2011年5月20日 星期五

從個資法的觀點,建立電子郵件的防護與稽核

  作者:網擎資訊軟體股份有限公司 發表於2011/5/17 下午 05:09:19


新版「個人資料保護法」( 原名「電腦處理個人資料保護法」),於民國99 年4 月27 日正式於立法院三讀通過,此將對許多企業產生重大影響的隱私資料保護法案,由於詳盡規範個人資料蒐集與處理程序,企業不但開始肩負使用個人資料時的通知義務,若未盡完善告知或者使用過程上有瑕疵,也會面臨個資外洩的資安風險。在企業紛紛飛向雲端,該如何同時因應個資法推動時,所產生的資訊安全問題?

根據 Forrester Research 調查報告 35% 的企業懷疑員工會透過電子郵件洩漏機密資料,其中外寄郵件中有高達25% 的信件帶有財務或法律性的管理風險。Ponemon Institute 研究報告指出,企業主要的資料外洩媒體,第二、三名分別為公司電子郵件與網際網路電子郵件。對企業或組織而言,應先定義清楚機敏個資的類別與範圍,但目前這一段定義,仍須等待法務部頒佈實行細則,以及各目的事業主管機關的設備範圍為主,例如金融單位就必須根據金管會定義的規範。

但就目前個人資料保護法通過後,已經對個人資料有清楚的定義,凡足以辨識個人的資訊皆可成定義為個人資料。例如電話號碼、信用卡號、身份證字號…等,因此企業必須回頭審視手邊擁有的個人資料,是否由當事人提供或間接蒐集而來,而這些個資使用目的已經變更與否等狀態都攸關企業未來在使用這些個資時,是否必須再取得當事人同意。

因此,企業面對個人資料保護,除了持續觀察相關法務部公開的執行細則外,另外可以參考法務部提供的「機關調查內部單位持有個人資料情形之示範表格」去盤點企業目前所擁有的個資種類、數量、形式和位置等,此稱為個資盤點,也是企業進行個人資料外洩風險防範的第一步,作法可參考「法務部99年度個人資料保護法種子教師訓練研習會教材(2010.04.26)」裡的某縣政府的個資盤點紀錄表。如下圖所示

 

建立安全的郵件防護機制 : 個資攔截、郵件加密

電子郵件在使用上,需要擔心的問題是垃圾郵件威脅,如員工不小心點選夾帶木馬的釣魚信件,而帳號密碼不幸遭破解的情況下,那麼郵件就可能遭大量的「合法」盜發,因此企業要先確定現有郵件過濾系統,是否足以面對日新月異的威脅,此外可否針對外寄信件進行內容的查核,將可疑或隱含個資的郵件,在信件對外寄出時,能夠確保在外洩第一時間就被發現。Openfind MailGates 郵件防護系統,除了具備垃圾郵件過濾與郵件稽核功能外,更可以針對郵件提供ZIP 加密與檔案保全的功能, 郵件附檔加密保全,可使寄出的郵件附檔具備以下控管能力:
.提供密文保護,且禁止複製貼上、列印、抓圖、另存新檔
.可限制文件檔案開啟次數、開啟有效期限
.可限制使用特定軟體開啟
遠端紀錄檔案開啟者IP、時間和檔名

 【MailGates 外寄郵件進行個資稽核攔截】

導入郵件歸檔,落實法規遵循

法規遵循下要能夠在個資問題發生時,提出對公司有利的證明,而目前在執行細則尚未明確前,除明顯的廣告信可以不需要歸檔外,建議所有信件均需進行歸檔,如果有系統與空間的考量,可以從直接掌握個資的單位(例如人事部、業務部、行銷部) 優先進行郵件的保存。

企業組織的郵件,從流量可以區分內部信、外部信、內對內,Openfind 針對有郵件保存必要的單位,提供MailBase 郵件歸檔系統,內建搜尋引擎,可以立即對所有信件進行歸檔與調閱。如果有尚未進行歸檔的歷史封存郵件(例如PST、NSF)檔案,提供匯入功能,將機敏郵件統一保存。

 【MailBase 主動掃描已歸檔的機敏郵件】

對於企業而言,這些個人資料盤點,是最花時間也最耗費人力的關卡。而電子郵件是組織主要內外溝通的工具,但多數郵件管理政策,為了降低系統負擔與存取空間,多半是不會將電子郵件長時間留存在伺服器上,而由員工自行以工具軟體(例如Outlook)收信留存在個人電腦上,因此如果要進行電子郵件資盤點,雖然會由不同屬性單位自行盤點,但最後盤點結果與機敏個資的處理,勢必會由資訊部門統籌規劃。因此對資安人員來說,如何快速的將機敏的電子郵件納入保護,以及建立歸檔留存的機制,會是面臨個資法重要的議題。

參考來源: 法務部法律資源,個人資料保護法http://www.moj.gov.tw/lp.asp?CtNode=28007&CtUnit=805&BaseDSD=7&mp=001

沒有留言:

張貼留言

追蹤者