參考國際規範有效運用DLP方案

2012 / 02 / 06

林文腕

個資法細則在2011年11月出來了，各企業也發現了一些問題，那就是到底怎麼執行？DLP解決方案或許可部分解套，但或許又有一些實行上的疑慮該怎麼作？DLP事件若要完整保存目前只能用動態硬碟一直往上加，雖然不是最好的做法，但卻可以一直保存且馬上查得到資料，但前提必須政策設定得宜，那麼事件量才能縮小。

但到底哪些才是正確的政策呢？參考國際規範包括ISO 27001與BS 10012，到底是外洩幾筆才算是個資外洩？建議可以參考在BS 10012的4.2.1 組織應維護一份個人資料分類清冊，及4.2.2鑑別高風險之個人資料，把這些真正屬於企業目的個人資料，進行指紋檔建立並隨時進行更新及偵測，如此一來，對於員工在企業內部進行私人行為，如網路購物、網銀登入，DLP就不會發出警告，企業也不需要逐條檢視，造成管理上負擔。

此外，DLP的解決方案若能內建台灣個資法相關政策，也可減輕企業在設定政策的負擔。例如台灣身份證格式、信用卡格式、地址清單…等，當然個人相關資訊除了一些會變化的格式，可透過演算法進行真偽，其他皆是採用字串進行偵測判定，但這樣作的誤判率會很高，所以建議可透過二組欄位資料進行組合比對，以利提高個人資料外洩正確性，減少假警報的產生。

而政策的制定，伴隨而來的就是事件發動的反應，在實際建置的情況裡，通常會先進行事件觀察，提高正確性外，也蒐集外洩事件、當事人情況，判定故意還是失誤？觀察期3到6個月不等，才進行下一步，也就是主動警告當事人，這階段的衝擊一定是更大，所以在BS10012中4.6通告裡有對於觸發通報的程序可以進行參考。各家DLP廠商提供通報方式原則上大致相同，例如透過電子郵件通知主管、當事人或稽核主管，把外洩的郵件或檔案，進行內容移除及警告，此外有些廠商可自訂，在當事人電腦發出阻止警告並強制選擇違反事由，減低當事人所產生的抗拒心理。

雖然施作指引可能還要一段時間才會出來，大家仍然應該及早進行，個資保護人人有責，並非因為個資法上路才想到要保護，而企業的社會責任也是必須要被考慮的，並不會因罰款付完後就消失。

作者任職於資訊服務廠商。

DLP BS10012 個資法 ISO 27001 風險資料分類清冊施作指引施行細則