個資法通過,防制資料外洩產品也隨之行情看俏,企業在選擇產品時,不能只就價格來考量,資安廠商的服務也應納入評比項目中,由於防制資料外洩產品有其專業性,應慎選具備顧問服務能量,能妥善協助企業進行系統設定的廠商,才能讓資安設備發揮最大功效。
以權限設定功能為例,有些產品在使用權限設定上具有相當大的彈性,可以隨著職務別與部門別而不同,換言之,MIS可以視員工的部門別或身份別來開放權限。
舉例來說,RD部門掌握公司機密資料,與外界互通資料的機會少,所以在設定權限時應該採取最嚴格標準,亦即全部禁用,只開放一條資料傳輸的管道;至於常與客戶聯繫的業務人員,在資料傳輸管道上則不應做太多限制,但必須做好紀錄與稽核工作;另外,針對即將離職或是剛到職的員工,則應做好資料備份工作,以免其將公司資料攜出挪為私用。
某防制資料外廠商表示,即便產品有此功能,多數公司卻不懂得這麼做,最常看到的做法是只設兩種權限:特權權限及一般權限,前者給高階主管使用,後者則給一般員工使用,這種做法雖無不對,但與按照部門別來設權限的做法相比,其資安防護強度顯然有高低之別。
其實MIS可以視部門或身份別來設權限,為何只設這二種?原因也許很多,最有可能就是使用單位不配合,MIS不知如何設權限比較恰當,最後只好用最簡單的二分法設定,此時,企業如果選擇的是具備顧問服務的資安廠商,就能由資安顧問按照公司的作業流程與環境設定系統,協助資安設備發揮最大功效。
資安人科技網