無論是個資保護主管機關、保管個資的公務或非公務機關、當事人及個資保護組織,相信沒有多少組織或當事人有100%信心說準備好了,因為要做的改變其實很多,其中如何做好個人資料跨單位交換便是組織面臨的一大議題。
在組織中被列為機敏資料的可能有:公務機關的國家機密(機密等級以上)及公務機密(密等),企業中的營業秘密、智慧財產、經營管理會議資訊,這些資料通常不會對外流通,除非是針對性的間諜行為或內部員工惡意外洩,然外洩其數量及流通性也相當有限,只要界定好保護範圍及佈建相關機制,相對容易掌握風險,反觀個人資料卻非如此,其乃內部員工與外部顧客進行業務活動的主要標的,會在內部部門、供應商、商務夥伴、金融機構及稅務機關間流動,尤其當跨單位或跨組織的資料交換成為執行業務的必要活動時,其所面臨的安全風險更是顯而易見。
談到資料交換,筆者個人的定義是,兩方或多方為正確及有效率處理彼此業務活動所產生的資料,以事先議定的資料交換格式及傳送、接收、儲存、處理、銷毀處理準則及安全維護等協議,以自動化或人工方式進行資料轉移及運用。資料交換簡單區分成電子與人工交換方式,隨著IT技術發展,人工交換方式已逐漸式微,取而代之的是自動化電子資料交換。
自1990年代以後internet service興起,E-mail/IM/P2P/web-base EDI/xml/Web 2.0等技術或應用,乃至2010年雲端/社群網路時代到來,電子資料交換的傳輸管道已經相對多元化且容易操作。現在一般業務部門員工已不需要MIS/IT部門的協助,便可自行完成企業資料交換,在便利性提高的同時,相對也增加安全風險及管理難度。
由於IT服務不一定能跟得上商業活動拓展的腳步,這也導致業務單位或個人為求便利,運用手持式裝置(含媒體)、行動+WiFi網路交換資料,隨著交換管道多元化,企業資料交換的安全風險也變得難以控管,許多組織縱使通過ISO27001認證,也會因認證或納入內稽的範圍僅限於IT或少數無關核心營運流程/單位,只要跨出此範圍,安全控管的效度立即直線下墜,然而,個人資料保護制度的範圍卻是個資到何處範圍就到何處,甚至因資料交換行為而擴及至商業夥伴及供應商(個人資料保護法第4條),IT人員很難有效管理,甚至可能產生無法預期的風險。
跨單位資料交換的安全機制如果要真正發揮作用,必須如同其他安全機制的規劃、實作,除了直接涉及在資料交換管道上的安全機制,如身分認證、加密及確保完整性的軟硬體設備等,尚有組織目標、企業文化、資源及等人員意識…等內部環境因素需要考量,以及個資法實施前後法規要求之差異、委託與被委託機關、駭客、當事人…等外部因素,這兩者形成一個eco-system,每個組織對個人資料交換需求、運用方式及面對威脅及弱點均不相同,必須在進行個資盤點及衝擊分析時進行風險分析,考量風險、成本及有效性。
建議用5W2H的方法,先用5W決定策略,再以2W從嚇阻型(罰則)、預防型(加密)、偵測型(log)、矯正型(稽核)、復原型(事件回應)等安全控制措施,搭配出適當的資料交換安全機制。再依PDCA流程,由個資保護小組、IT部門、稽核部門及各個資相關的BU,共同來研擬政策、作業SOP及有效性之KPI,再由IT部門將相關機制建構出來,並經教育訓練、作業宣導及稽核及持續改善,將安全的資料交換管理制度及機制導入。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6901
正新電腦 TEL : 04-2473-8309
沒有留言:
張貼留言