個資保護 首重流程與觀念

2011-03-05
隨著個資新法即將正式上路,企業主雖然都深知保護資料的重要性,卻仍有許多企業茫然地無從下手,不僅是因為市場上的資料外洩防護解決方案琳瑯滿目,也在於資料外洩防護還有許多前置作業與觀念必須建立。RSA,EMC信息安全事業部台灣分公司大中華區資深技術顧問黃惠美表示,企業在選擇導入資料保護解決方案之前,應先建立正確觀念並釐清企業內部流程,才能訂定出適用於企業需求並符合法規要求的資安防護機制。  

黃惠美表示,企業在因應個資法施行時將可能面臨的困擾主要包括被動的隱私權保護意識、個資法普遍被100%歸責給IT部門、企業無法確認法令遵循度、無法盤點企業擁有的客戶個人資料、無法確認含有個人資料的資訊系統角色權責與存取權責是否合適、難以瞭解個資法可能帶來的衝擊、不知如何有效管理以及難以提供善良管理證據等等。也因此,即使市場上各家廠商紛紛推出不同的資料保護解決方案,企業仍難以下手,即使採購也只能片段式的採用,而無法達到全面性的防護。  

這也是RSA在去年年底推出整合顧問服務(Consulting Service)的主要考量點,黃惠美建議企業首要工作應該是釐清最迫切的資安需求,再對症下藥部署相關資安解決方案,她進一步表示:「企業首先要利用無法被竄改的日誌管理工具備齊佐證資料,接著透過顧問服務與工具評估現有環境所存在的資安風險,同時定義出企業整體預防政策,並且針對較需補強的安全弱點部署相關解決方案,最後才是導入DLP產品。」  

資安驗證公司BSI也在去年發表企業因應個資保護需求時可執行的步驟,包括制定個資保護政策與設置專門組織作為因應管理、進行個資盤點分類與保護流程、訂定個資存取控管程序與方法、落實政策宣導與教育訓練、強化個資安全監控與檢視、提高個資外洩事件反應能力、重新審視與委外廠商的權利與義務、以及遵守法規並落實內稽機制。無論是RSA或是BSI所提供的步驟與建議,在在顯示企業因應個資法與資料防護需求時,光是導入建置資安產品是不夠的。  

黃惠美更直言表示,顧問服務的重點即在於替企業找出資料防護弱點,而非僅止於提供IT技術或如DLP產品部署,傳統資訊安全管理鑽研處理技術問題,而如今企業需要因應的範圍更廣,如政策管理與監控、風險與法規遵循等議題,皆須全面性地評估與分析企業內部流程與相關風險之後,才能透過IT基礎架構達到更完整的資安防護與控管,降低企業資料外洩之憂。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!