新版個資法確定於10月份上路,法規遵循與訴訟舉證是企業要面對的新議題與挑戰。企業部署郵件稽核,能有效避免個資因電郵管道不當外洩並可事後提出舉證資料。就個資法上來說,除了恪盡「善良管理人之責」,並且落實企業端「具備舉證的能力」,同時亦可證明「已採行適當之安全措施」。
除法規遵循因應外,一般業界實施郵件稽核整體需求面可分為兩大類型:
·Regular compliance(做好法規遵循-企業責任準則)
如個資法、SOX、Basel、FRCP、PCI與HIPPA,皆是要求在商業營運中保護、追蹤及控制或事後舉證所有機密敏感的資訊。
·避免機敏資料或智財外洩或因應相關訴訟舉證所需
包括監控組織與外部客戶與供應商間通訊行為與機敏內容、避免機敏資料或智財(Intellectual Property)透過郵件管道外洩、確保與客戶/供應商/外包商間通訊符合競業條款、特定通訊對象或內容信件自動加密、規範組織與單位符合整體通訊行為政策、避免不當言論外洩、特定單位或人員監控等等。
前稽核與後稽核
完整的郵件稽核應分為「郵件前稽核」與「郵件後稽核」。郵件前稽核(Email Pre-Audit)指的是即時資料稽核,以確保內部機敏資料外洩與事前預警機制。系統可針對企業內送或外寄信件設定郵件稽核管理規則,而符合稽核條件的郵件,將觸發規則而遭攔截留置在待審區或是觸發相關審查通知流程,以達到機敏資料或個資不外洩。
稽核處理動作需支援郵件審核,除依組織成立主管審核區外,同時還提供符合條件滯留、退信、通知管理員、Bcc主管或直接傳送,上標籤且相關信件可以做歸檔或監控通知寄送,以符合法規所規範的資料安全性準則。
|
▲完整的郵件稽核策略應考量前稽核與後稽核。 |
至於郵件後稽核(Email Post-Audit)則是針對歸檔郵件資料的稽核,提供日常稽查或事後追查可疑的事件及人員。主要提供完整歸檔企業郵件,包含外對內、內對外、內對內(Local to Local,IN-OUT)等流向的信件。並透過相關搜尋引擎技術提供巨量資料的快速搜尋調閱(Search over BIG DATA)與郵件生命週期管理(Email Life cycle Management)的規劃並結合相關後稽核引擎(Proactive Audit Engine)提供歸檔信件,依企業所需查核政策提供自動稽核機制與敏感資料內容感知偵測以符合長時間的稽核舉證需求與舉證時限內的規範。
另外,對於稽核人員也需提供快速搜尋功能,包含郵件各種欄位與相關附件的內文全文檢索,調閱符合稽核條件的信件,選擇進行重送、下載、轉寄、轉寄鏈結、轉寄為附件或上標籤或稽核註記等,並提供稽核報表與佐證信件的輸出。
如何評估與選擇郵件稽核系統
個人資料屬於企業機敏資料一環,亦是企業寶貴資產,綜觀目前電郵稽核技術,根據輔導經驗發現有兩大基本問題值得企業在導入前實作,並且確實地評估。在事前稽核方面,企業內部的機敏資料若已包含個資,是否能被有效地偵測攔截?而在事後稽核部分,同樣遇到企業內部機敏資料已包含個資的情況下,是否能夠有效地探勘舉證?
技術的良莠與否,取決於該攔截的機敏資料是否可以正確攔截。而機敏可疑信件是否於事後可以探勘舉證,也相當重要。例如企業若導入歸檔(Archiving)系統,但卻事後無法調閱含有個資的信件、含有程式碼的信件或是由業務部門外寄郵件含部門敏感關鍵字附件,卻沒有任何機制知會主管,甚至察覺寄往競爭對手們相關網域的信件有哪些時,那麼該系統的導入就毫無實質上的意義。
|
▲Journal-based Mail Archiving與郵件後稽核引擎 |
我們認為,能夠符合法規遵循需求的中文化個資掃描引擎必須能針對郵件流中的中文姓名識別、全國各縣市地址,另外還支援身分證號碼、信用卡號、護照號、市話、手機號碼及電子郵件位址或其他客製證號的個資偵測,確保各類個資組合都能精確掃描偵測。
功能面上,須包括個資或機敏資料偵測、支援雜訊、容錯、模糊比對、部分比對等進階比對功能,且可依自定義規格定義相關個資風險資料偵測規則,可以是身分證、信用卡、護照、病歷或相關客製證號(保單號)等,甚至自訂個資組合或證號pattern(如以出現n次來自訂風險等級),並可輸出相關個資掃描與風險分析相關報表,以提供糾舉、提報、改善、舉證等相關用途。
那麼該如何選擇適用的電子郵件稽核產品?以下是一些經驗分享:
·只有關鍵字與正規表示式比對的方法無法滿足稽核實務
·資料集(巨量關鍵字或巨量文字pattern)如何比對
·是否具有資料集(辭典檔權重)比對引擎技術(Multi-Pattern-Matching,MPM)
·最簡單的方法是直接舉稽核的政策,進行實際產品POC驗測
·產品是否提供最佳的稽核比對技術,效率與易於維運的稽核政策管理方式
·歸檔產品是否提供自動化稽核或舉證探勘的工具或引擎
實務上,建議使用單位應以實際應用案例(Real Audit Scenario)去定義一些Policy進行稽核結果驗測,而非只測試局部產品規格功能,將會比較符合企業實務稽核上的需求。另外,參考一些業者的輔導案例也是一個不錯的作法。
(本文作者現任綠色運算副總經理)