https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

參考國際規範 有效運用DLP方案

2012 / 02 / 06
林文腕
參考國際規範  有效運用DLP方案

個資法細則在2011年11月出來了,各企業也發現了一些問題,那就是到底怎麼執行?DLP解決方案或許可部分解套,但或許又有一些實行上的疑慮該怎麼作?DLP事件若要完整保存目前只能用動態硬碟一直往上加,雖然不是最好的做法,但卻可以一直保存且馬上查得到資料,但前提必須政策設定得宜,那麼事件量才能縮小。

但到底哪些才是正確的政策呢?參考國際規範包括ISO 27001與BS 10012,到底是外洩幾筆才算是個資外洩?建議可以參考在BS 10012的4.2.1 組織應維護一份個人資料分類清冊,及4.2.2鑑別高風險之個人資料,把這些真正屬於企業目的個人資料,進行指紋檔建立並隨時進行更新及偵測,如此一來,對於員工在企業內部進行私人行為,如網路購物、網銀登入,DLP就不會發出警告,企業也不需要逐條檢視,造成管理上負擔。

此外,DLP的解決方案若能內建台灣個資法相關政策,也可減輕企業在設定政策的負擔。例如台灣身份證格式、信用卡格式、地址清單…等,當然個人相關資訊除了一些會變化的格式,可透過演算法進行真偽,其他皆是採用字串進行偵測判定,但這樣作的誤判率會很高,所以建議可透過二組欄位資料進行組合比對,以利提高個人資料外洩正確性,減少假警報的產生。

而政策的制定,伴隨而來的就是事件發動的反應,在實際建置的情況裡,通常會先進行事件觀察,提高正確性外,也蒐集外洩事件、當事人情況,判定故意還是失誤?觀察期3到6個月不等,才進行下一步,也就是主動警告當事人,這階段的衝擊一定是更大,所以在BS10012中4.6通告裡有對於觸發通報的程序可以進行參考。各家DLP廠商提供通報方式原則上大致相同,例如透過電子郵件通知主管、當事人或稽核主管,把外洩的郵件或檔案,進行內容移除及警告,此外有些廠商可自訂,在當事人電腦發出阻止警告並強制選擇違反事由,減低當事人所產生的抗拒心理。

雖然施作指引可能還要一段時間才會出來,大家仍然應該及早進行,個資保護人人有責,並非因為個資法上路才想到要保護,而企業的社會責任也是必須要被考慮的,並不會因罰款付完後就消失。


作者任職於資訊服務廠商。