ZDNet記者曠文溱 /台北報導 2010/04/28 20:04:02
看待個資法三讀通過,資安業者呼籲企業用戶,要想不因為資料外洩而吃上官司,現在要做的第一個功課,就是內部全盤體檢。
賽門鐵克資深技術顧問莊添發今(28)日指出,個資法草案的三讀通過,將使得企業不得不開始行動。他指出,用戶必須要進行資料的資產管理:資料不是只在資庫而已,也會散落在員工的個人電腦。接下來要做的是監控機制,例如分析各個網路出口,檢查郵件內容,進行資料加密等。
「過去企業在做資安,著重的是防範駭客入侵,例如用防火牆阻擋。但是現在要做的是防水牆:如何預防資料流出去,」莊添發說。
微軟亞太區全球技術支援中心專案經理林宏嘉則表示,目前企業用戶在保護資料的機制上面,普遍的問題是沒有完整評估環境。舉例而言,企業可能根本不知道哪些資料應該要被保護,加密程度和存取權限不明。有自以為很安全的錯覺。
「企業必須重新審視資料所存在的環境,這是個很冗長的流程,」林宏嘉說。
他以先前高鐵員工的烏龍事件為例:員工將列印出來的事故通報單當做回收紙團購飲料,讓旅客的資料外洩。
「企業的內部管理更重要。不要以為買了產品就可以解決所有問題,」林宏嘉說。
前身為電腦處理個人資料保護法的個人資料保護法,在日昨三讀通過,擴大資料保護的範圍。其中增列補充的部分,也是和企業用戶在保護個資外洩攸關的,包括了第十二條:公務機關與非公務機關若致使個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。以及第五條:個人資料的蒐集、處理和利用,應尊重當事人之權益,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理的關連。
所謂的「處理」:指的就是紀錄、輸入、儲存、輸出、連結和內部傳送等。
看待目前企業的態度,林宏嘉指出,有些用戶在個資法通過前,因為個資外洩深受其害,已經及早準備,有些則還在觀望。