個資法上路一週年,企業因應做足了嗎?
個資法正式上路已屆滿一年,各產業目的事業主管機關目前也持續頒佈行政命令,要求所屬企業,應儘速完成個資管理與安全維護規範。目前實務上,雖然包括法務部在內的主管機關已經辦理了多場的個資法說明會且成立了網站專區來公告相關的管理規範與標準,但各企業的因應不一,充分反應台灣的企業文化,目前仍是由企業主的個人心態來決定遵法的程度與資源投入的比例。
目前在實務上,採用資安設備與工具來強化個資安全的企業,約略有以下幾種作法:
1. 保守型:利用既有的資安設備達到基本個資安全防護的效果
目前最常見的方式,是採用電子郵件稽核產品,來主動偵測個資外洩事件。一般50人以上的企業,電子郵件稽核產品是基本設施,所以利用這類基礎資安設備進行個資安全防護成為企業的優先選擇方案。以中華數位的電子郵件Mail SQR Expert為例,其內建個資檔案的辨識技術,可以主動偵測個資檔案並進行攔阻,大幅降低個資外洩事件。
而使用網路內容第七層安控設備也是許多MIS的選擇,因為部署簡易且可立刻提供個資檔案的外洩風險報表,是企業舉證善盡良善管理責任的簡易作法。通常企業網路除了UTM設備外,最常建置的就算是網路內容安控設備,而採用此類設備以達到個資安全防護,是具有高度設備成本效益的作法。以中華數位ContentSQR 為例,可針對常見的網路協定進行內容分析,且定時提供MIS管理者個資稽核報表,有效進行個資安全的稽查作業。
2. 積極型:編列預算新購產品來主動降低個資外洩風險
部分企業有較充裕的預算,則會另編列新預算採購個資安全防護產品。而加密工具仍是近年來最熱門的選項之一,因為一旦採用檔案加密工具,就可以大幅避免駭客入侵、非授權員工竊取等等的主要外洩風險。以中華數位DataSeal Endpoint 加密工具而例,主要目的就是要協助企業內部處理有關個資檔案的加密與安控,妥善協助各類個資檔案的保護。
除了加密工具外,目前討論與詢問度最高的仍以『監控設備』為主,包括如PC主機監控、Server 監控、Log 監控、資料庫監控等,主要目的是要留下個資存取與操作的紀錄,以善盡管理責任。這部分就會因企業內部架構與管理文化不同,而選擇不同的作法以強化監控。以中華數位代理的Alog 工具為例,主要是對Windows檔案伺服器、資料庫伺服器(MS-SQL 、Oracle)及資料儲存設備(Windows Storage 、 NetAPP 、EMC..)的使用行為進行稽核,內建多款實用的稽核設定範本,可以針對個資相關事件設定,定時派送報表及警示通知,以達主動稽核的個資安控效果。
除了安控設備外,依照個資法施行細則規定的安全維護事項,企業仍有些管理程序上應盡的責任,包括成立個資管理組織、進行個資盤點與風險評估、辦理訓練課程、建立個資處理表單與程序等等。
企業目前的因應約略有以下幾種方式:
1. 嚴謹型:
企業主比較認同個資法的精神,期望能建立起一套內部的個資隱私管理制度,包括內部員工個資或外部客戶個資均為保護重點。此類企業如果預算充足,會尋求專業顧問團隊進行管理制度的建置,以中華數位企業資料保護研究小組為例,主要就是協助客戶建置符合個資法要求的個資管理制度。而如果企業預算不充足,最少也會委託一位專業的個資法律師或管理顧問進行諮詢,來改善企業的個資管理程序,並建立基本的程序文件與個資表單。
2. 觀望型:
此類企業仍佔大多數,一般僅辦理『教育訓練』,且可能連最基本的個資同意(告知)書、個資調閱單、個資委外保密協定都沒有做,所以個資的安控基本上並沒有依據個資法的精神進行強化,這類型企業的管理文化一般較為寬鬆。目前仍取決於主管機關的管理強度,來推動企業的遵法意識。目前如公平會、勞委會、內政部(針對不動產經紀業)等都已明確的公告所屬產業應當辦理個資檔案安全維護計畫,但是目前仍有許多企業抱持觀望態度,只要主管機關不主動查核,企業仍是不為所動,這樣的現況仍待主管機關來強化管理。
目前針對主管機關提出的個資檔案安全維護計畫製作需求,中華數位所屬的個資顧問團隊目前也在社團法人中華人力資源管理協會定期開班,提供一套基本課程,並包含個資同意書、程序表單以及安全計畫製作等內容,非常適合企業的管理、人資或資訊人員參加,目標是以在企業內部建置一套基礎的個資管理流程為主。課程資訊請參閱:http://www.chrma.net/class_1.php?id=1575
中華數位企業資料保護研究小組,搭配益思科技法律事務所提供一站式服務,協助企業因應「個資法規遵循」、「營業秘密保護」,提供企業涵蓋法律、管理程序、資訊安全的完整解決方案。請上中華數位個資專區,內有更多專業文章提供企業參考:http://www.softnext.com.tw/pim/index.html
※關於中華數位「企業資料保護研究小組」:
中華數位以其專業顧問諮詢經驗結合專業法律事務所,提供企業一站式的顧問服務:
- 企業個資法規遵循服務
- 企業營業秘密制度輔導服務
- 資料外洩事件調查與諮詢服務
- 觀念講座與訓練課程
- 資料安全防護系統規劃(含工具導入)
了解更多產品與服務,請洽02-25422526或上中華數位科技官方網站查詢http://www.softnext-inc.com/