賽門鐵克：企業資料保護達標準者少

近日個人資料外洩事件頻傳，也因此政府積極推動個資法修法，希望提高罰責及擴大規範範圍。而賽門鐵克今日（12/28）發佈的全球研究也顯示，企業間在資料保護及法規遵循的表現上有很大的關聯，顯示法令規範對於企業在個資保護的做法有很大效果。

賽門鐵克今天發表IT Policy Compliance Group最新標竿研究報告，指出在歐、美、亞洲地區的研究範圍內，只有十分之一的企業擁有符合國際規範的資料安全保護政策。這樣的比例明顯偏低，顯示出不只是台灣，全球企業在資料保護的做法上都應加強。

另外研究中也發現，在資料保護上表現優良的公司，在法規遵循稽核也有很好的成績。目前歐美都有法規遵循的政策，例如歐洲在1995年通過歐盟資料保護指令，美國則在2002年制定沙賓法案。

而台灣目前的電腦處理個人資料保護法，則只限於公務機關、金融、電信等特定八大行業，近半年來頻傳資料外洩的電視及網路購物業者都不在個資法的規範範圍之內。

賽門鐵克則認為，受到法令規範的行業，在資料保護上就會做較嚴密的控管。以台灣來說，較重視資料保護的產業包括政府機關、金融業、電信業等等。這是由於政府受到行政機關資訊安全管理要點規範，金融業通常會簽定資料保護契約，而電信業則是受個資法約束，因此在資料保護上都有較明確的政策。

不過現有的個資法由於罰金只有2至4萬的上限，因此仍然無法成為強大約束力量，因此政府現在也推動修改新版個資法，將罰金提高至最高五千萬。

企業應重視安全政策控管
雖然台灣目前沒有如歐美般嚴謹的法規遵循政策，不過賽門鐵克大中華區資深首席顧問曹如瑋指出，將安全防護技術結合企業安全政策控管（policy control），是最正確的方法。

他說：「企業現在需要的是全方位的IT風險管理。」從儲存、備份到電子郵件、即時通訊軟體（IM）控管，到閘道端（gateway）、端點防護（endpoint）及防火牆，除了使用安全廠商的產品外，企業本身也要制定安全政策。因為以駭客現有的多元攻擊手法看來，只要漏掉了任何一塊，都會成為資料外洩的管道。

賽門鐵克今年也將端點防護視為資料防護的關鍵，今年更將新版企業端防毒軟體更名為Symantec Endpoint Protection（SEP）11.0，強調加強端點安全防護，並搭配安全政策控管軟體Symantec Network Access Control（NAC）11.0，希望結合防毒和政策控管強化企業端點安全。

另外資料遺失防護（Data Loss Prevention，DLP）技術也是各家廠商關注的焦點，包括McAfee、趨勢科技、賽門鐵克等三家安全廠商都已併購DLP廠商，要將其技術在既有產品內補強。

除了McAfee較早在去年就已買下Onigma之外，趨勢科技在今年10月底買下DLP廠商Provilla，賽門鐵克則是在本月（11）初併購Vontu。目前McAfee已將DLP技術整併進其整合管控平台ePO 4.0；趨勢科技則打算在明年Q2將DLP整合進企業端防毒產品OfficeScan中。