歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
法蘭克福新時代傳媒有限公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
參考國際規範 有效運用DLP方案
2012 / 02 / 06
林文腕
個資法細則在2011年11月出來了,各企業也發現了一些問題,那就是到底怎麼執行?DLP解決方案或許可部分解套,但或許又有一些實行上的疑慮該怎麼作?DLP事件若要完整保存目前只能用動態硬碟一直往上加,雖然不是最好的做法,但卻可以一直保存且馬上查得到資料,但前提必須政策設定得宜,那麼事件量才能縮小。
但到底哪些才是正確的政策呢?參考國際規範包括ISO 27001與BS 10012,到底是外洩幾筆才算是個資外洩?建議可以參考在BS 10012的4.2.1 組織應維護一份個人資料分類清冊,及4.2.2鑑別高風險之個人資料,把這些真正屬於企業目的個人資料,進行指紋檔建立並隨時進行更新及偵測,如此一來,對於員工在企業內部進行私人行為,如網路購物、網銀登入,DLP就不會發出警告,企業也不需要逐條檢視,造成管理上負擔。
此外,DLP的解決方案若能內建台灣個資法相關政策,也可減輕企業在設定政策的負擔。例如台灣身份證格式、信用卡格式、地址清單…等,當然個人相關資訊除了一些會變化的格式,可透過演算法進行真偽,其他皆是採用字串進行偵測判定,但這樣作的誤判率會很高,所以建議可透過二組欄位資料進行組合比對,以利提高個人資料外洩正確性,減少假警報的產生。
而政策的制定,伴隨而來的就是事件發動的反應,在實際建置的情況裡,通常會先進行事件觀察,提高正確性外,也蒐集外洩事件、當事人情況,判定故意還是失誤?觀察期3到6個月不等,才進行下一步,也就是主動警告當事人,這階段的衝擊一定是更大,所以在BS10012中4.6通告裡有對於觸發通報的程序可以進行參考。各家DLP廠商提供通報方式原則上大致相同,例如透過電子郵件通知主管、當事人或稽核主管,把外洩的郵件或檔案,進行內容移除及警告,此外有些廠商可自訂,在當事人電腦發出阻止警告並強制選擇違反事由,減低當事人所產生的抗拒心理。
雖然施作指引可能還要一段時間才會出來,大家仍然應該及早進行,個資保護人人有責,並非因為個資法上路才想到要保護,而企業的社會責任也是必須要被考慮的,並不會因罰款付完後就消失。
作者任職於資訊服務廠商。
DLP
BS10012
個資法
ISO 27001
風險
資料分類清冊
施作指引
施行細則
最新活動
2021.03.09
第20屆 亞太資訊安全論壇暨展會
2021.03.11
Fortinet ACCELERATE 2021-線上網路大會
2021.03.18
後疫情時代|資安策略的轉變與資安治理的價值
2021.04.21
物聯網資安跨界聯防應用專區@Secutech 2021
看更多活動
大家都在看
最新 Sunburst 目標式攻擊分析
美國聯邦密碼模組安全標準FIPS 140-3,防止機敏資料外洩
紅帽: 2021數位轉型策略需思考五大關鍵趨勢,資安是要素之一
雲端為王:2021年需關注的9種軟體安全趨勢
[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?
資安人科技網
文章推薦
微軟Ignite 2021大會:雲端擘畫未來十年創新,始於設計階段的安全與信任(trust by design)
Check Point 推出 Quantum Spark 安全閘道,按月訂閱協助中小型企業部屬資安
數位轉型、5G飆網的時代,資安必備基本4P,您準備好了嗎?