觀點

個資盤點停看聽 要選人工還是系統?

2012 / 01 / 06
王銘賢
個資盤點停看聽  要選人工還是系統?

企業面對新版個資法的第一步就是個資盤點,唯有透過個資盤點,清楚發掘個資的所在,才能識別個人資料的擁有者、資料流、影響程度以及相關牽涉部門,然後擬定對應的解決方案來減少個資外洩和官司纏身的風險(圖1)。

1企業個資盤點與防護解決方案流程圖

 

 

 

資料來源:本文作者整理。

  

盤點方式比一比  用人工?還是自動化工具?

 

目前多數企業採取人工盤點的方式,透過人工逐一找出個人資料產生的流程,界定出該保護資料的範圍與手段。人工盤點最大優點就是成本低,利用企業自身的員工進行盤點,不需要額外的花費,但也隱含了以下四個問題值得深思。

1. 人工盤點會忽略非正常流程下取得的個資,例如:員工在公司業績誘因下,透過其他方式取得的個資,就無法透過人工盤點找到;

2. 人工盤點依據作業流程進行盤點,而非根據系統層面,在組織作業流程與架構不斷變化的情況下,很可能將資料遺留在某個電子檔案(file)或是資料庫 (database)中無人查覺,這些資料都有可能包含個人資料;

3. 人工盤點要透過『人』來進行,牽扯到人就會有執行力的問題。要是員工雙手一攤說電腦裡沒有個資,那麼無論是多麼完整的個資盤點表、多麼厲害的顧問都無用武之處;

4. 人工盤點曠日廢時,越是大規模的企業就必須耗費更多時間,往往一耗就是1~2個月的時間。

 

而人工盤點的問題,恰巧就是自動化盤點工具的競爭優勢。自動化盤點工具指的是透過系統自動掃描企業內部所有檔案,並查出哪些檔案含有個人資料,其特色為快速,大約1~2天就可以完成個資盤點,而且還能跨越依據作業流程盤點個資的藩籬,清楚找出企業所擁有的個資、消除人為執行的不客觀因素,至於缺點則是成本較高,企業必須額外花錢採購系統。

 

 

哪些企業適合導入自動化盤點工具?

 

人工盤點與自動化盤點工具各有優缺點,企業該如何評估?什麼樣的企業要使用自動化盤點工具?什麼樣的企業利用人工盤點就可以?其實,人工盤點個資與自動化盤點工具,並不是二擇一的問題,因為二者盤點性質不一致,對企業的用處也不大相同。

 

人工盤點對企業來說比較像是一次性作業,透過此次盤點結果規劃資料後續保護的動作;而自動化盤點因為快速,可用於後續定期執行個資盤點作業。在面對這兩種性質不同的盤點方式,與其比較孰優孰劣,不如思考怎樣的企業需要自動化盤點,以下說明兩類應採用自動化盤點工具的企業:

 

一、擁有大量個資的大型企業

規模大的企業,不但幅員廣大且作業流程錯綜複雜,單靠人工盤點容易有所遺漏,因此建議採用自動化盤點工具,並依據盤點結果來建構資料流比較妥當。

 

二、組織架構與作業流程異動頻率高的企業

人工盤點因為耗時耗力無法周期性的進行,所以組織每一次的作業流程異動、新產品開發甚至是舉辦活動都可能將資料暴露在風險中。在繁重的日常業務下,要期望組織在每次變動後,重新盤點資料再規劃保護措施根本是不可能的事,尤其作業流異動頻率愈高愈發不可能,因此定期透過自動盤點找出個資暴露的位置,再進行保護才是較可行的做法。

 

 

評估自動化盤點工具的4大重點

 

在新版個資法的效應下,各式各樣的個資法解決方案如雨後春筍般冒出,卻都還沒有經過市場的考驗,企業若是希望透過自動化盤點的方式來盤點資料,有幾個評估重點必須先了解,以免得不到預期的效果,還當了花錢的冤大頭。

 

1.可盤點的範圍

 

企業的資料類型可以分為五大類:紙本文件(paper)、電子檔案(file)、網頁/網站(web)、資料庫(database)、軌跡記錄檔(log file)、以及備份用的磁帶(tape),因此在採購自動化盤點產品必須先了解它能盤點的範圍,舉例來說,有些產品只能針對資料庫進行盤點,若企業作業流程產生的個資會散佈在電子檔案(file)、網頁/網站(web)裡,那麼此產品就無法符合該企業需求。

 

2.可盤點的個資類型

 

個資法定義的個人資料為姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻等,以及其他得以直接或間接方式識別該個人之資料。在個資種類繁多、企業可能只擁有其中幾種的狀況下,在評估自動化盤點工具時,就要先了解該產品可盤點到的個資類型有哪些,是否符合企業需求,或是可不可以配合企業自身需求進行客製化的搜尋?舉例來說,對汽車租賃業而言,車牌號碼就是重要的客戶資料,能不能盤點到車牌號碼就會是重要考量。

 

3.搜尋精準度

 

人工盤點和自動化盤點最大的差異在於可以替企業節省很多時間,但先決條件是搜尋的精準度要高,這樣才能找到真正有意義的個資。自動化盤點最怕就是搜尋到一大堆不含個資的檔案,這樣光是過濾假訊息就搞得人仰馬翻,反而失去自動化盤點的真正意義。

 

4.盤點記錄保存

 

個資法一個重要概念在於企業負有舉證責任,要證明自己沒有洩漏個資、要證明自己已善盡資料保護責任。背負著舉證的責任,保存企業所有資安控管記錄就是重點,完整的資料盤點工具必須保存所有資料盤點的記錄,包括盤點時間、盤點內容、盤點結果以及對盤點結果所做的處理程序。

 

 

台灣自動化盤點產品介紹

 

目前,自動化盤點工具並沒有一個獨立的產品,多半是在現有資安或IT系統中附加資料盤點功能,協助企業進行個資盤點,以下針對三種擁有資料盤點功能的產品進行說明,分別為防制資料外洩(DLP, Data Loss Prevention)、企業搜尋(Enterprise Search)以及資料庫控管系統。

 

1.防制資料外洩

 

傳統DLP產品試圖透過限制文件複製、刪除、列印以及限制存取等動作來避免資料外洩,隨著DLP在市場上不斷淬煉,許多DLP大廠發展資料搜尋(Data Discovery)功能,可以讓使用者設定搜尋條件後搜尋企業內部資料,再針對搜尋到的資料進行保護。以某知名DLP產品為例,就可針對身分證字號、信用卡卡號、台灣地址、手機門號四種個資類型進行資料盤點,還可另外依照自身需求客製化個資搜尋條件。

 

在目前的DLP產品中,資料搜尋的功能都當作額外套件來販售,讓使用者透過此套件去搜尋企業內部包含個資的檔案,再利用該DLP產品的功能對這些檔案進行監控和保護。企業在面對個資法的威脅下,利用DLP產品來因應是個不錯的選擇,一來可以盤點企業個資,二來可以直接進行保護。但DLP產品成本較高,可能不是每個企業都有能力負擔。

 

2.企業搜尋

 

企業搜尋產品指的是,在企業內安裝一個資料搜尋引擎,讓內部員工透過這顆引擎快速搜尋企業內的所有資料,提高企業內資料分享與尋找的速度,其運作的原理就是在企業資料庫、網站伺服器以及檔案伺服器建立索引,讓使用者輸入關鍵字後提供搜尋結果。目前已有企業搜尋廠商提供身份證字號、信用卡號、手機號碼、家用住址、Email、家用電話等個人資訊搜尋功能,讓企業做為個資盤點之用。

 

使用企業搜尋產品 (Enterprise Search)的優點在於,這種產品本身多半都能搜尋多種資料存放位置,例如檔案伺服器、資料庫以及網站伺服器等,其和 DLP 最大差異就是建置成本較低。

 

2企業搜尋產品盤點個資流程圖 

 資料來源:本文作者整理。

3.資料庫控管系統

資料庫控管系統指的是,對資料庫進行稽核、監控以及管理的產品,以往此類產品是用來稽核和防止內外部非法存取,目前因應企業對於個資法解決方案的需求,許多產品都強調可以針對整個資料庫進行大規模的盤點(圖3),並搭配自家系統的安全防護功能,對企業資料庫進行完整保護。

 

資料庫是企業大量存放資料的地方,也是所有機密資料重要的集散地,面對如此龐大的資料庫,透過資料庫控管系統進行資料盤點與防護不失為好的個資法因應對策,但要注意的是,這只能解決資料庫盤點的問題,企業若要盤點檔案伺服器或員工電腦裡的個人資料,還需搭配其他解決方案來解決。

 

3資料庫控管系統盤點個資流程圖

 

 

資料來源:本文作者整理。

 

 

結論

 

個資盤點是因應個資法的首要步驟,但正所謂萬事起頭難,這個步驟也是最麻煩最困難的一段。企業面對這難題時,要仔細思考怎樣的盤點方式才可以真正解決問題,人工盤點有其成本優勢但也有相對應的盲點,是否要全面採用自動化盤點或是以自動化盤點做輔助工具,都有待企業進行審慎的評估,切莫敷衍了事,抱持僥倖心態,希冀在嚴厲的個資法下全身而退,等到最後才發現要面對龐大的賠償金額時,可就真的得不償失了。

 

本文作者現為網擎資訊產品經理。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com