印刷郵件包裝廠也要做資安!這可能是許多人聽到英茂資訊導入ISMS的第一個念頭,驚訝、好奇中又帶著些許不解,但對英茂來說,卻是再平常也不過的事情,雖然沒有直接面對消費者,業務內容也不會去搜集個人資料,但在替企業客戶處理資料時,偶爾還是會接觸到大量含有姓名、地址、身份證字號、生日或會員卡卡號等個資,對於資料保護的要求其實不亞於一般企業,「安全是這個產業永續經營的基本前提,」英茂資訊董事長陳連春說。這份堅持讓英茂在資料處理擁有超過20年以上歷史,每個月資料處理量高達2,000萬份,客戶多是知名零售流通或金融業者,代客列印或和郵件包裝的資料從宣傳DM、報刊、型錄、帳務報表、條碼、名條等。
英茂資訊股份有限公司 小檔案
董事長:陳連春
成立時間:1987年
員工人數:50人
IT人力:2人
主要業務:
1. 電子噴墨、雷射資料代工處理列印
2. 輪轉彩色印刷、條碼印刷
3. 廣告(大宗)資料設計、印刷、加值加工
4. 資料郵件、廣告郵件、包裝自動化代工
|
導入ISMS 為客戶資料安全把關
然而,安全不是嘴巴說說就可以,尤其新版個資法通過後,企業必須認真做好資料安全防護,不能抱著敷衍、得過且過的心態,否則就得面對伴隨資料外洩而來的民事與刑事責任,嚴重一點甚至會影響企業經營,陳連春認為,ISMS就是落實資安的第一步。
台灣導入ISMS的企業相當多,但大部份集中在金融業或政府機關,像英茂資訊這種中小型企業、員工PC數不到10台的案例其實不多,原因之一在於ISMS共有133項控制措施,有中小企業主認為部份控制措施並不適用,造成導入不易,但在英茂導入過程中,卻看不到這個困擾。
英茂資訊郵件業務處協理程怡芬認為,這些控制措施沒有適不適用或能不能做的問題,中小企業在導入時,針對與驗證範圍或業務相關的控制措施,至於沒有的部份只要把文件出來即可,舉例來說,在控制措施裡有一項談的是軟體開發,這項業務與英茂無關,只要把文件做出來即可。
新版個資法通過 因應措施要比客戶快一步
根據新版個資法第四條規定,受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,且視同委託機關。換句話說,企業如果因為委外單位疏失而導致個資外洩,同樣得擔負起責任,但是委外單位的管理並不容易,過往曾有許多因為委外單位疏失導致資料外洩的案例,像2010年6月永和崇愛中醫診所疑似委外業者處理不當,導致近百筆處方箋和門診掛號費收據散落在中和市四號公園內。
陳連春表示,在新版個資法通過後,身為客戶委外單位的英茂,必須要有更好的資訊控管措施,比客戶更快達到安全標準,才能獲得客戶信賴,因此決定導入ISMS,落實對客戶的承諾,以更嚴謹的態度接收、處理客戶所交付的資料。
另一方面,對經營者來說,導入ISMS也是一種保障,因為從業人員難免會有異動、更換的時候,透過ISMS讓作業流程標準化、透明化,也讓員工在此框架範圍內作業,不會因為人事變動而增加資料外洩風險,客戶與企業主也不用時時擔心資料外洩,甚至舉證困難的處境。
尤其新版個資法將舉證責任轉移至企業身上,根據第29條規定,非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,但能證明其無故意或過失者,不在此限。程怡芬認為,透過ISMS制度的建立,讓各項作業皆留下完整記錄,當出現異常狀況時,才能追蹤問題發生的原因、並快速做出回應。
程怡芬進一步指出,郵件包裝業者的利潤微薄,低到以「毛」為計價單位,再加上高層決策者的觀念不足,因此幾乎沒有一家業者願意投入金錢與時間成本導入ISO 27001,有些甚至選擇花錢買證照的方式,但是,陳連春不認同這樣的做法,他認為,證照的意義是,讓員工瞭解資安流程的重要性,進而落實相關管理流程,所以英茂投注半年時間、耗費將近新台幣百萬元,針對資料處理業務取得ISO 27001認證,為的就是要做好保護客戶資料安全這件事。
調整檔案遞交流程 減少員工接觸資料機會
在ISMS導入過程中,英茂主要做了以下三大改變:
第一、調整資料處理架構,增添軟體硬體設備,如:防火牆、作業系統;
第二、改變網路架構,建置區域型網路(VPN),進行實體隔離;
第三、名單處理程序簡單化,減少經手人接觸資料的機會。
以前,英茂客戶要遞交印刷檔案,通常透過E-mail、隨身碟交給業務或資料承辦人員,再轉寄給資訊室的資料處理人員,由其進行資料轉換作業,例如:檢視檔案是否符合列印格式,並進行打樣、試印,等物料送到工廠、確認無誤後,資料處理人員便將檔案送到指定的生產機台進行大量列印,後進行郵件包裝。
在過往流程下,包括業務、業務助理、資料處理人員都可以接觸到資料,相對地外洩風險也變高,藉由ISMS導入,英茂改變客戶遞交檔案的方式,將經手客戶資料的人員降至最低。
新的作業模式透過FTP,為每個客戶設置一個獨立的資料夾及帳號密碼,客戶將檔案加密上傳至FTP時,再通知英茂的業務或業務助理,由業務助理開立工作單交給資訊室人員,進行後續列印/印刷作業,不僅如此,陳連春強調,電腦室設有門禁管制,只允許必要作業人員進出,在每一次印刷作業完成後,就會刪除生產機台上的檔案,倘若客戶另外燒錄光碟交付檔案,也會將原始檔歸還給客戶,英茂本身不保留任何資料,以避免風險。
其他企業在導入ISMS最常遇到的困難是:部門協商不容易、投資成本過高,但英茂並沒有這樣的問題,程怡芬指出,導入ISMS是在老闆全力支持下而推動的,再加上英茂組織比較扁平化,很多流程(如:門禁管理、人員進出管制)等都是本來就有在做的,只是透過ISMS落實並留下記錄而已,對員工來說不致於增加太大的負擔,相對的反彈聲浪也比較小。
在董事長陳連春(左)支持及郵件業務處協理程怡芬推動下,英茂資訊的資料處理業務順利取得ISMS證書,也印證了中小企業只要有心就能做好資安。
隨著擴廠計畫 擴大ISMS驗證範圍
「我們現在針對已完成導入的部份,只是個雛型,」陳連春說,未來計劃擴大ISMS驗證範圍至資料處理後端,也就是生產線及完工出貨作業。目前,英茂的廠房設在五股,預計明年(2012)底南崁廠即將完工啟動,由於五股工廠只有500坪大,在空間有限下使得很多管控措施都受到限制,而南崁廠坪數大兩倍以上,在空間充足情況下,可以配合ISMS架構規劃空間動線,讓作業流程更完善、更能達到保護資料的目的,舉例來說:規劃一個封閉式作業區,區外設有員工置物櫃,產線員工必須將私人物品置放於此,才能進入產線,落實資料安全防範人為疏失。
企業導入ISMS並不稀奇,但是,英茂資訊面對資安的態度卻令人稱許,過往常說中小企業主面對資安總是抱持鴕鳥心態,沒有認知、也不肯投資,但是陳連春卻非如此,他所抱持「保護客戶資料不能有一次疏忽」的理念,讓英茂面對資安的態度一點也不輸給大企業,從他們身上驗證了一句話,只要有心,中小企業也能做好資安。