英國標準協會(BSI)臺灣分公司總經理蒲樹盛談資安風險與GDPR 10大重點

IoT技術越來越夯,卻也讓資安漏洞越來越大。英國標準協會(BSI)臺灣分公司總經理蒲樹盛說道,現在大家關注的智慧城市,包括智慧能源、智慧醫療、智慧建築、智慧家電(如智慧冰箱和洗衣機等),都屬於IoT一部分,也都會連結網路。但是,這種物聯網的形式,卻容易讓裝置中毒或遭駭。也因此,蒲樹盛表示,全球資安風險排名逐步上升,可算是僅次於全球暖化的議題 。

在過去,提到資訊安全,最常談的是機密性、完整性和可用性,企業往往只要顧好這三個面向,就不會有問題。但今日已不再是獨善其身的時代了;任何東西只要連上網,就算是穿戴裝置,也會有遭駭的風險。

因此,蒲樹盛認為,策略是最重要的。要建立有效的策略,首先須了解風險,而提出以下幾個建議,幫助大家找出風險、制訂策略:

1. 政策:隨著新科技的出現,公司需擴大政策範圍,比如制定以社群軟體交換訊息的政策、無線網路政策等,而政策的深淺則有賴風險程度。

2. 資訊分類分級:比如分A、B、C級,且各級也要說明如何控管等。不論是美國或中國網路安全法,都已有資訊分類分級的要求。因此,企業也應該對資訊分級分類。

3. 教育訓練;有計畫地引導公司同仁判斷訊息真假,比如分辨以假電子郵件地址進行詐騙或網路詐騙等。此外,教育訓練完的測試也很重要,以知道教育訓練成效與同仁的了解程度。

4. 技術控管:需進行生物辨識和身分識別。雖然目前多以指紋辨識技術為主,但未來可走向虹膜辨識或臉型辨識等。

5. 檢驗:透過監控來評估是否準備好面對資安風險

而為了保護個人資料的隱私,歐盟最嚴格的個資法:一般資料保護規範(General Data Protection Regulation,簡稱GDPR),將於今年5月25日生效。GDPR是臺灣個資法的兩倍、有99條,適用於任何與歐洲有來往的企業,不論公司規模大小、也不論歐洲客戶有多少,都一視同仁。但是,GDPR到底有哪些重點呢?今天,蒲樹盛再次強調GDPR 10大重點,讓大家一次了解歐盟最嚴的個資法。

重點1:5月25日正式生效

GDPR其實在2016年4月就已經通過了,不過這條規範將於 2018 年 5 月 25 日正式實行,適用於任何與歐洲有來往的企業。

重點2:企業必須設置資料保護長(DPO)

GDPR將企業分為資料控制者(Data controller)和資料處理者(Data processor),但不管是哪一種角色,只要涉及到蒐集歐盟民眾的個資,企業就必須依規定設置資料保護長(Data Protection Officer,DPO),並證實。

重點3:搜集資料於處理需取得明確的同意

雖然這個重點和其他個資保護法一樣,但一個明顯的不同是:企業不能使用術語等晦澀難懂的說法來取得個資,也就是說,企業必須用淺顯易懂的白話來解釋資料搜集,並取得民眾同意。

重點4:個人資料可攜權

個人資料可攜權指的是,歐洲民眾有權力將個人資料或相關資料從一個ISP(網路服務供應商)移轉到另一個ISP。也可想像成,某人將自己的資料從A電信轉移到B電信。

重點5:資料被遺忘權

這也就是人們有權要求移除自己負面或過時的個人資料。比如A一審有罪,但二審無罪,而網路上的搜尋仍有一審結果,這時就違反了資料被遺忘權。

重點6:72小時內需通報

GDPR明定,如果爆發個資外洩的資安事件,就要在72小時內通報給資料保護主管機關(Data Protection Authority)。

重點7:系統之資料保護設計

企業必須遵循個人資料蒐集最小原則(data minimization)。另外,GDPR也將「個人資料」範圍擴大到 Cookies、網路IP位址或GPS定位等,以及能夠辨識個人身分或性別的基因、生物特徵或醫療資料等。

重點8:反對權

歐洲公民可請求不再讓企業繼續使用個人資料,或個人紀錄。

重點9:建立資料保護影響評估(DPIA)

GDPR要求企業必須進行資料保護影響評估(Data Protection Impact Assessments,DPIA),以辨識業務中涉及個人隱私權的風險,並加以衡量、管理與因應,並於蒐集與處理個人資料前,評估該風險和業務活動必要性。

重點10:提高罰則

若違反GDPR,最高可罰2000萬歐元或全球總營業額的4%。


Advertisement

更多 iThome相關內容