文/鄭逸寧|2010-08-21發表

重 點
● IT部門必須徹底掌握各種個資外洩管道
● 企業每個人都要了解個資法內容
● IT要能因應個資法實施初期的法規變動

日本系統業者NTT Data日前來臺分享個資保護經驗,該公司曾發生過2次個資外洩事件,為了預防事件再度發生,NTT Data徹查所有外洩管道,強化多項個資保護作法,來因應日本個資法的規範。

NTT Data前身是日本電信NTT集團的資訊部門,也是日本規模最大的系統整合業者之一,旗下提供資安顧問服務的NTT Data Security(NDS)營業部課長本鄉曉彥來臺分享NTT Data因應日本個資法的經驗。

日本在2003年5月通過個人情報保護法,2005年4月正式實施,這個法案等同於臺彎的個人資料保護法,實施5年來,對日本企業造成很大的衝擊,甚至有企業為了防止洩密,禁止員工將內部手機帶出公司。NTT Data發生過的2次個資外洩事件,正好介於日本個人情報保護施行之前與之後。

第一次外洩事件發生在2003年12月,NTT Data合作公司中,有一名派遣員工的筆記型電腦遭竊,導致相關的業務資料外流。

第二次則發生於2005年5月,有名員工遺失USB隨身碟,導致大量員工資料外洩。

得知外洩事件後,NTT Data立刻通知各部門主管,並成立了事後調查委員會進行細部調查,由總經理級和經理級主管組成,負責進行內部調查,以了解員工外洩資料當天的詳細經過與外洩資料的內容和範圍,最後再提出外部因應措施。

本鄉曉彥指出,由於兩次事件都是員工自行向上報告後,公司才得知資料發生外洩,所以,NTT Data考量到可能有其他員工外洩資料卻不主動報知,所以,進一步展開全公司的問卷調查,確認員工有善盡保全公司資料的責任,也確保沒有其他的公司資料外洩。

另外,NTT Data也於事件發生後,通知主管機關且向媒體發布新聞,讓民眾與顧客得知資料遺失的消息。

常見的2類個資外洩管道
NTT Data清查各種可能外洩管道後發現,一般常見的個資外洩方式可分成2大類,第一類是使用行動裝置時,另一類則是利用公司內部網路時。

使用行動裝置的外洩管道有5種,包括利用儲存媒體外洩、列印外洩、透過網路服務如FTP或電子郵件等管道外洩,透過外接式裝置外洩,最後則是病毒入侵感染行動裝置而資料外洩。

另一類透過公司內網外洩的管道則更多,除了包括上述5種以外,還有可能因為資訊流通的需求而導致資訊設備濫用、或是有人使用個人筆電處理公務,因筆電遺失或遭竊而外洩個資,另外也可能是伺服器被入侵而外洩資料。

為了避免再次發生外洩事件,本鄉曉彥表示,NTT Data決定聘請資安顧問公司評估公司資安狀況,並導入適當的資安系統。為了評選資安系統,NTT Data還製作了一個評選比較表,來挑選合適的資安產品。

從5大能力評選合適的資安產品
NTT Data除了比較軟體版本、產品概念、防備對象、支援語系和Windows 7支援度等基本評選項目外,還特別針對控管、審核、監看、管理等其他4大類比較條件來評估。例如控管類就包括了儲存裝置控管、硬體部分加密功能、HTTP上傳控管、FTP上下傳控管、離線控管、USB指定使用等項目。

控管能力中有另外一種特殊控管項目,例如使用者執行特定程式或瀏覽特定網頁時會執行的控管條件,包括檔案列印、網頁列印、使用鍵盤、滑鼠拖曳、剪貼簿等。另外,還有暫時開放控管類的規則,如瀏覽網頁、檔案列印、確認審核時的檔案內容等,這些都屬於審核這個大類下。

監看的評選條件則包括了記錄和警告,例如HTTP上傳操作記錄、FTP上傳下載操作記錄、PrintScreen記錄、管理者操作記錄、檔案寫出記錄、寫出資料的備份、軟硬體異動記錄等。

第三類評選條件是管理能力,包括要檢視軟體管理標準、遠端技術、報表功能、使用者管理、管理者管理等,例如管理者管理可採用指紋辨識系統來協助。

本鄉曉彥表示,評選重點是這套資安軟體必須能涵蓋所有可能外洩管道,當事件發生時能找出洩密管道所在,另外還能兼顧原有網路和資訊流通的順暢度。

NTT Data Security資訊安全顧問本鄉曉彥建議,企業每一個人都必須了解個資法的內容,IT部門則要清楚每一種可能外洩個資的管道。

歸納NTT Data經驗,本鄉曉彥認為,企業要讓每一個人了解個資法的內容,例如日本個資法規定,企業擁有五千筆以上的個資,才列入管轄範圍。但其實,該法所謂的一筆個資,小至一名員工的ID、名字、卡號,或是公司與一名客戶的交易資料都可視為一筆個資,導致許多中小企業受到管轄卻不自知。所以,本鄉曉彥認為,企業必須掌握公司內部的個資狀況,並且要評估是否違反法規。

對IT部門而言,本鄉曉彥也提出幾項建議,首先,IT人員要確認企業總共擁有多少個資筆數,再逐一評估每筆個資的價值,進行分類管理。再者,分析可能的洩密管道,訂定防範措施以及發生洩密後的因應方針。接著是導入符合公司需求的資安系統,落實資安作業流程和系統維護工作。

本鄉曉彥特別提醒臺灣IT人員,個資法剛開始施行時,很可能一再地反覆修法,IT部門必須具備應變更動的彈性,才能隨時依現行法調整作業流程。文⊙鄭逸寧



看大圖

熱門新聞

Advertisement