因應新版個資法，企業應投入多少經費才合理？

個資法三讀通過，遊戲規則改寫
個資法己於99.4.27日修訂通過，未來本法適用範圍將不再侷限於電腦處理的個人資料保護，並且非公務機關的定義也從原本的八大行業擴及到各行各業，此外賦予政府主管機關查檢權力，以有效遏阻未遵守規定的組織。在罰則部份，同一原因所引起的資料外洩事件最高民事賠償金額由原本的二仟萬提高到現行的二億元，然而如果因該原因事實所涉利益超過二億元者，以該所涉利益為上限。值得一提的是組織若未善盡保護個人資料的責任，負責人會因此而連帶受到罰緩，嚴重者甚至需要去吃牢飯。有鑑於此，企業應該及早因應與準備以避免遭受重大負面衝擊。

投入多少經費才算合理
從風險管理的角度來看，投入管理的經費不應高於可能潛在的損失，因此，組織可以檢視現有的個人資料，以每一筆賠償金額500~20000元來計算，乘上資料外洩的機率，可以估算出可能損失金額，從而擬定合理的管理經費。根據Cyber-Ark 2009年統計表示「有6成受訪者表示要偷走公司機密資料非難事，在不同的情境下有24%~28%會帶走公司資料」，如果以組織擁有一萬筆個人資料為例，其可能損失金額介於120萬至5600萬之間，計算方式如下：
10000筆*500元(損失金額預估)*24%(發生機率預估)=120萬元。
10000筆*20000元(損失金額預估)*28%(發生機率預估)=5600萬元。
此部份估算尚未包含組織形象與聲譽的損失及負責人的相關連坐懲罰。

即使編列預算，仍不知該怎麼做？或者不確定做的是否正確與完整？誰能夠幫助我？
許多企業受限於經驗與專業能力不足，無法確認所實施的管理措施是否有效，此時需要有第三方的專業機構協助，例如：有些技術廠商提供滲透測試服務，幫助組織瞭解資訊系統及網路環境是否能扺禦駭客入侵，企業亦可尋求法律專家及企管顧問公司協助逐步完善公司內部管理制度及作業流程。另外，市面上有一些資料保護工具可以幫助公司更迅速確實地達成各項控管要求。

如果我要自己做，可以從哪裏開始？
1：瞭解公司的「個人資料」在哪？
假如不知道公司哪裏有個人資料，保護資料將顯得困難重重，雖然這聽起來很簡單且合乎邏輯，但許多公司仍然沒有辦法良好地保護個人資料。在公司清點完個人資料之後，接著可以清查個人資料的蒐集途徑與方式，確認符合法定要件，然後，檢視個人資料利用的範圍與方式符合資料蒐集、處理與利用目的。

2：訂定資訊安全和個人資料保護政策
有效且合適的資訊安全與個人資料保護政策是每個公司所必須具備的，公司應訂定合適的政策和指導方針以保護個人隱私資料，資料分類在其中扮演著主要的角色，一個好的管理流程也是確認資料被妥善管理、備份和儲存的核心。

3：評估身分鑑別和存取管理流程之有效性
身分鑑別和存取管理(IAM)流程是確認適當的使用者存取資料的基礎。在過去IAM流程是一項需要人工處理的活動，但最近幾年IAM軟體的發展幫助一些功能自動化，並提供準確無誤的登入與登出連結流程(請參考IAM工作流程圖)。

4：確認使用者瞭解於資訊安全和個人資料保護中擔任的角色與責任
教育訓練一直被認為是軟性的安全管理方案，且傳統上並未得到應有的關注。一個有效的資訊安全認知訓練需要花很長時間，才能減低公司整體風險。事實上，這是一種方式確保政策和標準被有效地在企業中奉行。在最近十年，雖然外部事件(例如駭客攻擊)較受到媒體關注，但經驗顯示有65%的資安事件發生於組織內部，內部資安事件的主要原因是缺乏資訊安全的知識與不完全清楚個人的角色與責任。

5：評估監控流程的有效性
當我們談到遵循法規要求時，監控就變得非常重要。電腦稽核記錄(logging)是常見未被企業採用的一種監控，主要是因為系統效能的考量。此外，在一些企業雖然有啟用log機制，然而log在短期間即被覆蓋，導致效果有限。有效的監控需要進行規劃以鑑別這些事件造成公司的影響，這些事件應該被記錄、分類及決定優先等級。當達到門檻條件，必須產生log或監控事件並由專人檢視。電腦稽核記錄流程應迅速鑑別存取關鍵事件、非經授權存取意圖、以及使用、修改與複製個人資料的行為。

6：確認合作夥伴的安全
安全的強度是取決於最弱的環節。商業夥伴有遵循法規要求嗎？公司的IT是否委外到第三方供應商？這些委外廠商及合作夥伴的安全需要進一步確認，建議在雙方合約中明訂稽核權利並在需要時進行稽核。

調查：26%被裁員工會竊取公司資料 
‧Cyber-Ark認為這是因為企業保護資料的觀念落後，有近6成的受訪者表示要取走公司機密資料並非難事，最常見的媒介就是行動儲存裝置，居次的是郵件，實體文件名列第三。 
‧狀況1：26%受訪者表示，如果明天就被炒魷魚，他們會把公司的資訊帶走。 
‧狀況2：24%的員工表示，若聽到工作可能不保的傳聞，他們會下載公司或競爭對手的機密資訊。 
‧狀況3：52%表示，他們只會在這些資料對未來有幫助時才會進行下載。 
‧狀況4：28%表示會利用這些資料來交?一個新職位，並有28%表示會把相關資料作為新工作的工具。

資料來源：Cyber-Ark「全球經濟衰退對工作倫理的影響」研究報告 公布日期：2009年11月23日 

IAM工作流程圖

作者簡介
NII產業發展協進會經理歐弘詹
擁有國際電腦稽核師（Certified Information Systems auditorTM，CISA）和國際企業資訊治理師（Certified in the Governance of Enterprise IT , CGIET）證照。