歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
參考國際規範 有效運用DLP方案
2012 / 02 / 06
林文腕
個資法細則在2011年11月出來了,各企業也發現了一些問題,那就是到底怎麼執行?DLP解決方案或許可部分解套,但或許又有一些實行上的疑慮該怎麼作?DLP事件若要完整保存目前只能用動態硬碟一直往上加,雖然不是最好的做法,但卻可以一直保存且馬上查得到資料,但前提必須政策設定得宜,那麼事件量才能縮小。
但到底哪些才是正確的政策呢?參考國際規範包括ISO 27001與BS 10012,到底是外洩幾筆才算是個資外洩?建議可以參考在BS 10012的4.2.1 組織應維護一份個人資料分類清冊,及4.2.2鑑別高風險之個人資料,把這些真正屬於企業目的個人資料,進行指紋檔建立並隨時進行更新及偵測,如此一來,對於員工在企業內部進行私人行為,如網路購物、網銀登入,DLP就不會發出警告,企業也不需要逐條檢視,造成管理上負擔。
此外,DLP的解決方案若能內建台灣個資法相關政策,也可減輕企業在設定政策的負擔。例如台灣身份證格式、信用卡格式、地址清單…等,當然個人相關資訊除了一些會變化的格式,可透過演算法進行真偽,其他皆是採用字串進行偵測判定,但這樣作的誤判率會很高,所以建議可透過二組欄位資料進行組合比對,以利提高個人資料外洩正確性,減少假警報的產生。
而政策的制定,伴隨而來的就是事件發動的反應,在實際建置的情況裡,通常會先進行事件觀察,提高正確性外,也蒐集外洩事件、當事人情況,判定故意還是失誤?觀察期3到6個月不等,才進行下一步,也就是主動警告當事人,這階段的衝擊一定是更大,所以在BS10012中4.6通告裡有對於觸發通報的程序可以進行參考。各家DLP廠商提供通報方式原則上大致相同,例如透過電子郵件通知主管、當事人或稽核主管,把外洩的郵件或檔案,進行內容移除及警告,此外有些廠商可自訂,在當事人電腦發出阻止警告並強制選擇違反事由,減低當事人所產生的抗拒心理。
雖然施作指引可能還要一段時間才會出來,大家仍然應該及早進行,個資保護人人有責,並非因為個資法上路才想到要保護,而企業的社會責任也是必須要被考慮的,並不會因罰款付完後就消失。
作者任職於資訊服務廠商。
DLP
BS10012
個資法
ISO 27001
風險
資料分類清冊
施作指引
施行細則
最新活動
2025.02.19
2025資安365年會
2025.02.11
【2025 叡揚資安趨勢講堂】
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成
合勤科技:停產路由器漏洞不予修補,建議用戶汰換設備
2024年活躍的勒索軟體集團超過 75 個,較2023成長7成多
美國CISA 將微軟 .NET 和 Apache OFBiz 漏洞列入KEV並要求修補 Linux 內核漏洞
資安人科技網
文章推薦
鎖定華語使用者!假Chrome下載網站散布ValleyRAT木馬程式
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
駭客利用 SimpleHelp RMM 漏洞發動持續性攻擊與勒索軟體入侵