資安新知

 文／精品科技　技術服務部　資深資安系統工程師　黃粮皓

企業有內部資訊安全需求，想要導入防止內部機密資料外洩的工具，在導入內部資訊安全產品所遇到的問題有很多，其中反應最多的問題是下列兩項：

1. 要購買哪一種產品才適合公司的需求？
2. 產品購買以後要如何導入呢？

Point 1：確認控管範圍，才能找到合用產品 

首先企業需要先瞭解公司要保護的資料有哪些？範圍在哪裡？我們必需將要保護的資料的範圍給確定出來，比如公司內要保護的資料有營業部裡的『會員個人資料』；因為營業部門的『會員個人資料』只允許相關人員或業務等相關部門可以查看或修改，所以我們需要的是將『會員個人資料』的檔案給加密起來讓其它不相干部門的人員，拿不到這份資料，或拿到這些文件也無法開啟？是否這樣就可以做到防止資料外洩的保護了呢？

因此公司普遍針對要保護的文件有以下需求：

1. 公司要防範的就是人員『無心或有意』將『會員個人資料』以Mail寄出、隨身碟攜出、上傳到網路硬碟…等，各種方法都會因為檔案被加密而無法開啟。
2. 顧慮到『會員個人資料』還是會有給外部廠商，如印刷廠製做廣告型錄的需求，又不希望將原始『會員個人資料』給廠商(怕廠商外流)。
3. 不希望改變使用者的操作習慣，最好可以不改變現在的使用狀況，透明式加解密文件。
4. 要有詳細的文件使用記錄。
5. 可以強制將文件加密保護。
6. 加密的內容，無權限者無法開啟或使用。
7. 文件可以集中統一控管。

精品科技用這樣的想法設計出X-DoRM這套DRM 產品的主要功能，也因此當我們將要保護的文件範圍定義出來後，該使用哪種工具來保護其實就很清楚了。

當選定X-DoRM 為保護企業『機密資料』的工具時，又會產生一個疑問，這套產品是否適用於我們公司的網路環境？

Point 2：良好的網路架構整合AD更方便

Ｘ-DoRM是一套Client-Server架構的產品，用戶端必需安裝一X-DoRM Agent於用戶端電腦中，X-DoRM Server與X-DoRM Client只要隸屬於同一區域網路底下即可讓功能正常運作，至於有分公司的企業，只要總公司與分公司之間有VPN專線，總公司與分公司將會被視為同一區域網路，管理人員在總公司即可對分公司的電腦做控管。

當然導入X-DoRM我們最建議的身份認證方式就是使用Active Directory(AD)與X-DoRM進行整合達到身份認證的目的。X-DoRM是以使用者是否對X-DoRM 的加密文件有權限，當一份被X-DoRM加密的文件，其文件權限內容是：【User A：唯讀】、【User B：列印】、【User C：修改】，當User A拿到該文件打開後發現只能唯讀，其實後面的運作原理即是使用AD帳號來辯識使用者的身份，當Agent偵測到登入Windows的使用者身份是『User A』，對這份加密的文件即會給予該給的權限，所以也就是User A拿到該文件只能打開唯讀而已。

X-DoRM與AD整合的好處不僅是身份認證而已，當公司內部有人員部門調動，X-DoRM也可以很方便快速的讓異動的人員檢視或修改異動後的部門文件。舉個例子：小強屬於業務部，小明屬於營業部，基本上兩個部門的文件無法互相閱讀或修改，當IT人員在AD裡將小強調到營業部，小明調到業務部，X-DoRM可以馬上和AD同步，本來小強只能開啟業務部的文件，部門調動後變成小強無法開啟業務部的文件，但是可以開啟營業部的文件。

Point 3：資安產品的導入步驟

在導入資安產品之前，IT人員通常都會先試用看看，產品的操作介面友不友善、細項功能有沒有符合需求等等，等找到符合企業所需的產品後接下來就是導入該產品的時候了。導入資安產品可以用以下步驟來執行，以下用X-DoRM舉例：

•       Plan (規劃)

–      制定文件使用政策、管理辦法

要保護的文件範圍定訂出來後，接下來要制定文件使用政策，比如，

營業部的文件政策：

1.  
   1. 所有人員Word、Excel存檔時，就強制加密。
   2. 加密的文件只有營業部門所屬的人員可以修改，業務部門的人員可以唯讀。
   3. 營業部門人員對文件加密的同時，X-DoRM 會自動將這份文件複製到File Server 做備份。

類似上述的文件使用政策制定出來後，我們還要制定管理辦法，舉例來說，一、選出「文件稽核人員」，被加密的文件需要有一位稽核人員做定期文件使用稽核。接著要選出「文件管理員」(可由部門主管擔當，避免MIS人員可存取機密資料)來管理這些加密文件，若有使用者要將加密的文件解密，也可以透過文件管理員來幫忙審核解密，X-DoRM系統針對文件管理員這個功能提供了：文件管理員可只管理自己部門的人員文件，當然也可以設定管理員可管理多個部門的文件，達到靈活彈性的管理。

•       Do (實施)

–      導入工具、訓練人員，依政策進行保護

導入X-DoRM來做為保護公司機密文件的工具，首先就是要對所選出來的文件管理人員進行教育訓練，教導他們如何操作這一套工具，可先準備一個測試環境讓其熟悉進而再進入正式的管理文件環境。

當然一般文件的使用者也需要做少許的教育訓練，雖然X-DoRM的加密方式是採用透明式加解密，並不會改變使用者的習慣，但還是需要教導使用者如何查看自己對被加密的文件權限屬於哪一個等級，所以教育訓練是讓整個導入計畫可否成功的關鍵。

•       Check (檢討)

–      觀察分析成效，稽核作業

 X-DoRM一開始導入多少會遇到使用者不習慣的問題，或是使用上的問題，此時可以從使用者反應的問題來找出是否有需要改進的地方，是否控管政策不合理？文件管理員對於文件的管理是否不周嚴？這些都是我們需要檢討改進的。

•       Action (處置)

–      修正改進，再次循環

有需要改進的政策再檢討，經過修正，讓整個運作繼續下去，其實資安產品導入的困難點，有時不是產品的問題而是使用者是否配合的問題，因此好的、理想的管理政策讓管理者及使用者能夠用的方便又顧慮到文件的安全就考驗著規劃制定者的能力了。

成功的導入資安系統，需要公司高階主管的推動，整合各個部門的工作習慣，並規劃流程；建立完整企業資安，必須全員動起來才能。

文 ／ 精品科技 董事長 劉振漢

個資法正式實施，企業須做好準備

2012年10月個資法正式實施，對各行各業帶來程度不等的衝擊。壽險業者是受影響最大的行業之一，有報導，10月之後，業績掉了三成以上。不意外的，電話行銷因為被追問「你怎麼會有我的個人資料」，面臨被提告求償的風險。大家可以明顯感受到電話行銷的騷擾變少了，相對的，電銷業面臨了巨大裁員壓力。

產險業者推出最高保額二億元的「個資外洩險」，保費超過百萬元，電信、銀行保險業及線上購物業者等最易觸法判賠的「高風險群」為主要潛在客戶。然而，購買個資外洩險，某種程度意味「企業本身對個資處理沒信心」，若被揭露，對企業的形象會有很大的損害。如何防範個資外洩，避免「受到行政處分，甚至被鉅額求償」，是每個企業必須面對的課題。

公司營業秘密恐外洩

公司營業秘密外洩事件無時無之，大公司的洩密案，媒體皆曾大幅報導。中小公司不為人知者，更不知凡幾。政府重視這問題，也將修法將洩漏營業秘密從民事案改以刑事論罪。由於公司營業秘密牽涉利益重大，被盜竊不易察覺，成為許多企業的隱憂。

資訊安全是重要的課題，沒有資訊安全，就沒有國家安全。政府不做好資訊安全，人民就沒有保障。公司不做好資訊安全，公司的發展就受到限制。我們有這樣的經驗，有客戶突然就找到我們，要最短的時間導入資安系統。不久就看到新聞，這家公司接到國際大廠的代工訂單，這種例子相當多。

大家也許聽過一個報導，在蘋果公司的內部iphone的產品開發代號叫做『紫色專案』(ProjectPurple)。這個專案，賈伯斯只允許使用蘋果內部的員工，絕不能從外部挖人。

『紫色專案』團隊占用了蘋果總部辦公大樓的其中一整層，當然是安裝了門禁系統，大門口貼了寫有『搏擊俱樂部』(Fight Club)字樣的標牌。『搏擊俱樂部的第一條規則就是，大家不能談論搏擊俱樂部』。因此蘋果公司的其他員工也不知道有『紫色專案』。『紫色專案』這個專案名稱會曝光，是因為蘋果和三星打專利官司時主動揭露，大家才會知道。做好資安，也是蘋果成功的原因之一。

由上往下顯示導入資訊安全系統的內容

導入資訊安全系統

首先必須確立單位執行資訊安全政策的決心，其次要建立資訊安全組織，評估單位所屬行業的法律要求（銀行、醫療各有特殊的管轄法律，個資法則是所有單位必須遵守）。接下來將單位資訊資產分類，評估其風險。之後，針對人員安全、實體與環境安全…等6大項目（圖中灰色部分）建立（或改善）管理制度。

這個資訊安全管理系統的內容是ISO27001國際標準訂定的，是非常有價值的遵循標準，舉兩個項目為例：

•  [系統發展與安全]的管理，會在導入一個新的系統（例如CRM客戶管理系統）時，考慮到個資的保護，操作手冊完備，使用者權限管理、電腦網路效能負載…等問題。
•  [實體與環境安全]的管理，會評估包括機房溫濕度、火災風險、人員進出控管，異地備份的需要性等等。

根據這個準則實施，可以完整的考慮到所有的安全問題。

量化指標和定性化指標來評估實施成效

建立資訊安全管理系統，應以定量化指標和定性化指標來評估實施成效：

• 定量化指標：
  •  確保系統、主機中斷營運服務之情事，每年不得超過X次，每次不得超過X個工作小時。
  •  確保相關之資訊安全辦法有確實實施（每年至少查核X次）。
  •  依職務、責任提供全體同仁資訊安全相關訓練（每年至少執行X次）。
• 定性化指標：
  •  加強內部控制，防止未經授權之不當存取，以確保資訊資產受適當的保護。
  •  確保資訊在傳遞過程中，不透露給未經授權的第三者。
  •  確保所有資訊安全意外事故均依循通報機制逐級反應，加以調查及處理。

如果公司已經建立好很好的資安管理系統，根據此系統的要求，「對於法規的變動必須因應」，會在既有的架構下，增訂個資保護的辦法，增加個資管理系統。

選擇適當產品，讓管控更周延

按照行業的要求，公司業務的性質，公司可以選擇適當的資安產品，構成資安管理系統的一環。精品科技可以協助評估公司所需要的產品，依據不同的評估和比較觀點做出專業的建議。

首先功能要符合需求，技術解作為防止資料外洩的急效藥，導入就是要立刻防堵曾發生的外洩方式再度發生。例如防止從USB帶走機密資料， 或是能舉出機密資料被寄到私人信箱的證據。

但除了滿足初步目標外，也要考慮到後續的需求。因為資安的特性就像治水，對有心人士而言，防堵了一道門，他就會立刻找另外一個洞鑽。所以初期的導入目標可能只是防止機密資料被一支不起眼的隨身碟帶走，漸漸的其他需求會逐漸浮現，例如管了USB行動碟，可能導致網芳和光碟機的使用頻率增加；另外，現在盛行的網路硬碟、智慧型手機(BYOD)的趨勢，逐漸改變人們作業流程，新的工作方式會衍生新的漏洞。如果導入的產品沒有可擴充的架構，或是原廠沒有順應需求，持續推出新版本、新功能。未來企業在面臨新的需求時，可能又必須再評估第二套、甚至第三套資安產品。不但增加導入的金錢、時間、人力、維護成本，疊床架屋的架構也會嚴重拖慢電腦效能，引發使用者的排斥與抗拒。

滿足了初步需求和未來擴充能力後，還要考慮對原有作業流程的衝擊。如果資安產品只能藉由限制存取來防止資料外洩，強迫使用者改變習慣配合新的作業流程，通常會大大增加導入的困難度。如何在最小影響使用者的情況下，防堵可能的惡意操作，或是能彈性的依照時間、日期、黑白名單、審核機制來設定控管政策，其實也是評估資安產品非常重要的指標。尤其大型企業在導入時，非常重視廠商的導入經驗，如何與現有流程整合、跨site架構的整體規劃、能隨著專案階段對不同層面進行教育訓練，才是決定大型專案導入能否成功的重要因素。

也要評估實際導入時會遇到的問題，包含系統是否發展成熟、與企業內常用軟體的相容性。除了可藉由使用者接受測試來評估，也可藉由產品的推出時間、Reference site的數量與規模，是否有獲得獎項等指標來衡量。

另外，如果企業導入資安產品，是為了滿足國外客戶對資安的要求，或是本身就是跨國企業而必須滿足國際資安法規。那在選購資安產品時，也可以考慮到資安產品是否有行銷國際。有國際知名度的資安產品，對企業在向國外客戶證明有能力保護機密資料時會更有認同感。

還要考慮的是，資安產品既然要整合進作業流程，操作容易也是非常重要的評估指標，因為資安管理系統使用者除了IT人員以外，還可能包含各部門主管、稽核人員，甚至企業老闆本身。

謹慎小心為上

方便和安全常常是對立的，隨身碟很方便，卻很不安全。雲端非常方便，連CIA局長裴卓斯和布洛德威爾女士使用Google的雲端服務。雲端卻也引發很多安全疑慮。大家都使用「雲端」， 卻不知到各個「雲端」到底在世界那個角落？熟悉網路技術的人也許知道：可以用url2ip ip2location（由url找到網址的ip編號，再由ip編號找到位置）的兩段步驟來找到「雲端」的真正地理位置。一般人可能就沒想這麼多了。

雲端有很多免費的儲存空間（ 中華電信、Google、Dropbox…），資料放在那裡，隨時可以取用。假設你有同學的通信錄，為了方便，把它放上雲端，可能你已經違反個資法了。個資法第 21 條提到，「…國際傳輸個人資料…接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞…」。使用對岸雲端空間的人不在少數，對岸是否算是「對於個人資料之保護未有完善之法規」，有待政府和法官來釋疑。

我國個資法涵蓋範圍廣、而個資和資通訊的牽連太大，已經超出一般人的處理能力。可以預期「個資」紛爭將急速成長。在此建議，時時省思，處處小心，是我們面對個資法應有的基本態度。

文/精品科技 MIS 劉豐維 & 林靖宇 

技術再好，不如適合公司使用

IT包山包海，繁有通電的都歸我管，小到電話或刷卡機，而大到網路建設、辦公室網路建置或機房建置等，再者公司自己研發的資安系統，也歸我們部門管，其中更包含了測試的工作。IT人要管的東西可真是多，因此要學的東西也更多，我們就好比資訊大總管，樣樣要都接觸，要管又要會。

然而，IT技術無遠弗屆，廣的可以很廣泛，專的可以很專精，你要怎麼用?那專看公司如何去配置所謂的資訊單位所要發揮的地方了。而每家企業都有不同的規模與經濟能力，大公司可能會把一個資訊單位拆解成許多不同功能的部門，每個都很專精的在做專業領域的事情，比如網路部、軟體開發部、OA服務或是系統服務部等，而小公司就可能一個MIS部門掌管所有IT事。

因此，在某些方面就要依公司需求導入適當的資訊系統與設備，並不是花大錢就能夠得到最佳的效果出來。當然，只要錢花了，就會有效果，也不是不可能。比如說，SAP是一套很有名的ERP系統，但相信要完整的建置一套想必所費不貲，也不是一般企業可以負擔的，而培養相關的技術人員，又是另一項長遠的投資與成本。所以像我們寫企業軟體、賣企業軟體的公司，這套系統就不適合在我們公司出現，更不需要擁有類似這樣的人才。

IT界擁有各式各樣的人才，也開發出成千上萬種的不同需求出來，找到合適的方案才是對公司運作有正面的功用。

學無止盡，但每學會一樣都是成就

現在科技不斷進步，軟、硬體不斷地提升，以作業系統為例：從早期Windows 98到現在的Windows 8，身為IT人的我們，都必須去了解每一個新的作業系統運作以及新功能，才能幫助使用者去解決問題，在這些學習的過程，必然會經歷一番挫折及掙扎。以公司內部網頁為例，之前是使用Microsoft SharePoint 2007去建置，而在今年初就會升級為Microsoft SharePoint 2013，在升級這段期間裡，IT必須去評估轉移是否會有問題，以及去學習新功能，例如:電子表單和設置工作流程…等，這些都需要下功夫去完成，當然許多IT都會覺得系統穩定就好，並不需要去做升級或去變動，一來不用去學習新的東西花費自己的時間、二來系統出狀況的機率不高；但如果這樣想的話，就等於自己的學習力漸漸退化，或許新的系統會幫助改善目前舊有的問題，幫助公司在一些流程上的處理能夠更順暢等等，所以有人說身為IT人，「就必須有對工作熱情，才能夠不斷的學習」，這句話說得很對！也是許多IT人應有的態度如果對於沒興趣的事物，給你長時間去學習，跟短時間去學習但是有興趣的去比較，我相信有興趣的比沒興趣的學習成效更好。當然有人會懷疑學了那麼多新事物，會比較厲害嗎？會比較有成就嗎?這個問題其實是要問自己，當你學習了那麼多新的東西，你真的有融會貫通嗎？還是只是囫圇吞棗罷了，學習是無止盡的，但能夠學會一樣就是一項了不起的成就，當你學習到了一個階段，就累積了許多的成就，你自然而然的對於新事物不再排斥，反而是以熱情的態度去接受他，相信你的成就一定高於常人。 

我們是這麼管理公司的機器與軟體

一家公司動輒上百台機器，當然這針對國內中小企業以上規模的企業來看，想要管理這麼多台機器，如果沒有很好的工具來輔助，資訊人員應該有再多的時間應該都做不完。再配合公司既有的盤點工作下，不能有效去管理公司的電腦資產的話，這就只能就每遇到一次就痛苦一次，然後惡性循環。在我們公司早有一特完整的資產管理系統，可以用來管理公司的軟硬體，藉由系統化的管理就可以清楚掌握資產的動態，也可以省去IT人員在資產的盤點上的時間與力氣。

然而，「想要馬兒跑，又要馬兒不吃草」這句話在現今台灣企業環境裡的IT人員應該非常耳熟但又常掛在嘴邊的一句話。是的，並不是每一家企業都重視IT的價值，而企業主往往因為資訊的付出成本太高而退卻，因此有可能要承擔忽略資訊投資所可能帶來的衝擊，且又普遍都認為「我花了這麼多資訊投資，是否有更大的回饋效益」、「應該不會這麼倒楣的，這樣的情狀應該不會發生在自己身上」、「我有花錢請資訊人員來管理我們的資訊系統，他們的專業總是可以用微小的投入而創造更大的收益」或是「等事情發生了再來解決」等的認知，因此這邊省一點那邊摳一點，抑或是不在乎下，等到最後發生事故了，才發現事後的維修成本往往大於所需投入的費用，這時才有了資訊保險的概念，這種相見恨晚的心態，卻是一再重複屢見不鮮。

其實我們都知道，台灣企業對資訊是又愛又恨。這種情況似乎絕大多數的企業均是如此，但這也沒辦法，台灣人對成本的控制相對其他國家嚴格，但總會不禁又一問，投入資訊的成本為何總是這麼高。是的，就是要這麼高。對於我們公司的機器，與絕大多數公司一樣，舒舒服服地躺在電腦機房裡，有舒適的空調、溫溼度控制還有防災系統，只要它能夠正常不出紕漏的運作，對我們而言就是最好不過了。

配合公司資安政策，我們做了些調整

公司開始ISO 27001的資安認證已經近四個年頭，由於我們是做資安軟體的公司，因此對資訊安全的要求就是要特別嚴謹。導入ISO 27001讓我們學會了對工作內容的警慎態度，儘管多細小的一件事情，總是要提出申請、反覆測試、並照著既定的步驟去做，最後就是留下歷史的足跡。因此每一次的工作就會有一份完整的記錄。

近期，公司對災害所造成的營運服務中斷之情事做了個調整，也就是將可以忍受的最大服務中斷時間(MTD，Maximum Tolerable Downtime)由原本的16小時縮短為8小時，這8小時的縮短勢必需對資訊回復做重新評估。公司對資安政策做了較嚴謹的要求，相對的公司高層的支持相對的重要，適當的資源讓我們做了些調整。

• 強化人員對資安的認知

資訊系統安全目標的提升意味著可能需要花更多的精力來去完成，人員對資訊安全的認知當然也要跟著提升，這告知了資訊安全部門人員需要更廣泛且精細的調整現有的資訊安全架構，比如對於備份需求的調整、異地備份的重要性、設備上的備援與廠商的即時維護等，再加上除了主導部門對資安的認知外，公司的所有人均須要加強教育，畢竟這並不是單一一個部門的事。

• 分批階段導入虛擬化系統

現今虛擬化系統發展得相當純熟，如微軟所提供的Hyper-V或是VMware所提供的ESXi虛擬服務等都是好用的工具。以現階段而言，一個服務裝在一台伺服主機中確實是浪費，而所剩餘的資源卻足夠再給其他服務所使用，因此虛擬化服務可以適當的整合多個實體伺服主機所提供的服務而成為一台，進而降低機器設備成本、電力負擔成本、人員管理成本與後續維護成本。然而虛擬化服務所提供的還原機制，可以在較短的時間內讓機器重新的運作起來，這樣對於營運上的衝擊與損失總是可以降到最低。 

文 ／ 精品科技 稽核室 許樹龍

民國99年4月《個人資料保護法》在立法院三讀通過，對於個人資料的保護管理，從此跳脫出原本舊法規電腦處理個人資料保護法設定的電腦框架，也跳脫了原本只有特定行業受到管轄的限制；亦等於正式向世人昭告｢個人資料是重要的、有價的，是必須受到保護的｣，已不是幾句人人呼喊的口號，而是即將成為所有擁有個人資料的組織必須採取的行動！愈加成熟。在法規通過之後，經過二年多的時間，個人資料保護法施行細則已在101年9月正式公告，而個人資料保護法亦在101年10月1日正式施行；然而這一連串的資訊對大多數的公司來說也留下了一個疑問-《個人資料保護法》的正式實施，對公司的影響有這麼重要嗎?公司須要對此作出回應嗎？

公開發行公司內部控制制度的目的

然而，先從內部控制的觀點來看《個人資料保護法》與公司的關聯：

• 《公開發行公司建立內部控制制度處理準則》(以下簡稱：處理準則)第三條 公開發行公司之內部控制制度係由經理人所設計，董事會通過，並由董事會、經理人及其他員工執行之管理過程，其目的在於促進公司之健全經營，以合理確保下列目標之達成：(1) 營運之效果及效率。(2)財務報導之可靠性。(3)相關法令之遵循。

從上述條文內容來看，公開發行公司的控制設計本就包含了法令遵循一環，因此個人資料保護法正式施行，所有公開發行以及即將公開發行的公司就應適時考量控制設計是否符合《個人資料保護法》的規範。

• 在處理準則第六條 公開發行公司之內部控制制度組成要素第二項- 風險評估：係指公司辨認其目標不能達成之內、外在因素，並評估其影響程度及可能性之過程。其評估結果，可協助公司及時設計、修正及執行必要之控制作業。

第二十三條 公開發行公司自行檢查內部控制制度之結果，以公司之內部控制制度是否能合理確保下列事項，分為有效之內部控制制度或有重大缺失之內部控制制度：

1. 董事會及總經理知悉營運之效果及效率目標達成程度。
2. 財務報導係屬可靠。
3. 已遵循相關法令。

根據上述規定，《個人資料保護法》的正式實施是否應納入風險評估的考量，則考驗著各個公司的風險管理制度，以及內部控制自評作業的落實程度；然而，內部反應較為迅速或是公司治理程度較高的公司，可能早在法規通過時，於執行99年度內部控制制度自行檢查作業之時，便將《個人資料保護法》對公司的影響考量在內，並做出必要的因應措施。

IT界擁有各式各樣的人才，也開發出成千上萬種的不同需求出來，找到合適的方案才是對公司運作有正面的功用。

《個人資料保護法》的範圍

再從《個人資料保護法》的內容來看其正式實施對公司是否有影響：

• 《個人資料保護法》第一條 為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。《個人資料保護法》第二條 用詞定義的第八項非公務機關：指公務機關以外之自然人、法人或其他團體。上述法規內容已明確敘明所有非公務機關，不論用何種方式蒐集、處理、利用個人資料都必須受其規範，只要擁有個人資料的公司，都在《個人資料保護法》的管轄範圍。

• 《個人資料保護法》第二條 用詞定義的第一項 個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

上述法規內容已明確說明個人資料的範圍。而絕大多數的公司、組織，都不可能沒有上述個人資料。
從上述兩個不同面向的觀點看來，《個人資料保護法》的正式實施之於公開發行公司，是絕對不可能沒有影響，也不可能不須做出任何回應的。

面對《個人資料保護法》實施須考量的風險議題

既然《個人資料保護法》的正式實施對公開發行公司有一定影響，到底我們應該替公司注意那些風險呢？以下略舉幾項公司在面對《個人資料保護法》須考量的控制風險(未涵蓋所有風險考量及法規範圍)：

• 根據《個人資料保護法》第六條規定，有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。…(法令尚有規定，此處未完全引用條文內容。) 一般公司會依照勞工安全衛生法規定施行定期健康檢查並留下健康檢查報告，然而許多的公司為了體恤員工辛勞，往往會安排多項規定以外的健檢項目，而留存的資料若是有超過法令規定的健康檢查項目，應列入違法風險的評估，並考量是否需改變公司相關作業的執行方式。雖然個資法第六條目前暫緩實施，建議仍應及早規劃相關因應控制作業。
• 《個人資料保護法》第八條　公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。…(法令尚得免為前述事項告知之規定，此處未完全引用條文內容。)以上內容為《個人資料保護法》明確規定蒐集個人資料的應告知事項。而內部相關控制或是作業程序設計是否符合此項規定? 若已符合規定是否留有記錄? 記錄應留存多久? …等，皆為公司回應此項規定應考量的項目。

• 《個人資料保護法》第三條 當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。以上第三條的內容明確說明了法律賦予個資當事人權利的不可侵犯性，再加上《個人資料保護法》第十條 限制當事人行使權利之規定以及第十三條 公務機關或非公務機關處理當事人行使權利的期限，都應該在個資當事人行使權利項目控制設計的考量範圍。舉個簡單的例子：若是貴公司擁有我的個人資料，我就可以根據此條文的規定，隨時提出查詢資料或是要求給予副本…等法律賦予的基本權利行為 。由於此項規定以及實施個人資料保護措施之考量，在依據《個人資料保護法》第八條蒐集個人資料，決定個人資料利用期間時，公司應適度考量長期擁有某些個人資料究竟是資產，抑或是負債。
• 《個人資料保護法》第二十七條：非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。…

另外，在個人資料保護法施行細則第十二條亦有說明公務機關或非公務機關採取技術上及組織上之措施得包含下表所列事項。

也就是說，公司組織在因應《個人資料保護法》各項規定而建立內部控制制度的同時，亦須考量現代科技在內部應用的情況，使用合乎公司風險考量的技術性產品，以有效保護所保管之個人資料。

結語

科技技術的進步、社會環境的變化、法令法規的修訂…等，都有可能對公司造成極大的影響，如何讓各個重要風險項目進入公司組織的風險評估系統，並有效地產生各項回應對策，正考驗著所有公司組織，也是目前重要的課題之一。

過去在《個人資料保護法》因應的議題上，常聽到有人回應我們公司未蒐集個人資料，內部控制無須特別調整 ，或是 這是資訊部門的事與我無關 。以上《個人資料保護法》與內部控制的簡單介紹雖未涵蓋所有層面，仍希望能讓大家在面對《個人資料保護法》時，提供一點幫助

文/精品科技 管理/人事經理 陳瑩華

使用X-DoRM DEC閱讀履歷，避免履歷外流

個資法施行後，企業要保護的個資，除了員工、客戶的個資之外，還有應徵者的個資。在整個招募作業的過程中，應徵者的個資會以紙本及電子檔的方式存在；紙本的應徵履歷表，只要人力資源單位不複製、做好集中保管、統一銷毀的動作，問題不大。麻煩的其實是電子檔的履歷資料，因為電子檔容易複製、容易郵件傳送，一份履歷檔案，從人力資源單位，傳送給用人單位後，會變成好幾份，儲存在不同人的電腦、筆電中，如果用人單位不小心，造成資料外洩，換來的可能就是金錢賠償及無形商譽損失。

以精品來說，一年會收到將近3,500份的履歷電子檔，人事人員每天將這些履歷，轉寄給各用人單位主管挑選，一份的履歷，會分送給2-4個以上的主管，3,500份最後會被複製成上萬份，分散在公司數十位人員的電腦中，要如何控制這些履歷不再外流，絕對不是用規章辦法規定就能確保。萬一這些履歷資料外洩，影響的不只是商譽，還可能會面臨個資法的罰鍰。

今年初，精品科技採用了X-DoRM DEC(文件加密中心，Document Encryption Center)來控管履歷的讀取、列印，以有效控制履歷個資外流、也簡化了作業流程，提升了效率。因為X-DoRM可依不同使用者，設定檔案不同的使用權限，是確保個人資料檔案，讓具有權限的使用者，在對的時間使用。

精品控管電子檔履歷的方式說明如下：

1. 首先要求所有主管、面試相關人員電腦裝上X-DoRM client。
2. 其次請所有的主管、人事人員刪除電腦中儲存的所有履歷資料、信箱中的履歷郵件。
3. 在X-DoRM DEC中新增履歷資料夾，下面再分類設定各職缺的子資料匣，以及各資料夾相關人員的查閱權限。例如主管對於履歷只有讀取的權限，沒有列印、複製、轉寄的權限。特定部門主管只有特定職缺履歷夾的讀取權限。
4. 人事人員每天負責將人力銀行轉寄來的電子檔履歷郵件，轉存成PDF檔，編號存入X-DoRM DEC各職缺資料匣中，由於面試主管PC或NB都安裝了Directory Monitor軟體，所以有新履歷張貼到履歷資料夾時，會獲得通知。主管再自行到 X-DoRMDEC中挑選履歷，再告知人事人員要安排面試的履歷編號即可。
5. 就算主管想將履歷複製到自己電腦的資料夾內，由於這些檔案都是列管檔案，仍然受到X-DoRM的保護，雖然仍有唯獨權限，若管理者要回收時，這些資料就無法再讀取。
6. 面試時，只有人事人員有權限可以列印出紙本履歷資料。並於面試完後，紙本資料統一收回，每隔一段時間銷毀紙本履歷資料。X-DoRM DEC中的履歷資料，則每季由人事人員刪除過去一季的檔案。人事人員也定期刪除自己電腦中所儲存的履歷檔案。

透過X-DoRM，將履歷資料集中管理，對履歷檔案限制使用者的列印權限、查閱權限，精品確保了應徵者履歷資料受到嚴密的管制。

自從啟用了X-DoRM DEC管理履歷後，人事人員表示，履歷的管理與統計變得比以前更輕鬆，分類儲存管理後，更省去查找履歷的時間。至於面試主管的信箱中，再也不會出現電子檔履歷郵件，主管也省去定時清理履歷郵件的麻煩。啟用X-DoRM控管履歷，不但確保履歷不外流，也使履歷挑選與管理更有效率。

精品搶先支援智慧型手機資安防護

文 ／ 精品科技 研發經理 蔡宜霖

精品搶先支援智慧型手機資安防護台灣約有15 的人擁有智慧型手機等行動裝置，比例還在快速成長中。雲端應用裡的「端」，正在快速演化，行動裝置成為帶領雲端應用的重要動力。使用行動裝置來收發信件，瀏覽PDF、WORD文件已經是很普遍的使用，勢必成為公事上不可或缺的工具。

多數DLP產品也已發佈Roadmap，將提供行動裝置的監控功能，經銷商也轉達客戶這方面的需求。而行動裝置容易遺失，造成安全控管的問題。行動裝置所造成的安全問題，比10年前隨身碟造成的安全問題多10倍以上。行動裝置的安全防護，市場方面可以說是絕對需要，殆無疑義。基於上述產業狀況及市場趨勢，打破過去在Wintel PC系統上，軟體開發的侷限，精品因應未來資安產業需求，針對Android系統上的產品，規劃行動裝置的資安監控系統。本產品以平板電腦(tablet PC)及智慧型手機(smart phone)，合稱行動裝置(mobile devices)的資安監控系統為研發對象，專注於防止行動裝置系統資安防護，以前瞻性的核心技術，開發行動裝置的監控系統，以保持在DLP產品監控的領先地位。

手機資安防護功能與PC大不同精品設計各種的DLP產品，是國內資安產品的領導者，特別針對Android系統上的資安防護功能，結合以XML描述語法的資安政策運作，以達到Android手機上的防止資料外洩，主要分為以下四大類控管：

Android本機系統控管

•  本機硬體裝置控管
  (1) 禁用手機上的硬體裝置：例如WiFi無線網路、藍芽裝置、手機熱點(Hot Spot)…等的禁止使用。
  (2)SIM卡的限制使用：根據SIM卡的識別ID，只有被授權使用SIM卡與對應的手機裝置，才可使用；必要時，可設定在SIM卡任意更換時，即鎖定手機系統，以達到控管機制。
  (3)SD卡的管制使用：由政策指定手機的SD卡在啟動控管時，即被限定，不可自行更換；若任意更換，將以簡訊警示管理者或禁用SD裝置。
  (4) WiFi連線基地台(Access Point, AP)控管：所有連線過的基地台SSID皆被記錄，亦可依指定白名單才可連線使用的控制。
• 記錄電話及簡訊通聯記錄，簡訊內容，無論收發皆可選擇是否要記錄；且所有通訊的地點，皆可以GPS位置資訊作關聯整合。
• 系統遠端管理與控制
  (1) 簡訊警示主管：透過電信系統既有的簡訊(SMS)發送，當使用者操作被監控的行為，如文件開啟、軟體執行...等，立即以警示簡訊發出，回報公司管理者並記錄。
  (2)遠端更新資安政策：此Android資安控管軟體，讓管理者針對手機控管政策的內容，以發送簡訊到遠端，更新手機上的政策；透過簡訊發送特定的資訊到手機，在手機上收到簡訊內容，即更換手機控管的政策機制，以達到遠端控管手機的效果。
  (3)SD卡的管制使用：由政策指定手機的SD卡在啟動控管時，即被限定，不可自行更換；若任意更換，將以簡訊警示管理者或禁用SD裝置。
  (4)手機遺失鎖定：當手機遺失或必須限定特定手機恢復使用，可利用如上述的簡訊遠端控管，下達鎖定系統的政策，使用者即無法繼續使用手機，即時防止洩密的危機。

Android軟體安全控管

•  軟體自我保護機制： 此A n d r o i d 資安Agent，擁有防止被使用者移除(或停用)的保護機制，確保監控系統的功能持續運作；唯有管理者通過指定密碼的認證過程，才能將資安軟體反安裝。
•  禁用軟體：記錄所有或特定Android軟體(即APK)執行或安裝；除記錄外，更可配合軟體黑名單控管機制，禁用特定軟體的執行。
•  檔案操作記錄：監控SD卡上的檔案操作，並記錄包含讀取、更名、刪除、複製等的文件使用的行為；可針對逾期或對指定的機密文件檔案作即時的遠端刪除。
•  網頁瀏覽記錄：可利用網頁URL網址的黑名單，執行禁用特定網頁的控管。

Android軟硬資產資訊

• 取得手機系統的資訊，如Android版本號碼，以作管理。
• 對手機內Android軟體(APK)安裝資訊，作記錄並監控；軟體安裝時，也會有異動的警示，確保使用者未安裝禁用軟體。
• 硬體裝置及資源使用資訊，例如定時取得SD、電池、ROM、 RAM等的容量使用情況記錄，並作警示的功能。

Android追蹤記錄監控

所有記錄皆可透過GPS或AGPS取得當下位置資訊，配合Google地圖顯示，可作全球性的位置記錄。記錄說明如下:

• 管理者可設定定時追蹤位置以作記錄，可達到行動軌跡的追蹤效果。
• 電話通聯位置的追蹤記錄。
• 簡訊內容的收發記錄。
• 開關手機系統的追蹤記錄。
• 使用網頁的瀏覽記錄。
• 追蹤WiFi 無線AP 連線及位置記錄。
• 文件檔案開啟位置的追蹤記錄。

精品Android資安防護系統，上市在即精品規劃的Android資安防護系統，將涵蓋目前Android市場主流的機種及版本，包含Android 2.2、2.3、3.x及4.x的版本。
A n d r o i d 手機控管模組， 將搭配X-FORT新版本，預計於2012年9月底盛大上市。

文 ／ 精品科技 法務 邱芷葳

近年來，利用個人資料進行犯罪的事件層出不窮，造成大量的個人資料四處流竄，對個人權益已然造成嚴重損害，早年保障個人資料的法律－《電腦處理個人資料保護法》

《電腦處理個人資料保護法》隨其適用對象卻僅侷限於政府機構與徵信、醫院、學校、電信、金融業、證券、保險及大眾傳播等八大行業，且受保護的範圍也只有電腦處理的個人資料而已，紙本資料根本不在此範圍內，實在沒辦法有效涵蓋所有的個資犯罪型態，為了完整保障個人權益，於是制定了新版的《個人資料法保護法》。新版的個人資料保護法不僅將以往的適用範圍，擴大到所有保有個人資料的自然人、企業、公務機關或其他團體，並且除一般性的個人資料外，也增加了基因、醫療、性生活、健康檢查與犯罪前科等五項敏感性資料有限度的蒐集、處理及利用規範，也就是說除非有:
1.法律規定
2.履行法定職務或法定義務，且有適當安全維護措施
3.當事人自行公開或已合法公開
4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料等四種法定情形，否則不得任意蒐集、處理及利用敏感性資料。

而因企業及公務機關往往保有大量的個人資料，因此，新版個人資料保護法實施後，企業及公務機關所需負擔的個人資料安全維護責任也更被加重。舉例來說，國內以往有許多知名企業都曾經發生過大規模的個人資料外洩事件，但受害者往往卻因不知情，而導致其權益受損卻無法主張。因此，新版個人資料保護法特別規定，當企業或公務機關所蒐集、處理及利用之個人資料遭到竊取、洩漏、竄改等情況時，企業或公務機關有義務即時以適當的方式（例如電話、信函等）通知當事人。如有違反規定，主管機關可令其限期改正，並可按次處以二萬至二十萬元不等的罰鍰，如因此造成當事人的損害，賠償上限甚至可高達二億元，由此可見，新版個人資料保護法對個人權益保障之重視程度。

在個人資料保護法實施後，個人應該如何保障自身權益？

個人資料保護法實施後， 每個人都將有權對於保有自身個人資料的企業或公務機關，提出查詢、閱覽或提供複本的請求，以確認企業或公務機關所保存個人資料的正確性。如果核對後發現有錯誤或遺漏，也可以請求企業或公務機關更正或補充。此外，個人可以隨時提出停止蒐集、處理或利用之請求，讓企業或公務機關不得繼續使用自己的個人資料，尤其是現在的企業經常使用電話行銷來銷售自家的產品，如果不願成為電話行銷的對象，隨時都可以提出停止使用自己個人資料的請求，甚至要求直接刪除所保有的個人資料，以杜絕後患。企業或公務機關對於上述請求，也都必須在30天內作出准駁的決定。

再者，企業對個人資料的蒐集、處理或利用，除應有特定目的外，且蒐集或處理個人資料時，另需有法律明文規定、或有契約關係、或經當事人書面同意等，才可合法進行。

企業或公務機關如違反個人資料保護法的上述規定， 導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利，個人有權利於知道損害發生及賠償義務人時起二年內，向企業或公務機關請求損害賠償。如因同一原因事實造成多數當事人權利受到侵害， 聯合受有損害的當事人二十人以上，即得委託財團法人或公益社團法人提起團體訴訟。

團體訴訟應如何發動？

然而，什麼是團體訴訟呢?所謂團體訴訟，係指同一個原因事實的發生，可能同時使多數的當事人受到損害，此時各個當事人依民法及民事訴訟法的規定，原本各自得以自己名義提起損害賠償訴訟，於訴訟中成為當事人而受判決，但各個當事人卻不以自己的名義對引起損害之人提起訴訟之方式，反而將此項訴訟權利藉由某種方式讓與給特定資格的團體集結眾人之力，由此類團體代替他們向加害人請求賠償。

例如：信用卡發卡銀行因持卡人長期交易所蒐集、累積的眾多個人資料，如果因為員工盜拷後販售給詐騙集團，導致銀行違反個人資料保護法第27條之安全措施責任，只要集結其中二十個人以上的受害人，就可以將這些受害人的訴訟實施權用書面授權給具備個人資料保護法所限定資格的財團法人或公益社團法人，如此一來，該法人即可以自己的名義自行或委任律師向違反個人資料保護法的組織或個人提起團體訴訟，若無法證明損害數額時，則可依法請求每人每一事件五百元以上二萬元以下的損害賠償，賠償總額最高可達二億元。

目前因新版個人資料保護法尚未正式施行，因此，國內還未有個資外洩的團體訴訟案例，但國外已有類似的案例發生，並且已向加害人發動求償訴訟。2011年04月，南韓的一位使用者指控iPhone不當擷取個人位置資訊，導致其憲法保障的個人生活受到侵害，於是委請律師向南韓法院起訴蘋果，經南韓法院正式判定蘋果南韓分公司應支付該使用者約韓幣一百萬元（約台幣兩萬七千元）的相關精神賠償。判例一出，短短半個月的時間，就有兩萬七千八百萬個受害者紛紛求助打贏這場官司的律師，要向蘋果提出集體訴訟。比照每人韓幣一百萬的求償金額，蘋果的賠償規模可望達到兩百七十億韓元（約台幣七億兩千九百萬元）。

另外，Sony 於去年四月也曾發佈消息說，Sony集團內以美國為中心發展電影與遊戲網路配信服務「Play Stat ionNetwork」與「Qriocity」，遭到駭客入侵，造成了至少7500萬人會員顧客的資料外洩。外洩的資料中，包括會員的名字、地址、電子信箱、生日、ID與密碼等，因此，Sony用戶也已經向加州法院提出集體訴訟，控告Sony未能妥善保存使用者的個資。若以過去日本針對個資賠償的判例一人賠償三萬日圓的金額計算，Sony在這次被稱為「史上最嚴重個資外洩」事件中，賠償總金額恐將超過二兆日圓。

結語

綜合前述可知，個人資料如遭人不當利用，被害人可以依據個人資料保護法加以主張，除此之外，也仍有其他法律上的權利可以主張。例如：如果被害人與加害人有進一步的契約關係時，則可視契約對不當利用資料的行為，有沒有約定違約賠償責任。如果沒有契約關係，被害人可以考慮用隱私權等人格權被侵害為理由，依照民法之侵權行為規定，向加害人請求財產上及非財產上損害賠償，如果同時還有名譽被侵害的情形，則可以另外請求回復名譽的適當處分。此外，刑事部分，被害人亦可依具體情況，依刑法第三百十六條、第三百十八條之一等「妨害秘密」規定，對加害人提出刑事告訴。因此，個人資料保護法案公布施行後，個人更應注意個人資料被蒐集、處理及利用之合法性，不要讓自己的權益睡著了。

文 ／ 精品科技 稽核副理 許樹龍

99年4月《個人資料保護法》在立法院三讀通過，對於個人資料的保護管理，從此跳脫出原本舊法規設定的電腦框架，也向世人昭告 個人資料是重要的、有價的，是必須受到保護的 ，再也不是幾句人人呼喊的口號，而是即將成為所有組織必須採取的行動！

保護行動即將展開

在法規通過後，經過一年多的時間；終於在去年的第四季，個人資料保護法的施行細則已進行預告，這一個動作象徵著《個人資料保護法》的實施已迫在眉睫，所有組織不分大小即將
進入這場跨越民國百年的個人資料保護大戰。—是的，所有組織，只要握有個人資料都在《個人資料保護法》規範的範圍之中，所以若是還沒進行應有之作為，就必須加快腳步了。

如何進行個資保護

在個資保護管理實務層面上，建議大家參考戴明循環P(Plan)→D(Do)→C(Check)→A(Act)｣持續改善的循環方式，進行個資保護管理系統的建置。然而在進行系統建置之前，另外有一
件重要的事大家必須要了解—個資保護並非只是為了遵循法令的要求｣。換句話說，當他人基於信任交付我們一個重要的東西時，我們應該要給予某種程度的尊重，如何表現出我們的
尊重呢？就是對這個重要的東西進行適當地保護，這是人與人之間相處的基本行為；也就是說，保護個人資料本來就是擁有個資的人或團體應該做的事。當大家都具備此基本共識前提
下，建置出的系統應該會是在所能承受的風險內，最適合大家的系統。

系統建置的參考步驟

重要的第一步：

建立共識、形成目標、給予承諾《個人資料保護法》正式公告實施後，將直接衝擊許多企業或組織，造成實質的影響；企業或組織內部必須建立相同的個人資料保護共識，進行形成正式的目標以及基礎的政策，乃是跨出因應個人資料保護最重要的第一步。

隨即應檢視公司內部組織架構，定義各個部門在個資保護管理之權責，並成立個資保護的管理組織。公開承諾給予必要之資源，授予負責人員執行相關業務的職權，展現進行個資保護的決心。

第二步：教育訓練

古語有云: 知己知彼，百戰百勝 。雖說個資保護本來就是應該要做的事，但是，既然已經有法令要求，在規劃的過程之中，就不可不了解法令規範，因此適時的教育訓練是絕對有必要的，方可在開始就規避可能的問題，畢竟 預防勝於治療 ，好的開始就等於成功了一半。除了開始建置統前的教育訓練，開始執行相關個資保護措施後，持續的教育訓練也是必要的考量項目，而針對不同權責的人員，也應規劃不同程度的教育訓練。

第三步：個資盤點

從上一個步驟延續下來， 內部應該已經做過初步的訓練，明確知道什麼是個人資料，現在接下來就要進行個資盤點，確定要被保護的資料到底散落在哪裡？
進行盤點前，公司或組織應該先確定盤點清冊的項目，也就是要點出與該項個人資料有關的項目是哪些？
例如下圖的參考項目：

圖一：個資盤點清冊的項目

當初步確定盤點清冊項目後，就可以請各個相關部門進行個資盤點。對大多數的企業或組織而言，個人資料盤點是最耗費人力及時間的步驟，但是若是缺少了這一步，就很難有效地進行個人資料的保護與管理，因此就算困難也要堅持下去；不過，千萬也別為了要確認內部所有的個人資料都有盤點到，而一直耗在這裡而裹足不前。別忘了這一個持續改善的制度，沒有人一開始就做到100分，也沒有人敢說他執行的制度就是100分的制度。

第四步：建立管理制度

在完成內部第一份正式的個資清冊後，接下來就要進行保護管理相關措施的建立。首先，先就個資清冊之各項個資，建立個資流向(流程)圖，進行個資流程診斷。了解個人資料是如何取得、內部是如何處理、誰會用到這些資料、誰會保存這些資料、這些資料又是以何種形式被保存、誰可以修改這些資料、刪除、銷毀…等。

在完成個資流程診斷後，首先會知道是不是有些個資在其他部門有保存未被列入盤點清冊，重新更新正確的盤點清冊。接下來，可以利用初步的流程概念，規劃各個管制點的控制措施，進行資料管理控制、安全控制、環境控制、設備控制、人員控制、記錄控制、教育訓練管理、委外廠商的管理、風險管理、稽核機制、持續改善機制…等各項控制流程的建置，建立
起初步的個人資料保護管理系統。控制流程的建置，建立起初步的個人資料保護管理系統。

第五步：風險管理

在完成初步的管理系統建置，企業或組織應依據所選擇的風險評估方法， 進行首次的風險評估， 其考量內容可能包含：法規符合性評估、隱私權衝擊評估、資料敏感性評估、重大性評估、資料流向評估、資料生命週期…等，最後找出超過企業或組織風險胃納的項目，進行風險改善。或是結合營運衝擊分析，進行風險改善，之後再進行風險再評估，確定改善成效。利用此風險管理方法可以針對風險控管不當的項目，進行再次修改或調整。

第六步：持續改善

在運作個人資料保護管理系統的同時，應依據設定的稽核機制，進行系統運作的稽核作業，以合理確保系統有效率及有效果地運作。並依據查核的缺失、發生的事件/事故…等進行矯正預防作業，持續調整系統的運作。最後，定期的執行個人資料保護管理系統的審查機制，確認系統符合法令法規的要求以及企業或組織的政策，達到持續改善的目的。

輔助工具的選擇

在預告的個人資料保護法施行細則第九條明確說明「適當的安全維護措施包含組織上及技術上之必要措施」，在前段所敘述的幾乎都是組織上所採行的措施，對於要採行那些技術上的措施，幾乎毫無著墨，大家應該都很想知道到底要使用那些技術才能稱得上是適當的安全維護措施。但是很抱歉，這裡並沒有一個絕對的答案，因為我們不了解每個組織的規模以及所有擁有個人資料的內容，所以沒有辦法給一個絕對的答案。其實更重要的一個重點是，我們並不是法官。

然而在這個資訊技術發達的時代， 傳統的防火牆、病毒防護、以及簡單的網路保護…等，對於大多數的公司及組織來說是絕對不夠的，況且大多數的資訊安全事件、個資外洩事件都是由內部人所造成的，若是根據品管手法的80/20法則，是否該建立一些內部防護機制的資安軟體，答案已經非常明顯了。其中資安軟體簡易分類介紹如下：

1.防資料外洩系統(DLP)：
可以防止公司內部人員，利用電腦週邊的管道，大量的將資料從公司內部帶走。功能強大的軟體，更可以記錄寫出的資料，以及限制開啟的環境…等。

2.文件控管軟體(DRM)：
可將重要資料檔案， 進行加密與控管的軟體，讓無權限的使用者無法開啟檔案。設計優良的軟體，甚至可以限制檔案使用次數、使用時間及記錄使用者編輯、刪除、複製檔案的相關資訊。針對配合廠商也有唯讀或限制存取次數的設計。

3.監視軟體(Monitor)：
如名稱所述，其主要功能就是記錄。記錄電腦行為的資訊，或者是如同一般的行車記錄器，記錄電腦執行的畫面。

不過，在評估上述相關資訊安全產品時， 該如何選擇呢？ 我個人給的答案是「預防勝於治療」，建議優先選擇防護類型的產品。另外個人資料保護法施行細則也特別提到相關的使用記錄、軌跡資料及證據保存，因此資訊安全防護軟體的記錄能力也是重要一個重要的評選項目，記錄不只是保存數位化Log而已，而是中間很多的記錄軌跡都要能夠保留下來，重點在
於要能夠證明採用資訊安全防護的記錄軌跡，以及「還原」事件原本的面貌。

結語

目前國際上有ISO 27001（資訊安全管理系統）、英國的 BS 10012（英國個人資料保護標準），以及我國也有經濟部委託由資策會科法所擬定的 TPIPAS （台灣個人資料保護與管理制度），皆可做為大家建置個人資料保護管理系統的參考。然而，保護個人資料本來就是應該做的事。只要大家秉持著這樣的信念，絕對可以建置符合每個公司或組織的適當的安全維護措施。