解讀個資保護黃金新標準GDPR:台灣企業如何保持領先?

2018.06.13
aruba
不論是為了達成什麼目標或完成什麼任務,當人員、流程與技術,這三者能夠合作無間,企業便能達到最佳營運狀態,而在維護資訊安全時更是如此。網路攻擊的目標性與日俱增,受害企業愈來愈多,攻擊愈來愈致命。加上行動網路、雲端與IoT的發展,讓這些攻擊更容易找到資安漏洞,進而滲透到網路內部。

有鑑於此,政府與產業的立法單位對企業的資安要求愈來愈廣泛,特別是在個資方面。歐洲最近制定了名為「歐盟通用資料保護規則」(General Data Protection Regulation, GDPR)的新個資法,這不僅是資料保護的黃金標準,同時還影響所有持有歐洲民眾個資的企業,無論企業位於何處都必須遵守。全球各地的政府也採用類似的策略,可見為資料隱私規範做好準備已成為全球企業共同的職責。

「歐盟通用資料保護規則」已於2018年5月25日生效。此法規已在歐盟引發一陣騷動及疑慮。隨著GDPR的相關資訊逐漸從大西洋傳遞至亞太地區,愈來愈多亞太企業開始正視這個問題。法規其中提到企業若未遵守GDPR而導致資料外洩,將面臨全球年營業額4%或2463萬美元,以較高者為準的巨額罰款。

雖然亞太區的企業已開始正視GDPR法規的執行,但從2017年4月的一項調查發現,包含新加坡、日本與南韓等地有半數以上的企業仍尚未完備因應作業 。台灣企業若業務涉及歐盟居民,亦屬 GDPR 的管制範圍內,建議企業審慎面對。

台灣企業如何確保公司符合 GDPR 規定

GDPR旨在改變全球企業對個資的處理方式 ,因此可能令企業戒慎恐懼。為了幫助企業保護客戶資料,同時符合GDPR法規規定,我們列出幾個重要議題與步驟:

1.評估漏洞風險

由於市面上沒有任何一樣資安產品或產品組合能百分之百預防漏洞,因此企業需要立刻展開GDPR合規性的準備工作,徹底稽核線上與線下活動的資料,評估其網站是否直接提供產品或服務給歐盟民眾。若在其中發現任何歐盟民眾的個資,企業必須編列足夠經費與人員,以制定完整的合規性計畫去確保個資漏洞的風險。

2.指派資料保護主管 (Data Protection Officer, DPO)

GDPR的重要規定之一是指派資料保護主管 (DPO)。凡是公務單位、核心業務涉及大量監控個人資料或大量處理敏感性個人資料的企業,都必須指派DPO。

DPO必須具備專業技術與能力,並參與資料保護議題。此職位是業務流程、IT系統、安全性部門的窗口,並需要具備GDPR知識,以確保企業的合規性。事實上,此法規強力要求DPO必須為獨立職位,並在企業中具有影響力。

3.優先制定持續防護資料的策略

GDPR規定,當資料外洩時,企業需要在72小時內通報。企業也需要制定圍堵與修正計畫,以利後續追蹤,避免遭到重罰。所幸現今已有最新的資安技術能在這個過程中協助企業。透過持續監控與進階攻擊偵測軟體,企業可以在短時間內整合與傳遞漏洞的重要資訊。

從去年的WannaCry與Petya攻擊事件可以看出,現在的攻擊手法複雜度愈來愈高,能輕易躲避傳統的安全防禦機制。台灣企業需要導入更高層級的監控解決方案,以彌補既有防禦機制的不足。例如透過原則管理解決方案,企業可以依角色設定允許IT資產的存取權限;並透過使用者及實體設備行為分析(UEBA) ,運用 AI 基礎的機器學習技術,主動偵測內部攻擊事件,預先防堵潛在的威脅,以達到降低企業資料外洩的風險。

綜合而言,當資料外洩不幸發生時,企業必須迅速掌握狀況與損害範圍,並制定圍堵與修正計畫;同時,還要以清楚、簡潔的方式傳遞相關資訊,以避免被重罰。在這流程中,DPO必須協助評估與管理漏洞通報的相關要求。網路正以飛快速度成長,IT系統又必須努力跟上其發展腳步,而安全問題永遠都存在,GDPR只是大規模解決這個問題的開端。更重要的是,我們必須體認,即使沒有GDPR,嚴格保護客戶與員工的資料仍是每個台灣企業應徹底履行的責任。

每日精選科技圈重要消息