個人資料可以存在紙本文件、資訊系統或是各式各樣的電子檔案中。這些內含個資的紙本文件可集中放置於固定地點,透過既定的流程以及措施來控管,但是資訊系統或是電子檔案原本就散布於各式各樣的承載設備中,也因此這些設備中會有個資存在,所以這些設備也就必須嚴加看管才能避免個資外洩。

常見用來存放電子檔案或是系統的設備,包括了桌上型電腦、筆記型電腦、伺服器、儲存系統或是機櫃等。不管是何種設備,只要有儲存個資的設備,對企業來說就有風險,也就需要納入管理。在個資法實施後,這些設備的安全問題也就更重要了。

個資法施行細則第12條明定的11項安全措施中就有一項是針對設備的管控所訂定的,這就是第8項「設備安全管理」。

設備管理政策要清楚,並充分告知員工

企業管理高層應依據企業的個資政策、業務流程以及經費來制定完善的設備管理政策,明確規範員工日常作業用的電腦該由公司配發或是鼓勵員工攜帶自有的設備;資料庫、伺服器、機房以及任何存放有電子檔案形式的設備該如何採取哪些防護措施,這些都必須訂定清楚的管理制度,並透過教育訓練或是公告的方式讓員工們充分了解這些管理政策。

目前多數企業仍提供員工專用的電腦,企業在配發電腦前,應統一由MIS網管設定專用的帳密及存取權限,安裝好防毒軟體、防火牆、備份軟體、資料加密軟體及其他資安軟體,網路僅開放連接內網及允許的網站,企業要嚴格控管可攜式裝置(USB、隨身硬碟、筆記型電腦、行動裝置等),甚至可規定這些專用電腦僅可在公司內部使用,不能帶回家。

BYOD的3大管控措施

不過,近年來,由於行動裝置越來越普及,幾乎人人都有智慧型手機或是平板電腦,攜帶私人設備上班(Bring Your Own Device,BYOD)的議題也逐漸受到重視。也就是說,端點設備的安全管理又面臨了新的挑戰,企業也必須用新思維來規畫管控作法。

企業若沒有提供專用電腦,而是開放員工自帶設備上班,就必須更加強這些行動裝置的管控。

常見的端點設備管理作法像是企業可限定員工可用的App清單,員工僅能使用這些App來存取公司內部系統的資料及服務,若有行動裝置遺失的話,即可透過遠端存取技術刪除相關的App。目前臺灣萊雅(L'Oreal)即採用此作法。

另外也有不少企業導入桌面虛擬化方案,統一由系統來派送員工使用的虛擬桌面環境,也就是說,員工僅能使用虛擬桌面上提供的應用程式;此外,有的企業也會打造自己的雲端服務,讓員工透過行動裝置存取,這樣企業就可統一管理員工可使用的資料內容。目前這三種措施是較為常見的。

機房儲存個資最多,要嚴加控管

而在資料庫管控方面,企業多數會採取存取權限的分級,只允許特定員工存取或使用新增、修改及刪除等功能,並且要安裝稽核軟體,可追蹤資料庫的Log軌跡檔案來了解資料庫每日存取狀況,日後若有訴訟,Log檔會是舉證時的一大幫助。

資料庫需安裝在伺服器中,而伺服器通常都設置於機房內,所以機房會是存放最多個資的地方,也因此更需要具備機房門禁、監視錄影、環境監控、電力系統、空調系統、資訊設備攜出入管理、不斷電系統UPS、消防設備、漏水監控等機制。

此外,在BS 10012英國個資保護標準中的4.13條款即依據安全控制措施、儲存與裝置、傳輸、存取控制措施等議題,明定了詳盡的管理規範,企業可參考借鏡。企業的設備安全管理政策在不妨礙員工作業的前提下,執行的越徹底,就會能降低發生個資事故的機率。

 個資法安全維護措施8:設備安全管理 

1. 凡是可儲存個資的設備,不論是固定設備或行動設備都要納入制度管理

2. 設備管理政策要充分告知員工

3. 存放大量個資的資料庫及機房要嚴加控管

4. 開放員工自帶設備上班要強化端點控管

5. 可參考BS 10012英國個資保護標準4.13.2、4.13.3、4.13.4條款

資料來源:iThome整理,2012年10月

相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」

熱門新聞

Advertisement