個資法在今年10月1日正式上路,企業為了因應個資法,而採取相對應的安全維護措施。不過,面對這樣的法規遵循,但沒有詳細的步驟、方法可供參考、借鑑,因此,仍有許多企業感到無所適從。

特別是在界定個人資料之範圍方面,也就是所謂的個資盤點,這是執行個資安全維護第一階段的重要動作,如果不清楚個資的風險範圍,如何能做到個資的安全防護?根據iThome 2012的個資法大調查中,5000大企業中仍有47.6%的企業,未完成個資盤點的動作。以個資法已經正式上路近一個月的現在來說,這樣的數字,相當驚人。

在所有個資盤點的面向中,企業員工電腦中的檔案,是分布範圍較廣泛。以現在的資訊化辦公環境來看,公司擁有數量龐大的個人電腦主機與筆記型電腦,要盤點這些分散在員工電腦內的個資檔案,對許多管理、稽核人員來說,相當麻煩。

個資盤點的實際執行,其實比你想得還要複雜
要做好個資盤點,可依照企業的業務流程進行清點與分類,以清楚掌握不同部門、各職權員工可以擁有的個資清單,接下來,再針對員工企業電腦進行清查,以確實管控個資風險範圍。

只是,要找出員工電腦中的個資檔案,其實是一項大工程,許多企業可能會低估個資盤點的複雜性。舉例來說,要部門員工自行清查電腦中的個資檔案,在執行上有相當的難度,首先需要讓各員工對於個資有充分的觀念與認知,才能讓盤點結果符合要求,而且,有些檔案存放時間過久,員工很可能忘記這些個資檔案的存放位置。若要稽核人員逐臺電腦清查,光是一臺電腦,要從成千上萬個資料夾、檔案名稱來做初步判斷,再將各檔案逐一開啟檢視內容,已確保帶有個資內容的檔案不被遺漏,需要花費的時間相當難以估計。

因應這樣的需求,有廠商推出個資盤點的輔助工具,可以幫助企業快速掃描整臺電腦,掌握個資檔案範圍。像是鈊保推出的「單機版個人資料檢測工具」,以及網擎推出的P-Marker Cloud個資盤點工具。

其實,針對員工電腦的個資盤點問題,企業也可以利用既有的DLP設備,像是RSA、Symantec、Websense與趨勢推出的資料外洩防護(DLP)產品,不僅防禦資料外洩,也有提供檔案的個資盤點功能,針對各臺員工電腦中的檔案加以清查。只是,要選擇這類產品,企業最好同時連帶有DLP產品的需求,而專屬的個資盤點工具,雖然功能單一,但也能夠彈性地補足企業所需。

已有廠商提供本機端的專屬個資盤點工具軟體
基本上,一般作業系統所內建的搜尋功能,並無法針對完整檔案內容及個資規則做判斷。而這類單機個資檢測工具,可以幫助企業快速掃描本機端電腦內的個資檔案,包括微軟Office文件(Word、Excel、PowerPoint)、PDF、CSV、TXT等常用檔案類型,是否包含個資內容,像是手機、市話、地址、電子郵件等個資類型。

接下來,企業便可以利用這些工具所產生的報表清單,以分析使用者電腦中檔案內的個資,並統計包含個資檔案的數量,並依檔案內的個資內容出現次數,區分不同風險等級,讓稽核人員可以快速瞭解目前員工電腦所隱含的個資風險程度。同時,建立個資清冊供稽核之用。

此外,管理稽核人員也可藉由詳細的報表資料,輔以人工作判斷、比對,檢視該員工是否在業務流程上需要該份資料,並進行後續的個資處理或刪除動作,補強個資控管缺口。

一般來說,所檢測的個資檔案類型與個資類別越多,表示企業進行個資盤點的流程拆解得越細緻,也就更不容易遺漏相關個資風險。目前來說,這類本機端的個資檢測工具,可以快速檢測各臺電腦的個資內容,並能針對電腦中的常用檔案格式,以及主要的個資類型做判斷。

瞭解個資盤點工具的檢測能力,以評估適用性
值得注意的是,目前鈊保與網擎提供的這兩項工具,有不同的設計之處。像是鈊保的單機版個資檢測工具商用版2.6.1,使用時需連上驗證主機,盤點結果會在本機產生PDF檔,或是透過電子郵件寄送至管理者電子信箱。而網擎P-Marker Cloud 1.1.1.4,在使用端電腦執行搜尋盤點後,結果將經過加密與遮罩處理傳送回主控端伺服器,企業管理者可直接透過網頁介面查詢盤點結果,或是將盤點報表下載存成可被Excel開啟的XLSM檔案格式。

在檔案類型上,這兩款工具都能針對微軟Office文件、PDF、TXT,以及常見的壓縮、網頁格式進行清查。不同之處在於,鈊保的檢測工具可以額外針對Access的ACCDB與MDB資料庫檔案格式,以及更多種網頁檔案格式進行內容掃描。

而網擎檢測工具則可以包含Open Office的文件格式,並能檢測5層以內的壓縮檔,且個資盤點記錄下來的內容,也會加以遮罩。

在掃描能力方面,這兩款工具都能針對臺灣電話、手機、地址、信用卡與電子郵件加以識別,而網擎P-Marker Cloud更能夠針對中文姓名加以判別,相當特別。此外,在掃描準確度上,網擎的產品具有相當不錯的即時規則檢視能力,像是檢視身分證字號規格、信用卡規則,以及各種常見電話號碼的格式內容,因此,誤判情形不多;而鈊保的產品在數字字串的檢視規則較不足,因此會將不符身分證字號規則的字串判別為身分證字號,電話號碼與信用卡號也有出現混淆的問題,在比對資料時,管理者會比較辛苦。

在報表產生方面,網擎的盤點結果報表功能較為完整,管理者可以針對本身的需求建立報表,下載後的內容也很容易再利用,使用者可將處置動作記錄在報表中,供後續存證、比對之用。相較之下,鈊保的盤點結果報表的功能較為簡單,後續使用的彈性也較低。

而在盤點速度上,鈊保檢測工具的掃描速度快,而且,單次掃描成本較便宜。若企業打算使用者每年針對各臺電腦設備盤點多次,鈊保單機版個資檢測工具的收費方式顯然較為便宜,雖然每使用者的軟體授權為1千元,但可無限次數的在本機上執行,而網擎P-Marker Cloud的每次盤點費用為680元。

綜合來說,在個資盤點方面,企業管理稽核人員,可以利用這樣的工具,加速員工電腦的個資盤點流程。同時,我們也希望未來這類產品的發展能更成熟,像是掃描速度可以再提升,縮短盤點所需時間;若企業每年進行多次盤點,如何有效比對多份報表的差異,也是導入的企業或組織會考量的部分,未來若能增加自動內容比對機制,使用上會更便利。

最後,使用者還要注意的是,你無法使用單一工具進行絕對完整的本機端個資盤點,像是電子郵件應用程式中的個資內容,就需要搭配其他的檢測工具。
除了檔案與電子郵件,後端的資料庫、郵件伺服器也是企業所關心的一環。盤點後的個資檔案,要如何進一步去有效管控、執行與記錄,將是企業盤點完成後所面臨的新考驗。

不過,以目前這類型軟體來看,已經可以解決絕大多數企業在個資盤點階段的部分問題,有效快速掌握員工電腦中大量的個資檔案與內容,是企業在執行個資盤點時可以考慮的一種選擇。


相關報導請參考「個資檔案大清查:徹底比較兩款PC個資盤點工具」


熱門新聞

Advertisement