施已超過2年多,行政院終於正式發布公告,除了規範特種個人資料的第6條及間接取得之個人資料須於1年內告知的第54條外,其餘新版個資法的條文在今年 (2012年) 的
10月01日正式施行,同時法務部也一併正式發布新版個人資料保護法施行細則共33條,該施行細則亦於10月01日同步實施。也就是說,因應個資法所需執行的相關措施已從討論評估階段正式邁入執行階段。
在個資法通過後的兩年多裡,市場上已有不少與個資法相關的資訊,相信您應該已經知道什麼都不做,對公司或是組織一定會有影響。但是,在這裡我們用一個最簡單實際的例子,也就是
所有公司組織都有的個人資料—員工資料,來簡要說明在個資法的因應上有哪些應該要做的事。
| 員 工 資 料 | ||
| 項目 | 僅蒐集執行法定義務所需之個人資料 | 蒐集之個人資料含有其他個人資料 |
| 內容包含 | 姓名、身分證字號、生日、地址…等。 | 學習歷程(曾經就讀之國小國中…等)、親屬姓名職業、親屬出生年月日…等。 |
| 1.告知義務 | 符合個資法第8條規定,得免告知。 | 須告知個資法第8條規定之告知事項。 |
| 2.蒐集、處理 |
符合個資法第19條之規定。
但是人員離職後,法定義務消失時,應主動將其個資刪除。
|
若離職後仍會將員工資料保存一段時間,應另外依循符合個資法第19條規定之項目。(如:取得書面同意) |
| 3.利用 | 應用於執行法定義務。 | 應用於所約定之特定目的。 |
| 4.個資當事人權利 | 須依個資法第3條、第10條、第11條、第13條、第14條之規定,因應並提供當事人行使其法定權利。 | 須依個資法第3條、第10條、第11條、第13條、第14條之規定,因應並提供當事人行使其法定權利。 |
| 5.事故管理 | 須依個資法第12條規定,應查明後以適當方式通知當事人。 | 須依個資法第12條規定,應查明後以適當方式通知當事人。 |
| 6.個資安全維護 | 須依個資法第27條採行適當之安全維護措施。(註:可參考個人資料保護法施行細則第8條及第12條) | 須依個資法第27條採行適當之安全維護措施。(註:可參考個人資料保護法施行細則第8條及第12條) |
| 註: 一般公司組織所負之法定義務如:替員工加保勞保、健保,所得稅扣繳申報…等行為。 | ||
從前表簡單說明的資訊中,可以很明確地知道,就算貴公司/組職只擁有執行法定義務所需的個人資料,也無法什麼都不做,除非你已經決定不遵循個資法的規範,願意承受違反法令所帶來的刑事責任、民事責任及行政處罰。
單以員工資料來看, 必須要做到以下事項:(1)列出紙本、電子檔案分別有哪些,並在員工進入公司時,告知使用範圍。(2)訂定規範,限制可以存取的人員,如人事主管、財會人員。(3)確認檔案的生命週期為何,何時需要新增、修改、銷毀。(4)最後定期的查看,是否內部都有遵守這些規定。
若有系統可以直接管理,則可以輕易的管理這些個人資料,若有外洩事件發生時,可以立即調出存取記錄,了解事故發生的原因。
TPIPAS全名為「臺灣個人資料保護與管理制度規範,Taiwan Personal Information Protection andAdministration System」,是經濟部商業司參考日本經驗,委由資訊工業策進會科技法律研究所執行「電子商務個人資料管理制度建置計畫」,針對電子商務業者所制定的個資保護管理的驗證制度。通過TPIPAS驗證的企業,可以取得DP Mark (資料隱私保護標章),預計在2013年會擴大到商業司管轄的服務業皆可申請驗證。目前僅有8家公司通過資策會科法所審核推薦,取得導入TPIPAS制度輔導機構的資格,精品科技是其中之一。
整個制度的基礎架構模式與常見的國際標準相同,皆是以PDCA的方法論為基礎;TPIPAS制度總共分為10章,對於事業體主要行為的規範落在第4~9章等6個章節,簡要說明TPIPAS章節內容如下。
在簡單了解TPIPAS制度後, 便可以討論導入TPIPAS是否是公司因應個資法的必要選項呢?很抱歉這個答案仍是個選擇題,各個公司組織可以視實際需要決定是否導入TPIPAS。不過,可以確定的是,導入TPIPAS的確可以協助公司在個人資料保護管理做得更好,而且TPIPAS制度要求須遵行法令,制度要求的事項亦可以對應個人資料保護法施行細則第8條及第12條的適當安全維護之參考管理項目,並透過維持制度持續有效的外部監督機制,讓公司擁有另一個客觀的角度可以提出協助改善的建議,減少內部執行的盲點。此外,取得制度之驗證亦可增加公司商譽的價值。
以上都是因應個資法所需增加的行政程序,為了避免被增加維護成本拖垮,讓握有個資維持在正資產的價值,建議企業需遵循最小蒐集原則加上個資使用期限,來控管個資數量。藉由盤點企業手上握有的個資,把不需要或已經用不到的個資銷毀,只留下有價值的個資。並主動告知客戶,你擁有他哪些資料,提醒他我們是在哪一次的活動中獲得他的資料,這些資料會拿來做那些用途。趁著因應個資法向客戶宣告,我們是注重個資的優良企業,也向潛在客戶聯繫,增加行銷機會。
下表簡單地將防護方式分為:紙本資料實體防護、電子資料外部防護、電腦資料內部防護。其中實體防護無須多加描述,而電腦資料外部防護在網路服務已應用多年的前提下,目前多數公司皆已有規劃並執行。根據統計,大多數的資訊安全事件、個資外洩事件都是由內部人所造成的,因此電腦環境的內部防護已成為目前資訊安全防護措施的重點,亦近幾年來大家關注的議題。根據iThome2012年個資法大調查,61.3%的企業採購資安產品來因應個資法,而個資法的經費投資重點如下表:
| 資料型態 | 資料型態存在型態 / 流通方式 | 防護方式 | 實際防護作為 / 產品 |
| 紙本資料 | 實體流通 | 實體防護 |
• 存放區域區隔、上鎖
• 門禁管制軟體
• 電子鎖/實體鎖
|
| 電子資料 | 電腦主機 / 網路流通 | 外部防護(防止入侵) |
• 防火牆
• 防毒軟體
• 網路安全軟體
|
| 電腦主機、伺服器 / 端點存取、內網流 | 內部防護 |
1.實體環境防護
2.電腦環境防護 (資訊安全產品):
DLP軟體 (防洩密)
DRM軟體 (加密)
內容掃描軟體 (盤點)
Log記錄軟體 (監視)
|
不過,在評估上述相關資訊安全產品時,該如何選擇呢?我個人給的答案是預防勝於治療,建議優先選擇防護類型的產品。另外,施行細則第12條也特別提到「使用紀錄、軌跡資料及證據保存」,因此資訊安全防護軟體的記錄能力也是一個重要的評選項目;而記錄不只是保存數位化Log而已,重點在於要能夠證明採用資訊安全防護的記錄軌跡,以及「還原」事件原本的面貌。
因應個人資料保護法的正式施行,所有公司組織都應該增加或調整公司管理制度,並視實際狀況及可用資源導入資訊安全軟體,協助保護個人資料,善盡管理者之義務,以避免個資提供者之人格權受侵害,並促進個人資料之合理利用,以達成立法保護個資之精神。
文 / 精品科技 研發四部 張家瑋
在市面上可以看到許多針對檔案加密的軟體,對檔案有一定安全性的保護作用。但加密的操作方式也百百款,例如:有針對磁區、資料夾或將欲加密的資料重新編碼成單一檔案進行加密,這類屬於最普遍常見的檔案保護方式,但也是最麻煩費時的機制。假設想修改加密檔案,必須將資料從加密磁區搬移至明文磁區進行操作,操作完畢再將該檔案搬移回加密磁區,當操作完畢都不知花了多少時間了;更進階的有針對特定AP所儲存的檔案進行加密,看似更聰明且透明加密。但也衍伸出只要使用該AP儲存檔案,一律都被加密了,無法對特定想加密的檔案進行加密。
為了保留以上優點和改進以上不方便的特性,所衍伸出以檔案為單位的加密,可達到不需區分明密文磁區空間、使用同一個AP開啟明文或密文,儲存時皆能保有自身原本的檔案屬性。
安全與便利同時兼具-以檔案為單位加密可達到最大彈性的設計,對於整體環境的設計與實作,皆比其他加密方式來的複雜。但對於使用者的操作角度來說,卻是最方便且不用更改操作習慣就能上手的加密方式。
不需劃分密文特定區-以儲存方式來說,若以檔案為單位加密,使用者不必擔心資料需儲存在特定加密磁碟或資料夾,萬一忘記或不小心存錯位置,則會有明文外洩的風險。使用者可依照原本習慣,放在自己習慣的位置,達到明密文可混放。而且被X-DoRM加密的檔案,皆會顯示鎖頭,使用者對檔案加密狀況一目了然,不會混淆。
同資料夾下的明密文
輕鬆使用好自在―操作加密檔案就跟一般明文檔案的方式一樣,透明加解密能讓使用者直接開啟加密檔案,並在標題列顯示使用者對該份文件所擁有的權限。
標題列上顯示可使用的權限
針對各部門機密自動上鎖―不同使用者可對應不同的軟體名單進行加密。
軟體名單設定
X-DoRM可針對各部門、群組和使用者使用到軟體進行加密的動作。就能達到透明自動加密,對操作者來說是無感的,對於文件來說也是相對安全,不會因為自己忘記將文件加密而外洩的困擾。
大雜燴儲存雲自動控管―現今網路資訊的發達,有許多廠商在世界各地都會有辦公室,為了讓文件在各地方都能共同使用文件或集中儲存重要文件的區域,就產生了NAS系統。但也因為大家都能觸及到網路的目錄結構,相對資料外洩的風險就會提升。X-DoRM可透過DEC(資料加密中心)設定來監控網路資料夾,而監控目錄可設定為所有資料皆需加密,或由管理者自行分配各資料夾要加密哪些檔案格式的資料如圖,這就不會造成檔案都到網路分享磁碟時,會造成誤加密或者沒加密了。
DEC副檔名政策設定
對於有大量員工和部門的公司而言,權限的控管是不容易的。若能將各單位、甚至到人的權限都能一一劃分清楚,就可以避免少數人掌握大權,以致資料外洩。
X-DoRM設計了可獨立設定各部門、群組或人員所屬的規則,可快速套用至部門並繼承至底下所屬部門或有獨立特殊規則也可以人員為單位並套用之,達到每位使用者皆能規則清楚劃分目的 。
使用者規則設定
才不會造成某些特定員工握有大多數的高權力。可設定某些部門或是人員擁有自行解密的權限;但如果需要更安全的解密機制,可透過線上申請解密、離線使用或文件權限變更,讓文件管理者審核是否要批准申請案。
模擬現實中各部門主管的角色―一份在公司流通的機密文件,如果要解密,應該要透過主管的簽核才能放行。實體文書申請流程,在X-DoRM也有相同的設計理念。可透過文件管理者設定文管,如同現實部門主管的角色。
文件管理者設定
還能細分文管規則的權限設定,以防止各文管人員的權力過大,導致資安的漏洞發生,除了設定文管人員可管理的種類外,還能設定該文管可以管理哪些部門或群組。
當使用者要解密、離線使用或申請更高權限時,就能透過檔案按右鍵來提出所需要的申請案。負責該管轄範圍的文件管理者,就會收到該文件的電子申請案,可立即進行審核。在流程上可說是即時通知文管人員,也減少人力的浪費與公文傳遞耗時問題。
對於每筆的申請案件與主管的簽核操作皆會有記錄,以數位資產安全性來說可以大大提升,當發生資料不幸外洩時,也能追查出是誰的責任。
完整的記錄文件生命週期―一份文件被加密成密文時,就是一個生命週期的開始,直到該份文件使用期限到期或者被銷毀,在這期間每個人對該份文件所做的行為,在什麼時間、哪台電腦、什麼人開啟了此份密文,都會有詳細的記錄。管理者可以透過文件使用記錄清楚明白的知道,例如:是否有人沒有權限開啟某份密文,卻又一直嘗試開啟。
文件生命隨時掌握在手上―對於某些需要限時閱讀的文件,也能幫文件設置使用期限,當文件到達使用期限後,就算握有此份加密文件也是無法開啟。可永久使用的加密文件,也能達到即時控管生命期限。管理者可以透過Console設定回收A文件,可讓使用者端的A文件無法使用,就像丟入資源回收桶一樣。但此份文件並還不是銷毀狀態,只是暫時讓使用者皆無權限開啟A文件。如果管理者將A文件從回收桶中還原,每位使用者手上的A文件就能回復以前的權限繼續使用;但如果是要將此密文銷毀,代表此份文件已經是要徹底毀屍滅跡,握在手上的此份密文,也都永遠無法開啟,等於拿了也沒用。
隨時調整權限很簡單―每份文件皆可獨立更改權限,當文件一開始被加密時,甲使用者就算沒有權限可以開啟,也能透過管理者即時修改可對該份文件使用權限。並且還能細分到唯讀、列印、儲存或自訂權限;相反的,如果要即時拔掉甲使用者對該份文件的權限,也能即時設定。
文件也會分身術―當一份密文資料需要分享給不同部門使用時,權限就不易劃分了。這時候就需要另立密文功能,讓一份密文能夠分成兩個身分,並且對兩個獨自的身分,做不同的權限管理,等到某天又需要將密文分家時,又能使用另立密文功能,達到每份文件擁有各自的權限管理。舉個例子來說,如果是A文件複製一份出來為B文件,只要A文件銷毀,B文件也會跟著銷毀,因為這兩份密文是生命共同體。如果A文件另立密文為C文件,而A文件銷毀後,C文件仍然不受影響,這就能達到多版本控管的目的。
文/精品科技 技術服務部 資深資安系統工程師 黃粮皓
企業有內部資訊安全需求,想要導入防止內部機密資料外洩的工具,在導入內部資訊安全產品所遇到的問題有很多,其中反應最多的問題是下列兩項:
Point 1:確認控管範圍,才能找到合用產品
首先企業需要先瞭解公司要保護的資料有哪些?範圍在哪裡?我們必需將要保護的資料的範圍給確定出來,比如公司內要保護的資料有營業部裡的『會員個人資料』;因為營業部門的『會員個人資料』只允許相關人員或業務等相關部門可以查看或修改,所以我們需要的是將『會員個人資料』的檔案給加密起來讓其它不相干部門的人員,拿不到這份資料,或拿到這些文件也無法開啟?是否這樣就可以做到防止資料外洩的保護了呢?
因此公司普遍針對要保護的文件有以下需求:
精品科技用這樣的想法設計出X-DoRM這套DRM 產品的主要功能,也因此當我們將要保護的文件範圍定義出來後,該使用哪種工具來保護其實就很清楚了。
當選定X-DoRM 為保護企業『機密資料』的工具時,又會產生一個疑問,這套產品是否適用於我們公司的網路環境?
Point 2:良好的網路架構整合AD更方便
X-DoRM是一套Client-Server架構的產品,用戶端必需安裝一X-DoRM Agent於用戶端電腦中,X-DoRM Server與X-DoRM Client只要隸屬於同一區域網路底下即可讓功能正常運作,至於有分公司的企業,只要總公司與分公司之間有VPN專線,總公司與分公司將會被視為同一區域網路,管理人員在總公司即可對分公司的電腦做控管。
當然導入X-DoRM我們最建議的身份認證方式就是使用Active Directory(AD)與X-DoRM進行整合達到身份認證的目的。X-DoRM是以使用者是否對X-DoRM 的加密文件有權限,當一份被X-DoRM加密的文件,其文件權限內容是:【User A:唯讀】、【User B:列印】、【User C:修改】,當User A拿到該文件打開後發現只能唯讀,其實後面的運作原理即是使用AD帳號來辯識使用者的身份,當Agent偵測到登入Windows的使用者身份是『User A』,對這份加密的文件即會給予該給的權限,所以也就是User A拿到該文件只能打開唯讀而已。
X-DoRM與AD整合的好處不僅是身份認證而已,當公司內部有人員部門調動,X-DoRM也可以很方便快速的讓異動的人員檢視或修改異動後的部門文件。舉個例子:小強屬於業務部,小明屬於營業部,基本上兩個部門的文件無法互相閱讀或修改,當IT人員在AD裡將小強調到營業部,小明調到業務部,X-DoRM可以馬上和AD同步,本來小強只能開啟業務部的文件,部門調動後變成小強無法開啟業務部的文件,但是可以開啟營業部的文件。
Point 3:資安產品的導入步驟
在導入資安產品之前,IT人員通常都會先試用看看,產品的操作介面友不友善、細項功能有沒有符合需求等等,等找到符合企業所需的產品後接下來就是導入該產品的時候了。導入資安產品可以用以下步驟來執行,以下用X-DoRM舉例:
– 制定文件使用政策、管理辦法
要保護的文件範圍定訂出來後,接下來要制定文件使用政策,比如,
營業部的文件政策:
類似上述的文件使用政策制定出來後,我們還要制定管理辦法,舉例來說,一、選出「文件稽核人員」,被加密的文件需要有一位稽核人員做定期文件使用稽核。接著要選出「文件管理員」(可由部門主管擔當,避免MIS人員可存取機密資料)來管理這些加密文件,若有使用者要將加密的文件解密,也可以透過文件管理員來幫忙審核解密,X-DoRM系統針對文件管理員這個功能提供了:文件管理員可只管理自己部門的人員文件,當然也可以設定管理員可管理多個部門的文件,達到靈活彈性的管理。
– 導入工具、訓練人員,依政策進行保護
導入X-DoRM來做為保護公司機密文件的工具,首先就是要對所選出來的文件管理人員進行教育訓練,教導他們如何操作這一套工具,可先準備一個測試環境讓其熟悉進而再進入正式的管理文件環境。
當然一般文件的使用者也需要做少許的教育訓練,雖然X-DoRM的加密方式是採用透明式加解密,並不會改變使用者的習慣,但還是需要教導使用者如何查看自己對被加密的文件權限屬於哪一個等級,所以教育訓練是讓整個導入計畫可否成功的關鍵。
– 觀察分析成效,稽核作業
X-DoRM一開始導入多少會遇到使用者不習慣的問題,或是使用上的問題,此時可以從使用者反應的問題來找出是否有需要改進的地方,是否控管政策不合理?文件管理員對於文件的管理是否不周嚴?這些都是我們需要檢討改進的。
– 修正改進,再次循環
有需要改進的政策再檢討,經過修正,讓整個運作繼續下去,其實資安產品導入的困難點,有時不是產品的問題而是使用者是否配合的問題,因此好的、理想的管理政策讓管理者及使用者能夠用的方便又顧慮到文件的安全就考驗著規劃制定者的能力了。
成功的導入資安系統,需要公司高階主管的推動,整合各個部門的工作習慣,並規劃流程;建立完整企業資安,必須全員動起來才能。
文 / 精品科技 董事長 劉振漢
2012年10月個資法正式實施,對各行各業帶來程度不等的衝擊。壽險業者是受影響最大的行業之一,有報導,10月之後,業績掉了三成以上。不意外的,電話行銷因為被追問「你怎麼會有我的個人資料」,面臨被提告求償的風險。大家可以明顯感受到電話行銷的騷擾變少了,相對的,電銷業面臨了巨大裁員壓力。
產險業者推出最高保額二億元的「個資外洩險」,保費超過百萬元,電信、銀行保險業及線上購物業者等最易觸法判賠的「高風險群」為主要潛在客戶。然而,購買個資外洩險,某種程度意味「企業本身對個資處理沒信心」,若被揭露,對企業的形象會有很大的損害。如何防範個資外洩,避免「受到行政處分,甚至被鉅額求償」,是每個企業必須面對的課題。
公司營業秘密外洩事件無時無之,大公司的洩密案,媒體皆曾大幅報導。中小公司不為人知者,更不知凡幾。政府重視這問題,也將修法將洩漏營業秘密從民事案改以刑事論罪。由於公司營業秘密牽涉利益重大,被盜竊不易察覺,成為許多企業的隱憂。
資訊安全是重要的課題,沒有資訊安全,就沒有國家安全。政府不做好資訊安全,人民就沒有保障。公司不做好資訊安全,公司的發展就受到限制。我們有這樣的經驗,有客戶突然就找到我們,要最短的時間導入資安系統。不久就看到新聞,這家公司接到國際大廠的代工訂單,這種例子相當多。
大家也許聽過一個報導,在蘋果公司的內部iphone的產品開發代號叫做『紫色專案』(ProjectPurple)。這個專案,賈伯斯只允許使用蘋果內部的員工,絕不能從外部挖人。
『紫色專案』團隊占用了蘋果總部辦公大樓的其中一整層,當然是安裝了門禁系統,大門口貼了寫有『搏擊俱樂部』(Fight Club)字樣的標牌。『搏擊俱樂部的第一條規則就是,大家不能談論搏擊俱樂部』。因此蘋果公司的其他員工也不知道有『紫色專案』。『紫色專案』這個專案名稱會曝光,是因為蘋果和三星打專利官司時主動揭露,大家才會知道。做好資安,也是蘋果成功的原因之一。
由上往下顯示導入資訊安全系統的內容
首先必須確立單位執行資訊安全政策的決心,其次要建立資訊安全組織,評估單位所屬行業的法律要求(銀行、醫療各有特殊的管轄法律,個資法則是所有單位必須遵守)。接下來將單位資訊資產分類,評估其風險。之後,針對人員安全、實體與環境安全…等6大項目(圖中灰色部分)建立(或改善)管理制度。
這個資訊安全管理系統的內容是ISO27001國際標準訂定的,是非常有價值的遵循標準,舉兩個項目為例:
根據這個準則實施,可以完整的考慮到所有的安全問題。
建立資訊安全管理系統,應以定量化指標和定性化指標來評估實施成效:
如果公司已經建立好很好的資安管理系統,根據此系統的要求,「對於法規的變動必須因應」,會在既有的架構下,增訂個資保護的辦法,增加個資管理系統。
按照行業的要求,公司業務的性質,公司可以選擇適當的資安產品,構成資安管理系統的一環。精品科技可以協助評估公司所需要的產品,依據不同的評估和比較觀點做出專業的建議。
首先功能要符合需求,技術解作為防止資料外洩的急效藥,導入就是要立刻防堵曾發生的外洩方式再度發生。例如防止從USB帶走機密資料, 或是能舉出機密資料被寄到私人信箱的證據。
但除了滿足初步目標外,也要考慮到後續的需求。因為資安的特性就像治水,對有心人士而言,防堵了一道門,他就會立刻找另外一個洞鑽。所以初期的導入目標可能只是防止機密資料被一支不起眼的隨身碟帶走,漸漸的其他需求會逐漸浮現,例如管了USB行動碟,可能導致網芳和光碟機的使用頻率增加;另外,現在盛行的網路硬碟、智慧型手機(BYOD)的趨勢,逐漸改變人們作業流程,新的工作方式會衍生新的漏洞。如果導入的產品沒有可擴充的架構,或是原廠沒有順應需求,持續推出新版本、新功能。未來企業在面臨新的需求時,可能又必須再評估第二套、甚至第三套資安產品。不但增加導入的金錢、時間、人力、維護成本,疊床架屋的架構也會嚴重拖慢電腦效能,引發使用者的排斥與抗拒。
滿足了初步需求和未來擴充能力後,還要考慮對原有作業流程的衝擊。如果資安產品只能藉由限制存取來防止資料外洩,強迫使用者改變習慣配合新的作業流程,通常會大大增加導入的困難度。如何在最小影響使用者的情況下,防堵可能的惡意操作,或是能彈性的依照時間、日期、黑白名單、審核機制來設定控管政策,其實也是評估資安產品非常重要的指標。尤其大型企業在導入時,非常重視廠商的導入經驗,如何與現有流程整合、跨site架構的整體規劃、能隨著專案階段對不同層面進行教育訓練,才是決定大型專案導入能否成功的重要因素。
也要評估實際導入時會遇到的問題,包含系統是否發展成熟、與企業內常用軟體的相容性。除了可藉由使用者接受測試來評估,也可藉由產品的推出時間、Reference site的數量與規模,是否有獲得獎項等指標來衡量。
另外,如果企業導入資安產品,是為了滿足國外客戶對資安的要求,或是本身就是跨國企業而必須滿足國際資安法規。那在選購資安產品時,也可以考慮到資安產品是否有行銷國際。有國際知名度的資安產品,對企業在向國外客戶證明有能力保護機密資料時會更有認同感。
還要考慮的是,資安產品既然要整合進作業流程,操作容易也是非常重要的評估指標,因為資安管理系統使用者除了IT人員以外,還可能包含各部門主管、稽核人員,甚至企業老闆本身。
方便和安全常常是對立的,隨身碟很方便,卻很不安全。雲端非常方便,連CIA局長裴卓斯和布洛德威爾女士使用Google的雲端服務。雲端卻也引發很多安全疑慮。大家都使用「雲端」, 卻不知到各個「雲端」到底在世界那個角落?熟悉網路技術的人也許知道:可以用url2ip ip2location(由url找到網址的ip編號,再由ip編號找到位置)的兩段步驟來找到「雲端」的真正地理位置。一般人可能就沒想這麼多了。
雲端有很多免費的儲存空間( 中華電信、Google、Dropbox…),資料放在那裡,隨時可以取用。假設你有同學的通信錄,為了方便,把它放上雲端,可能你已經違反個資法了。個資法第 21 條提到,「…國際傳輸個人資料…接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞…」。使用對岸雲端空間的人不在少數,對岸是否算是「對於個人資料之保護未有完善之法規」,有待政府和法官來釋疑。
我國個資法涵蓋範圍廣、而個資和資通訊的牽連太大,已經超出一般人的處理能力。可以預期「個資」紛爭將急速成長。在此建議,時時省思,處處小心,是我們面對個資法應有的基本態度。
文/精品科技 MIS 劉豐維 & 林靖宇
IT包山包海,繁有通電的都歸我管,小到電話或刷卡機,而大到網路建設、辦公室網路建置或機房建置等,再者公司自己研發的資安系統,也歸我們部門管,其中更包含了測試的工作。IT人要管的東西可真是多,因此要學的東西也更多,我們就好比資訊大總管,樣樣要都接觸,要管又要會。
然而,IT技術無遠弗屆,廣的可以很廣泛,專的可以很專精,你要怎麼用?那專看公司如何去配置所謂的資訊單位所要發揮的地方了。而每家企業都有不同的規模與經濟能力,大公司可能會把一個資訊單位拆解成許多不同功能的部門,每個都很專精的在做專業領域的事情,比如網路部、軟體開發部、OA服務或是系統服務部等,而小公司就可能一個MIS部門掌管所有IT事。
因此,在某些方面就要依公司需求導入適當的資訊系統與設備,並不是花大錢就能夠得到最佳的效果出來。當然,只要錢花了,就會有效果,也不是不可能。比如說,SAP是一套很有名的ERP系統,但相信要完整的建置一套想必所費不貲,也不是一般企業可以負擔的,而培養相關的技術人員,又是另一項長遠的投資與成本。所以像我們寫企業軟體、賣企業軟體的公司,這套系統就不適合在我們公司出現,更不需要擁有類似這樣的人才。
IT界擁有各式各樣的人才,也開發出成千上萬種的不同需求出來,找到合適的方案才是對公司運作有正面的功用。
現在科技不斷進步,軟、硬體不斷地提升,以作業系統為例:從早期Windows 98到現在的Windows 8,身為IT人的我們,都必須去了解每一個新的作業系統運作以及新功能,才能幫助使用者去解決問題,在這些學習的過程,必然會經歷一番挫折及掙扎。以公司內部網頁為例,之前是使用Microsoft SharePoint 2007去建置,而在今年初就會升級為Microsoft SharePoint 2013,在升級這段期間裡,IT必須去評估轉移是否會有問題,以及去學習新功能,例如:電子表單和設置工作流程…等,這些都需要下功夫去完成,當然許多IT都會覺得系統穩定就好,並不需要去做升級或去變動,一來不用去學習新的東西花費自己的時間、二來系統出狀況的機率不高;但如果這樣想的話,就等於自己的學習力漸漸退化,或許新的系統會幫助改善目前舊有的問題,幫助公司在一些流程上的處理能夠更順暢等等,所以有人說身為IT人,「就必須有對工作熱情,才能夠不斷的學習」,這句話說得很對!也是許多IT人應有的態度如果對於沒興趣的事物,給你長時間去學習,跟短時間去學習但是有興趣的去比較,我相信有興趣的比沒興趣的學習成效更好。當然有人會懷疑學了那麼多新事物,會比較厲害嗎?會比較有成就嗎?這個問題其實是要問自己,當你學習了那麼多新的東西,你真的有融會貫通嗎?還是只是囫圇吞棗罷了,學習是無止盡的,但能夠學會一樣就是一項了不起的成就,當你學習到了一個階段,就累積了許多的成就,你自然而然的對於新事物不再排斥,反而是以熱情的態度去接受他,相信你的成就一定高於常人。
一家公司動輒上百台機器,當然這針對國內中小企業以上規模的企業來看,想要管理這麼多台機器,如果沒有很好的工具來輔助,資訊人員應該有再多的時間應該都做不完。再配合公司既有的盤點工作下,不能有效去管理公司的電腦資產的話,這就只能就每遇到一次就痛苦一次,然後惡性循環。在我們公司早有一特完整的資產管理系統,可以用來管理公司的軟硬體,藉由系統化的管理就可以清楚掌握資產的動態,也可以省去IT人員在資產的盤點上的時間與力氣。
然而,「想要馬兒跑,又要馬兒不吃草」這句話在現今台灣企業環境裡的IT人員應該非常耳熟但又常掛在嘴邊的一句話。是的,並不是每一家企業都重視IT的價值,而企業主往往因為資訊的付出成本太高而退卻,因此有可能要承擔忽略資訊投資所可能帶來的衝擊,且又普遍都認為「我花了這麼多資訊投資,是否有更大的回饋效益」、「應該不會這麼倒楣的,這樣的情狀應該不會發生在自己身上」、「我有花錢請資訊人員來管理我們的資訊系統,他們的專業總是可以用微小的投入而創造更大的收益」或是「等事情發生了再來解決」等的認知,因此這邊省一點那邊摳一點,抑或是不在乎下,等到最後發生事故了,才發現事後的維修成本往往大於所需投入的費用,這時才有了資訊保險的概念,這種相見恨晚的心態,卻是一再重複屢見不鮮。
其實我們都知道,台灣企業對資訊是又愛又恨。這種情況似乎絕大多數的企業均是如此,但這也沒辦法,台灣人對成本的控制相對其他國家嚴格,但總會不禁又一問,投入資訊的成本為何總是這麼高。是的,就是要這麼高。對於我們公司的機器,與絕大多數公司一樣,舒舒服服地躺在電腦機房裡,有舒適的空調、溫溼度控制還有防災系統,只要它能夠正常不出紕漏的運作,對我們而言就是最好不過了。
公司開始ISO 27001的資安認證已經近四個年頭,由於我們是做資安軟體的公司,因此對資訊安全的要求就是要特別嚴謹。導入ISO 27001讓我們學會了對工作內容的警慎態度,儘管多細小的一件事情,總是要提出申請、反覆測試、並照著既定的步驟去做,最後就是留下歷史的足跡。因此每一次的工作就會有一份完整的記錄。
近期,公司對災害所造成的營運服務中斷之情事做了個調整,也就是將可以忍受的最大服務中斷時間(MTD,Maximum Tolerable Downtime)由原本的16小時縮短為8小時,這8小時的縮短勢必需對資訊回復做重新評估。公司對資安政策做了較嚴謹的要求,相對的公司高層的支持相對的重要,適當的資源讓我們做了些調整。
資訊系統安全目標的提升意味著可能需要花更多的精力來去完成,人員對資訊安全的認知當然也要跟著提升,這告知了資訊安全部門人員需要更廣泛且精細的調整現有的資訊安全架構,比如對於備份需求的調整、異地備份的重要性、設備上的備援與廠商的即時維護等,再加上除了主導部門對資安的認知外,公司的所有人均須要加強教育,畢竟這並不是單一一個部門的事。
現今虛擬化系統發展得相當純熟,如微軟所提供的Hyper-V或是VMware所提供的ESXi虛擬服務等都是好用的工具。以現階段而言,一個服務裝在一台伺服主機中確實是浪費,而所剩餘的資源卻足夠再給其他服務所使用,因此虛擬化服務可以適當的整合多個實體伺服主機所提供的服務而成為一台,進而降低機器設備成本、電力負擔成本、人員管理成本與後續維護成本。然而虛擬化服務所提供的還原機制,可以在較短的時間內讓機器重新的運作起來,這樣對於營運上的衝擊與損失總是可以降到最低。
文 / 精品科技 稽核室 許樹龍
民國99年4月《個人資料保護法》在立法院三讀通過,對於個人資料的保護管理,從此跳脫出原本舊法規電腦處理個人資料保護法設定的電腦框架,也跳脫了原本只有特定行業受到管轄的限制;亦等於正式向世人昭告「個人資料是重要的、有價的,是必須受到保護的」,已不是幾句人人呼喊的口號,而是即將成為所有擁有個人資料的組織必須採取的行動!愈加成熟。在法規通過之後,經過二年多的時間,個人資料保護法施行細則已在101年9月正式公告,而個人資料保護法亦在101年10月1日正式施行;然而這一連串的資訊對大多數的公司來說也留下了一個疑問-《個人資料保護法》的正式實施,對公司的影響有這麼重要嗎?公司須要對此作出回應嗎?
公開發行公司內部控制制度的目的
然而,先從內部控制的觀點來看《個人資料保護法》與公司的關聯:
從上述條文內容來看,公開發行公司的控制設計本就包含了法令遵循一環,因此個人資料保護法正式施行,所有公開發行以及即將公開發行的公司就應適時考量控制設計是否符合《個人資料保護法》的規範。
第二十三條 公開發行公司自行檢查內部控制制度之結果,以公司之內部控制制度是否能合理確保下列事項,分為有效之內部控制制度或有重大缺失之內部控制制度:
根據上述規定,《個人資料保護法》的正式實施是否應納入風險評估的考量,則考驗著各個公司的風險管理制度,以及內部控制自評作業的落實程度;然而,內部反應較為迅速或是公司治理程度較高的公司,可能早在法規通過時,於執行99年度內部控制制度自行檢查作業之時,便將《個人資料保護法》對公司的影響考量在內,並做出必要的因應措施。
IT界擁有各式各樣的人才,也開發出成千上萬種的不同需求出來,找到合適的方案才是對公司運作有正面的功用。
再從《個人資料保護法》的內容來看其正式實施對公司是否有影響:
上述法規內容已明確說明個人資料的範圍。而絕大多數的公司、組織,都不可能沒有上述個人資料。
從上述兩個不同面向的觀點看來,《個人資料保護法》的正式實施之於公開發行公司,是絕對不可能沒有影響,也不可能不須做出任何回應的。
既然《個人資料保護法》的正式實施對公開發行公司有一定影響,到底我們應該替公司注意那些風險呢?以下略舉幾項公司在面對《個人資料保護法》須考量的控制風險(未涵蓋所有風險考量及法規範圍):
另外,在個人資料保護法施行細則第十二條亦有說明公務機關或非公務機關採取技術上及組織上之措施得包含下表所列事項。
也就是說,公司組織在因應《個人資料保護法》各項規定而建立內部控制制度的同時,亦須考量現代科技在內部應用的情況,使用合乎公司風險考量的技術性產品,以有效保護所保管之個人資料。
科技技術的進步、社會環境的變化、法令法規的修訂…等,都有可能對公司造成極大的影響,如何讓各個重要風險項目進入公司組織的風險評估系統,並有效地產生各項回應對策,正考驗著所有公司組織,也是目前重要的課題之一。
過去在《個人資料保護法》因應的議題上,常聽到有人回應我們公司未蒐集個人資料,內部控制無須特別調整 ,或是 這是資訊部門的事與我無關 。以上《個人資料保護法》與內部控制的簡單介紹雖未涵蓋所有層面,仍希望能讓大家在面對《個人資料保護法》時,提供一點幫助
文/精品科技 管理/人事經理 陳瑩華
個資法施行後,企業要保護的個資,除了員工、客戶的個資之外,還有應徵者的個資。在整個招募作業的過程中,應徵者的個資會以紙本及電子檔的方式存在;紙本的應徵履歷表,只要人力資源單位不複製、做好集中保管、統一銷毀的動作,問題不大。麻煩的其實是電子檔的履歷資料,因為電子檔容易複製、容易郵件傳送,一份履歷檔案,從人力資源單位,傳送給用人單位後,會變成好幾份,儲存在不同人的電腦、筆電中,如果用人單位不小心,造成資料外洩
,換來的可能就是金錢賠償及無形商譽損失。
以精品來說,一年會收到將近3,500份的履歷電子檔,人事人員每天將這些履歷,轉寄給各用人單位主管挑選,一份的履歷,會分送給2-4個以上的主管,3,500份最後會被複製成上萬份,分散在公司數十位人員的電腦中,要如何控制這些履歷不再外流,絕對不是用規章辦法規定就能確保。萬一這些履歷資料外洩,影響的不只是商譽,還可能會面臨個資法的罰鍰。
今年初,精品科技採用了X-DoRM DEC(文件加密中心,Document Encryption Center)來控管履歷的讀取、列印,以有效控制履歷個資外流、也簡化了作業流程,提升了效率。因為X-DoRM可依不同使用者,設定檔案不同的使用權限,是確保個人資料檔案,讓具有權限的使用者,在對的時間使用。
精品控管電子檔履歷的方式說明如下:
透過X-DoRM,將履歷資料集中管理,對履歷檔案限制使用者的列印權限、查閱權限,精品確保了應徵者履歷資料受到嚴密的管制。
自從啟用了X-DoRM DEC管理履歷後,人事人員表示,履歷的管理與統計變得比以前更輕鬆,分類儲存管理後,更省去查找履歷的時間。至於面試主管的信箱中,再也不會出現電子檔履歷郵件,主管也省去定時清理履歷郵件的麻煩。啟用X-DoRM控管履歷,不但確保履歷不外流,也使履歷挑選與管理更有效率。
文 / 精品科技 研發經理 蔡宜霖
精品搶先支援智慧型手機資安防護台灣約有15 的人擁有智慧型手機等行動裝置,比例還在快速成長中。雲端應用裡的「端」,正在快速演化,行動裝置成為帶領雲端應用的重要動力。使用行動裝置來收發信件,瀏覽PDF、WORD文件已經是很普遍的使用,勢必成為公事上不可或缺的工具。
多數DLP產品也已發佈Roadmap,將提供行動裝置的監控功能,經銷商也轉達客戶這方面的需求。而行動裝置容易遺失,造成安全控管的問題。行動裝置所造成的安全問題,比10年前隨身碟造成的安全問題多10倍以上。行動裝置的安全防護,市場方面可以說是絕對需要,殆無疑義。基於上述產業狀況及市場趨勢,打破過去在Wintel PC系統上,軟體開發的侷限,精品因應未來資安產業需求,針對Android系統上的產品,規劃行動裝置的資安監控系統。本產品以平板電腦(tablet PC)及智慧型手機(smart phone),合稱行動裝置(mobile devices)的資安監控系統為研發對象,專注於防止行動裝置系統資安防護,以前瞻性的核心技術,開發行動裝置的監控系統,以保持在DLP產品監控的領先地位。
手機資安防護功能與PC大不同精品設計各種的DLP產品,是國內資安產品的領導者,特別針對Android系統上的資安防護功能,結合以XML描述語法的資安政策運作,以達到Android手機上的防止資料外洩,主要分為以下四大類控管:
所有記錄皆可透過GPS或AGPS取得當下位置資訊,配合Google地圖顯示,可作全球性的位置記錄。記錄說明如下:
精品Android資安防護系統,上市在即精品規劃的Android資安防護系統,將涵蓋目前Android市場主流的機種及版本,包含Android 2.2、2.3、3.x及4.x的版本。
A n d r o i d 手機控管模組, 將搭配X-FORT新版本,預計於2012年9月底盛大上市。
文 / 精品科技 法務 邱芷葳
近年來,利用個人資料進行犯罪的事件層出不窮,造成大量的個人資料四處流竄,對個人權益已然造成嚴重損害,早年保障個人資料的法律-《電腦處理個人資料保護法》
《電腦處理個人資料保護法》隨其適用對象卻僅侷限於政府機構與徵信、醫院、學校、電信、金融業、證券、保險及大眾傳播等八大行業,且受保護的範圍也只有電腦處理的個人資料而已,紙本資料根本不在此範圍內,實在沒辦法有效涵蓋所有的個資犯罪型態,為了完整保障個人權益,於是制定了新版的《個人資料法保護法》。新版的個人資料保護法不僅將以往的適用範圍,擴大到所有保有個人資料的自然人、企業、公務機關或其他團體,並且除一般性的個人資料外,也增加了基因、醫療、性生活、健康檢查與犯罪前科等五項敏感性資料有限度的蒐集、處理及利用規範,也就是說除非有:
1.法律規定
2.履行法定職務或法定義務,且有適當安全維護措施
3.當事人自行公開或已合法公開
4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料等四種法定情形,否則不得任意蒐集、處理及利用敏感性資料。
而因企業及公務機關往往保有大量的個人資料,因此,新版個人資料保護法實施後,企業及公務機關所需負擔的個人資料安全維護責任也更被加重。舉例來說,國內以往有許多知名企業都曾經發生過大規模的個人資料外洩事件,但受害者往往卻因不知情,而導致其權益受損卻無法主張。因此,新版個人資料保護法特別規定,當企業或公務機關所蒐集、處理及利用之個人資料遭到竊取、洩漏、竄改等情況時,企業或公務機關有義務即時以適當的方式(例如電話、信函等)通知當事人。如有違反規定,主管機關可令其限期改正,並可按次處以二萬至二十萬元不等的罰鍰,如因此造成當事人的損害,賠償上限甚至可高達二億元,由此可見,新版個人資料保護法對個人權益保障之重視程度。
個人資料保護法實施後, 每個人都將有權對於保有自身個人資料的企業或公務機關,提出查詢、閱覽或提供複本的請求,以確認企業或公務機關所保存個人資料的正確性。如果核對後發現有錯誤或遺漏,也可以請求企業或公務機關更正或補充。此外,個人可以隨時提出停止蒐集、處理或利用之請求,讓企業或公務機關不得繼續使用自己的個人資料,尤其是現在的企業經常使用電話行銷來銷售自家的產品,如果不願成為電話行銷的對象,隨時都可以提出停止使用自己個人資料的請求,甚至要求直接刪除所保有的個人資料,以杜絕後患。企業或公務機關對於上述請求,也都必須在30天內作出准駁的決定。
再者,企業對個人資料的蒐集、處理或利用,除應有特定目的外,且蒐集或處理個人資料時,另需有法律明文規定、或有契約關係、或經當事人書面同意等,才可合法進行。
企業或公務機關如違反個人資料保護法的上述規定, 導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利,個人有權利於知道損害發生及賠償義務人時起二年內,向企業或公務機關請求損害賠償。如因同一原因事實造成多數當事人權利受到侵害, 聯合受有損害的當事人二十人以上,即得委託財團法人或公益社團法人提起團體訴訟。
然而,什麼是團體訴訟呢?所謂團體訴訟,係指同一個原因事實的發生,可能同時使多數的當事人受到損害,此時各個當事人依民法及民事訴訟法的規定,原本各自得以自己名義提起損害賠償訴訟,於訴訟中成為當事人而受判決,但各個當事人卻不以自己的名義對引起損害之人提起訴訟之方式,反而將此項訴訟權利藉由某種方式讓與給特定資格的團體集結眾人之力,由此類團體代替他們向加害人請求賠償。
例如:信用卡發卡銀行因持卡人長期交易所蒐集、累積的眾多個人資料,如果因為員工盜拷後販售給詐騙集團,導致銀行違反個人資料保護法第27條之安全措施責任,只要集結其中二十個人以上的受害人,就可以將這些受害人的訴訟實施權用書面授權給具備個人資料保護法所限定資格的財團法人或公益社團法人,如此一來,該法人即可以自己的名義自行或委任律師向違反個人資料保護法的組織或個人提起團體訴訟,若無法證明損害數額時,則可依法請求每人每一事件五百元以上二萬元以下的損害賠償,賠償總額最高可達二億元。
目前因新版個人資料保護法尚未正式施行,因此,國內還未有個資外洩的團體訴訟案例,但國外已有類似的案例發生,並且已向加害人發動求償訴訟。2011年04月,南韓的一位使用者指控iPhone不當擷取個人位置資訊,導致其憲法保障的個人生活受到侵害,於是委請律師向南韓法院起訴蘋果,經南韓法院正式判定蘋果南韓分公司應支付該使用者約韓幣一百萬元(約台幣兩萬七千元)的相關精神賠償。判例一出,短短半個月的時間,就有兩萬七千八百萬個受害者紛紛求助打贏這場官司的律師,要向蘋果提出集體訴訟。比照每人韓幣一百萬的求償金額,蘋果的賠償規模可望達到兩百七十億韓元(約台幣七億兩千九百萬元)。
另外,Sony 於去年四月也曾發佈消息說,Sony集團內以美國為中心發展電影與遊戲網路配信服務「Play Stat ionNetwork」與「Qriocity」,遭到駭客入侵,造成了至少7500萬人會員顧客的資料外洩。外洩的資料中,包括會員的名字、地址、電子信箱、生日、ID與密碼等,因此,Sony用戶也已經向加州法院提出集體訴訟,控告Sony未能妥善保存使用者的個資。若以過去日本針對個資賠償的判例一人賠償三萬日圓的金額計算,Sony在這次被稱為「史上最嚴重個資外洩」事件中,賠償總金額恐將超過二兆日圓。
綜合前述可知,個人資料如遭人不當利用,被害人可以依據個人資料保護法加以主張,除此之外,也仍有其他法律上的權利可以主張。例如:如果被害人與加害人有進一步的契約關係時,則可視契約對不當利用資料的行為,有沒有約定違約賠償責任。如果沒有契約關係,被害人可以考慮用隱私權等人格權被侵害為理由,依照民法之侵權行為規定,向加害人請求財產上及非財產上損害賠償,如果同時還有名譽被侵害的情形,則可以另外請求回復名譽的適當處分。此外,刑事部分,被害人亦可依具體情況,依刑法第三百十六條、第三百十八條之一等「妨害秘密」規定,對加害人提出刑事告訴。因此,個人資料保護法案公布施行後,個人更應注意個人資料被蒐集、處理及利用之合法性,不要讓自己的權益睡著了。
文 / 精品科技 稽核副理 許樹龍
99年4月《個人資料保護法》在立法院三讀通過,對於個人資料的保護管理,從此跳脫出原本舊法規設定的電腦框架,也向世人昭告 個人資料是重要的、有價的,是必須受到保護的 ,再也不是幾句人人呼喊的口號,而是即將成為所有組織必須採取的行動!
在法規通過後,經過一年多的時間;終於在去年的第四季,個人資料保護法的施行細則已進行預告,這一個動作象徵著《個人資料保護法》的實施已迫在眉睫,所有組織不分大小即將
進入這場跨越民國百年的個人資料保護大戰。—是的,所有組織,只要握有個人資料都在《個人資料保護法》規範的範圍之中,所以若是還沒進行應有之作為,就必須加快腳步了。
在個資保護管理實務層面上,建議大家參考戴明循環P(Plan)→D(Do)→C(Check)→A(Act)」持續改善的循環方式,進行個資保護管理系統的建置。然而在進行系統建置之前,另外有一
件重要的事大家必須要了解—個資保護並非只是為了遵循法令的要求」。換句話說,當他人基於信任交付我們一個重要的東西時,我們應該要給予某種程度的尊重,如何表現出我們的
尊重呢?就是對這個重要的東西進行適當地保護,這是人與人之間相處的基本行為;也就是說,保護個人資料本來就是擁有個資的人或團體應該做的事。當大家都具備此基本共識前提
下,建置出的系統應該會是在所能承受的風險內,最適合大家的系統。
重要的第一步:
建立共識、形成目標、給予承諾《個人資料保護法》正式公告實施後,將直接衝擊許多企業或組織,造成實質的影響;企業或組織內部必須建立相同的個人資料保護共識,進行形成正式的目標以及基礎的政策,乃是跨出因應個人資料保護最重要的第一步。
隨即應檢視公司內部組織架構,定義各個部門在個資保護管理之權責,並成立個資保護的管理組織。公開承諾給予必要之資源,授予負責人員執行相關業務的職權,展現進行個資保護的決心。
第二步:教育訓練
古語有云: 知己知彼,百戰百勝 。雖說個資保護本來就是應該要做的事,但是,既然已經有法令要求,在規劃的過程之中,就不可不了解法令規範,因此適時的教育訓練是絕對有必要的,方可在開始就規避可能的問題,畢竟 預防勝於治療 ,好的開始就等於成功了一半。除了開始建置統前的教育訓練,開始執行相關個資保護措施後,持續的教育訓練也是必要的考量項目,而針對不同權責的人員,也應規劃不同程度的教育訓練。
第三步:個資盤點
從上一個步驟延續下來, 內部應該已經做過初步的訓練,明確知道什麼是個人資料,現在接下來就要進行個資盤點,確定要被保護的資料到底散落在哪裡?
進行盤點前,公司或組織應該先確定盤點清冊的項目,也就是要點出與該項個人資料有關的項目是哪些?
例如下圖的參考項目:
| 國際傳輸 | 個資流程 | 個資數量 | 保管人員 | 使用期限 | 保存位置 | 保存方式 | 蒐集依據 | 使用目的 | 蒐集方式 | 個資內容 | 項目名稱 |
圖一:個資盤點清冊的項目
當初步確定盤點清冊項目後,就可以請各個相關部門進行個資盤點。對大多數的企業或組織而言,個人資料盤點是最耗費人力及時間的步驟,但是若是缺少了這一步,就很難有效地進行個人資料的保護與管理,因此就算困難也要堅持下去;不過,千萬也別為了要確認內部所有的個人資料都有盤點到,而一直耗在這裡而裹足不前。別忘了這一個持續改善的制度,沒有人一開始就做到100分,也沒有人敢說他執行的制度就是100分的制度。
第四步:建立管理制度
在完成內部第一份正式的個資清冊後,接下來就要進行保護管理相關措施的建立。首先,先就個資清冊之各項個資,建立個資流向(流程)圖,進行個資流程診斷。了解個人資料是如何取得、內部是如何處理、誰會用到這些資料、誰會保存這些資料、這些資料又是以何種形式被保存、誰可以修改這些資料、刪除、銷毀…等。
在完成個資流程診斷後,首先會知道是不是有些個資在其他部門有保存未被列入盤點清冊,重新更新正確的盤點清冊。接下來,可以利用初步的流程概念,規劃各個管制點的控制措施,進行資料管理控制、安全控制、環境控制、設備控制、人員控制、記錄控制、教育訓練管理、委外廠商的管理、風險管理、稽核機制、持續改善機制…等各項控制流程的建置,建立
起初步的個人資料保護管理系統。控制流程的建置,建立起初步的個人資料保護管理系統。
第五步:風險管理
在完成初步的管理系統建置,企業或組織應依據所選擇的風險評估方法, 進行首次的風險評估, 其考量內容可能包含:法規符合性評估、隱私權衝擊評估、資料敏感性評估、重大性評估、資料流向評估、資料生命週期…等,最後找出超過企業或組織風險胃納的項目,進行風險改善。或是結合營運衝擊分析,進行風險改善,之後再進行風險再評估,確定改善成效。利用此風險管理方法可以針對風險控管不當的項目,進行再次修改或調整。
第六步:持續改善
在運作個人資料保護管理系統的同時,應依據設定的稽核機制,進行系統運作的稽核作業,以合理確保系統有效率及有效果地運作。並依據查核的缺失、發生的事件/事故…等進行矯正預防作業,持續調整系統的運作。最後,定期的執行個人資料保護管理系統的審查機制,確認系統符合法令法規的要求以及企業或組織的政策,達到持續改善的目的。
在預告的個人資料保護法施行細則第九條明確說明「適當的安全維護措施包含組織上及技術上之必要措施」,在前段所敘述的幾乎都是組織上所採行的措施,對於要採行那些技術上的措施,幾乎毫無著墨,大家應該都很想知道到底要使用那些技術才能稱得上是適當的安全維護措施。但是很抱歉,這裡並沒有一個絕對的答案,因為我們不了解每個組織的規模以及所有擁有個人資料的內容,所以沒有辦法給一個絕對的答案。其實更重要的一個重點是,我們並不是法官。
然而在這個資訊技術發達的時代, 傳統的防火牆、病毒防護、以及簡單的網路保護…等,對於大多數的公司及組織來說是絕對不夠的,況且大多數的資訊安全事件、個資外洩事件都是由內部人所造成的,若是根據品管手法的80/20法則,是否該建立一些內部防護機制的資安軟體,答案已經非常明顯了。其中資安軟體簡易分類介紹如下:
1.防資料外洩系統(DLP):
可以防止公司內部人員,利用電腦週邊的管道,大量的將資料從公司內部帶走。功能強大的軟體,更可以記錄寫出的資料,以及限制開啟的環境…等。
2.文件控管軟體(DRM):
可將重要資料檔案, 進行加密與控管的軟體,讓無權限的使用者無法開啟檔案。設計優良的軟體,甚至可以限制檔案使用次數、使用時間及記錄使用者編輯、刪除、複製檔案的相關資訊。針對配合廠商也有唯讀或限制存取次數的設計。
3.監視軟體(Monitor):
如名稱所述,其主要功能就是記錄。記錄電腦行為的資訊,或者是如同一般的行車記錄器,記錄電腦執行的畫面。
不過,在評估上述相關資訊安全產品時, 該如何選擇呢? 我個人給的答案是「預防勝於治療」,建議優先選擇防護類型的產品。另外個人資料保護法施行細則也特別提到相關的使用記錄、軌跡資料及證據保存,因此資訊安全防護軟體的記錄能力也是重要一個重要的評選項目,記錄不只是保存數位化Log而已,而是中間很多的記錄軌跡都要能夠保留下來,重點在
於要能夠證明採用資訊安全防護的記錄軌跡,以及「還原」事件原本的面貌。
目前國際上有ISO 27001(資訊安全管理系統)、英國的 BS 10012(英國個人資料保護標準),以及我國也有經濟部委託由資策會科法所擬定的 TPIPAS (台灣個人資料保護與管理制度),皆可做為大家建置個人資料保護管理系統的參考。然而,保護個人資料本來就是應該做的事。只要大家秉持著這樣的信念,絕對可以建置符合每個公司或組織的適當的安全維護措施。
