隨著科技發展日新月異、網路普及化,個人資料在未被告知的情況下遭外洩及盜賣,並被非法使用的頻率與數量,有節節升高的趨勢,造成當事人的困擾與損害,但礙於原有法令的不完整,受害人常常求助無門,為了維護個人資料、防範個資外洩衍生之犯罪行為。
個人資料保護法已於2012年10月1號上路,進日來的種種個資被公怖的報導顯示出,企業與政府並未完全的準備好。
企業面對個資法時代的來臨,因應方式不外乎對個資法條文的認知宣導及教育、個人資料檔案的清查盤點、建立適當的安控管理和稽核機制、管理和稽核流程的不斷改善等,以符合個資法要求,達到事前防範、事後減少損害與訴訟的目的。
個資法施行細則條文中明列必須要有「適當安全維護措施」,也因此企業對建置文件安控的需求與意識開始抬頭。有鑑於此,有媒體針對個資保護議題做了一項調查,發現在許多企業資訊主管的心中,最有可能造成個資外洩的對象,不是從外部做惡意竊取的駭客,反而是內部的員工,因此在做個資防護與控管的規劃導入時,能夠防止內部資料外洩的DLP系統就一躍成為主管們的第一優先考量。
文件保護與權限控管需兼顧
為了滿足企業對文件保護與控管的需求,必須結合兩大技術,分別為加密技術和DRM技術。加密採用RSA, AES對稱金鑰和非對稱金鑰加密技術混合運用的方式,將需要保護的文件加密起來,被准予的使用者才可以開啟加密文件,不相關的使用者則無法開啟加密文件;再使用DRM(Digital Rights Management)技術去針對每份文件可以做到不同使用者分別授與不同使用權限,權限可細分為讀、印、存、寫、截圖和閱讀期間等,透過不同權限的授與,讓有權利對資料內容做處理運用的使用者,獲得較大的操作權限。
分層管理,下放權限
部門文件多,管理者為了文件的控管與權限疲於應付,一套好的文件安控系統,在管理上也必須要有一定的彈性與便於控管的機制。系統中有一個最高權限的管理者,可將最高管理者的權限下放給各部門主管,讓他們去當所屬部門的管理者,分擔最高管理者的責任,另一方面,由於對其部門較為熟悉,更清楚要如何制定和管理文件政策、要授權多大權限給其下使用者、並可即時稽核文件使用狀況,達到分層管理的目的。
對於文件政策的防患未然與亡羊補牢可同時進行
每份加密文件都有一份專屬的文件政策,記錄可以開啟這份文件的使用者,以及開啟後的操作權限。當發現使用者試圖或有可能做洩密的行為時,管理者可隨時回收或更改權限,降低資料外洩造成的損害。
完整事件記錄,提供稽核查詢
個資法施行細則第12 條中,要求把個資文件的使用紀錄、軌跡資料進行保存。這個步驟,首先可以確保所有的個資控管環節之落實,其次也能做到個資文件流向的事後舉證,在萬一意外發生時得以進行自保。
另外,不管是管理者或是使用者,在系統上從登入、登出到使用文件的操作行為,包括不合法的使用狀況,以及對文件政策的修改,都會被詳細的記錄下來,提供企業做為稽核的依據,也可以用來過濾不安全的使用者,立即採取必要措施,倘若發生資料外洩,亦能透過事件記錄在最短時間找出原因和對象。
