https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

郵件備份 危機突發冷處理的關鍵

2010 / 05 / 07
陳世文
郵件備份  危機突發冷處理的關鍵

相信事先防範重於事後治療,不要在災難發生後,才發現備份的重要性,因為你永遠無法預測危機何時發生?每一次的災難都不斷地提醒人們,確立安全防範意識並付諸於行動是多麼的重要,企業種種的保密措施無非是為了防止員工故意或無心地外洩公司的機密資料。

 

根據日本的調查報告顯示,企業資訊洩密案件有70%是由公司內部造成。電子郵件為企業商務往來的重要利器,而公司所有機密資訊也都數位化,要保護資料的安全性是難上加難,E化所帶來的便利已成為企業機密文件外洩的隱憂之一;電子郵件可謂企業有形的數位資產,所以郵件備份備援機制必需要建立起來,作為未來查證或提供證據使用。因此,建議您先安內(落實內部安全控管),再攘外(協同外部防禦),全方位保障企業的安全。

 

各國相繼立法 重視資料備份正統性

台積電洩密疑案掀出兩岸晶圓廠商業間諜內幕;美國從2001 年底開始,安隆、世界通訊、全錄及默克等會計弊案陸續爆發,洩密者將企業內部的重要機密資料,透過現今最普遍的電子郵件通訊方式洩漏給商業競爭對手,為企業帶來鉅大損失。

 

美國沙賓法案 (Sarbanes-Oxley Act of 2002)規定,上市企業所有公共類型業務資料,包括電子郵件在內必須保存至少 5 年的時間,特定類型的資料還需保存更長的期限,必要時,要在規定時間內找出必要的郵件,以供審計或稽查之用,不遵從法令的企業將遭受罰金及處罰。寄望這項條文加重證管會職能,積極強化公司治理,恢復投資大眾的信心。

 

除了美國沙賓法案外,日本也在 2005 4 月上路的「個人情報保護法」與預計在2008年實施「日本版沙賓法草案」中要求,企業保留公司內部郵件作為佐證資料,如果企業內部未保留郵件將可能課以重罰。

 

台灣也將推行類似法案,如 2006 年針對金融業實施「 新巴塞爾資本協定」(Basel II),當中規範企業資訊備存與電子舉證 ( Electronic Discovery ) 機制的建置,這些法案的執行結果再再顯示企業強化資料備份、稽核與管理的迫切性。

 

備份觀念 4W

What-什麼資料需要備份

到底哪些資料需要備份?除進行審計或稽查用的文件需備份外,對企業營運有影響的資料應該通通都要備份,當中又以目前企業溝通往來最頻繁的電子郵件為最,至於哪些郵件該備份端視公司政策而彈性變化,如廣告郵件及垃圾郵件,連同備份可能會使得企業的儲存裝置成本提高,反之如果只備份特定來源或使用者的郵件,雖可精簡成本,卻可能造成備份的漏洞。

不同的企業政策產生不同的網路環境,那麼所採用的網路架構也有所不同。上圖為筆者建議的架構圖。

 

When-何時需要備份

備份郵件的時間何時較恰當?企業備份郵件建議在每天的離峰時間進行,以避免在尖峰或使用頻繁的時間備份造成系統額外負擔,至於備份的頻率建議依企業的風險承受度決定。備份的頻率高,系統運作的效能會受到一定程度的干擾;如果郵件備份的頻率低,企業的儲存裝置成本、伺服器的負荷也會相對降低。

 

Where-備份資料要存到哪裡

資料除了備份在硬碟上,應該搭配其他媒介進行;如可重覆讀寫的磁帶、儲存空間限制較低的網路芳鄰、或可長期保存不浪費企業收放空間的 DVD,都是基本備份媒介的選項。

 

此外,除了考量郵件備份完整性,也需評估後續的回復流程,包括如何將備份郵件快速地還原到本機系統,以及如何在大量的郵件備份資料中找出想要的少量郵件。否則企業花了大筆的預算人力,把所有電子郵件完整備份,但需要找出這些備份郵件的時候,卻發現不知從何找起,豈不成了白花錢的冤大頭?

 

Who-誰來控管備份資料

除了這些基本的備份要點外,備份設備的分級控管也很重要,對於部門主管應給予適當的控管權力,由最高權限的系統管理者對公司各部門資訊的流通對象 / 內容,進行備份資料的檢索與稽核,除了落實備份資料的保護,更可統籌系統資源與功能的運用,以期將系統效能發揮到最大。

 

本文作者現任職於碩琦科技品質控制處處長