新版個資法對於企業蒐集、處理、利用、停止利用以及刪除個人資料之歷程,不僅都有嚴格規範,而且制定嚴厲罰則,對企業肯定是巨大挑戰。
眾所矚目的新版個人資料保護法,總算在今年10月1日正式施行。就條文來看,新版個資法對於企業蒐集、處理、利用、停止利用以及刪除個人資料之歷程,不僅都有嚴格規範,而且制定嚴厲罰則,對企業肯定是巨大挑戰。
按理說,企業一路「觀望」了兩年多,早該基於個資防護做好充分準備;但實則不然,特別是中小企業,迄今仍有許多人還抱持觀望態度,他們寧可「賭」自己不會這麼倒楣,凡事等到第一個違法判例成立再說。
持平而論,這些毫無動靜的企業,未必不遵循法規,說穿了就是因為「無所適從」。以往國人保護個資觀念堪稱薄弱,對於個資的蒐集與使用,總認為理所當然、無傷大雅,如今面對千頭萬緒的法條,還真不知該如何下手;再者,幾乎所有資訊安全廠商,都說自家產品可以防護個資,而且個個要價不菲,企業無力消化繁複的產品資訊,更難以負擔高昂的購置成本,所以索性按兵不動。
這群企業的苦衷,固然情有可原,但世事難測,面對最高可達兩億元的賠償金額,更是不可承受之重,因此絕不宜兩手空空賭運氣。企業必須先有一個觀念,要100%杜絕個資外洩,那是不可能的,但最起碼需要盡到良善保管的責任,所以當務之急,即是趕緊從法律條文中找出關鍵點,再配合資訊技術加以落實,才是明哲保身之道。
最值得企業謹記在心的法律關鍵點為何?無非就是設備安全、資料安全稽核、使用資料的軌跡記錄,為了迎合這些關鍵需求,企業必須做到三件事。第一,建立內容過濾機制,針對所有從PC或伺服器等設備向外傳送的資料,逐一加以監控,辨識其內容是否挾帶個資;不可諱言,傳送個資的行為,有些是出自商業行為,未必個個都是蓄意外洩,但倘若個資數量達到一定筆數,或即將觸及企業的規範底線,就需要加以警示、甚至攔阻,一來可以提醒無心人,二來更可遏阻有心人。
第二,善加控管E-mail、FTP、隨身碟、外接式硬碟、光碟片或印表機等所有資料管道,哪些資料可以讀取,不允許儲存,乃至於USB等裝置的失效與否,皆需施以嚴格規範。第三,所有關於個資存取的軌跡記錄、甚至是E-mail附加檔案,都應該予以保存並備份,以便於日後搜尋與檢索之用,而這些素材,都是未來對薄公堂之際,可能派用上場的呈堂證供。
如何做好這三件事?對於大型企業,多已因應智財權保護而導入專業級DLP解決方案,一併滿足個資防護需求並不困難;至於中小企業,所幸市場上已出現簡易版DLP工具,可以透過個資模組的型態,與既有防毒系統結合,不僅沿用相同介面,且部署程序十分簡易,可謂輕鬆易做的解決之道。
@原文出處:網管人
看更多本系列文章:
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)
會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)