https://www.informationsecurity.com.tw/seminar/2024_Digicentre/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

個資不外洩 跨單位交換的保護實務

2012 / 07 / 02
陳亮宏
個資不外洩  跨單位交換的保護實務

喧騰多時的個人資料保護法即將於今年10月正式上路,您,準備好因應措施了嗎?無論是個資保護主管機關、保管個資的公務或非公務機關、當事人及個資保護組織,相信沒有多少組織或當事人有100%信心說準備好了,因為要做的改變其實很多,其中如何做好個人資料跨單位交換便是組織面臨的一大議題。

 

在組織中被列為機敏資料的可能有:公務機關的國家機密(機密等級以上)及公務機密(密等),企業中的營業秘密、智慧財產、經營管理會議資訊,這些資料通常不會對外流通,除非是針對性的間諜行為或內部員工惡意外洩,然外洩其數量及流通性也相當有限,只要界定好保護範圍及佈建相關機制,相對容易掌握風險,反觀個人資料卻非如此,其乃內部員工與外部顧客進行業務活動的主要標的,會在內部部門、供應商、商務夥伴、金融機構及稅務機關間流動,尤其當跨單位或跨組織的資料交換成為執行業務的必要活動時,其所面臨的安全風險更是顯而易見。

 

談到資料交換,筆者個人的定義是,兩方或多方為正確及有效率處理彼此業務活動所產生的資料,以事先議定的資料交換格式及傳送、接收、儲存、處理、銷毀處理準則及安全維護等協議,以自動化或人工方式進行資料轉移及運用。資料交換簡單區分成電子與人工交換方式,隨著IT技術發展,人工交換方式已逐漸式微,取而代之的是自動化電子資料交換。自1990年代以後internet service興起,E-mail/IM/P2P/web-base EDI/xml/Web 2.0等技術或應用,乃至2010年雲端/社群網路時代到來,電子資料交換的傳輸管道已經相對多元化且容易操作。現在一般業務部門員工已不需要MIS/IT部門的協助,便可自行完成企業資料交換,在便利性提高的同時,相對也增加安全風險及管理難度。

 

由於IT服務不一定能跟得上商業活動拓展的腳步,這也導致業務單位或個人為求便利,運用手持式裝置(含媒體)、行動+WiFi網路交換資料,隨著交換管道多元化,企業資料交換的安全風險也變得難以控管,許多組織縱使通過ISO27001認證,也會因認證或納入內稽的範圍僅限於IT或少數無關核心營運流程/單位,只要跨出此範圍,安全控管的效度立即直線下墜,然而,個人資料保護制度的範圍卻是個資到何處範圍就到何處,甚至因資料交換行為而擴及至商業夥伴及供應商(個人資料保護法第4條),IT人員很難有效管理,甚至可能產生無法預期的風險。

 

跨單位資料交換的安全機制如果要真正發揮作用,必須如同其他安全機制的規劃、實作,除了直接涉及在資料交換管道上的安全機制,如身分認證、加密及確保完整性的軟硬體設備外,尚有組織目標、企業文化、資源、及人員意識等內部環境因素需要考量,以及個資法實施前後法規要求之差異、委託與被委託機關、駭客、當事人等外部因素,這兩者形成一個eco-system,由於每個組織對個人資料交換需求、運用方式、面對威脅及弱點的態度均不相同,必須在進行個資盤點及衝擊分析時進行風險分析,考量風險、成本及有效性。

 

企業可採用5W2H的方法(如圖1),先用5W決定核心策略,再透過2H選擇採用嚇阻型(罰則)、預防型(加密)、偵測型(log)、矯正型(稽核)、復原型(事件回應)等安全控制措施,從而搭配出適當的資料交換安全機制。

 

 

 

接著再依PDCA流程(圖2)導入此機制,由個資保護小組、IT部門、稽核部門及各個資相關的BU,共同研擬資料交換的政策、作業SOP及有效性之KPI,再由IT部門將相關機制建構出來,並經教育訓練、作業宣導、及稽核與持續改善,導入安全的資料交換管理制度及機制,建議的實務做法如下所述。

 

 

 

計畫階段(Plan

1、  進行個人資料流分析,鑑別所有可能資料交換管道

個人資料在被蒐集後,不僅會儲存在資料庫或文件中心,也會因處理需求而在企業內部流通,或是因法規要求、業務往來、委外作業之需求而傳送至外部,當然也有可能接收來自外部組織的資料,如果有未被管理或未經安全驗證的資料交換管道,即有可能發生個資流向無法控管的風險,因此要透過業務流程及網路傳輸分析,將正式及非正式資料交換管道盡可能地辨識出來,除了沒有獲得組織專案授權,有立即資安風險的管道應立即停止使用,其他如以電子郵件、傳真、行動網路等個人工具為主的資料交換管道,應就其資料交換之目的、對象、使用方式、頻率、已採取的安全措施及是否有協議及適當記錄等進行瞭解,例如:保險業務員、旅遊業、房屋仲介、外勤公務人員(如:交警、環保稽查等)等,可能經常需要將個人資料進行傳真、行動數據傳輸或以紙本隨身攜帶,這些很多都是業務所必需的行為。

 

2、減少非必要資料交換管道

某些固定往來、機密性要求高的組織,通常會建置數據專線再以專用軟硬體傳輸加密方式進行資料交換,這種方式屬於密上加密但成本昂貴,使用者並不多,現今組織多是透過網路傳輸加密的方式,如SSL VPNSecuFTP等相對安全的機制,但部份跨組織業務往來在考量頻率及系統建置成本下,改採其他方式,最常見的就是以報表或由資料庫匯出檔案的方式,視檔案大小以媒體交換、FTP或電子郵件等方式進行資料交換,例如:小型線上購物業者接收訂單的方式可能只有傳真或E-mail,大型購物平台可能每月定期將會員資料交給專作列印及封裝的廠商寄送紙本發票或DM

 

面對如此多元的管道,企業應進行全盤檢討,通過部門溝通及個資保護委員會審查,儘量使用已建立與資料交換他端有完善協議、經安全驗證且可留下稽核軌跡的資料交換管道,並建立標準作業流程,如果有必要使用未臻完善的管道,亦可集中資源進行改善。無論如何儘量不要採取像公開的社群論壇、即時通訊、P2PWi-Fi等高風險傳輸管道交換個人資料。

 

3、規劃個資保護的資料交換管理制度:

在個資法尚未修正通過或社會大眾未重視隱私意識前,多數組織的資料交換機制以便利及資料正確性為主,不一定會考量到相關的保護措施,建議在此時應重新由法規面及需求面檢視,並議定各利害相關團體的權責,簡單來說,在進行資料交換需求分析時應考慮下列議題:

u   資料交換的對象、使用這些資料的對象及業務目的。

u   明確指出交換資料之標的,並依據法令及資訊資產清冊(含個人資料)確認其機敏等級,如為新產生的資料,必須同步更新資訊資產清冊並說明其各項屬性。如有即時交換與批次交換的交換特性,亦應分別列舉。

u   由現有的何項資訊系統提供此服務,包含資料原始提供系統、中介傳輸系統。

u   資料在傳輸過程中各個節點的交換方式,例如:使用怎樣的通訊協定以及資料流特性說明。

u   對現有資訊環境的影響,包含有無需要增購硬體或軟體。

u   資料交換的命名規則。

u   安全控制機制,包含傳輸加密金鑰、授權放行機制。

u   緊急或事件處理程序,除一般問題處理,亦應包含該資料交換的備份作業以及持續營運計畫。

u   該資料交換機制的變更程序。

u   含有個資稽核軌跡留存完整性,安全維護及調閱程序之安全與便利。

 

規劃資料交換機制的3大考量

1.      與外部單位簽訂適當協定,尤其是有關個資法中當事人權益主張、安全維護與舉證責任議定,以確保組織對個人資料的保護能延伸至交換機構。

2.      在資料交換前,應先有書面申請程序並經該資料擁有單位核准,若交換資料的資訊資產分類屬於機密性,應在資料交換的中間轉介以及傳輸階段,施予適當編碼、加密或主機認證等保護機制。若交換標的為敏感性資料,則考量實際是否施行即可。

3.      選擇個人資料安全機制產品,建議考量風險高低、成本多寡及預期效益,最好能先進行PoC,並對相關單位作業流程受衝擊單位進行溝通,並提出完善的計畫給管理階層審閱。

 

 

執行階段(Do)

在完成規劃後,需確認管理制度與安全機制可以運作且持續有效。

1、資料交換的存取管理:對被交換的個人資料檔案進行存取控管。

u   電子交換資料之存取,應依規劃控制使用權限,未授權人員不得任意存取相關個人資料檔案。

u   使用人員職務異動時,使用單位應立即申請辦理使用權限之異動。

u   前述使用人員職務異動之權限辦理情形,應列入業務抽查之檢查項目。

u   過期或已移轉之敏感性個人資料,應立即申請中止傳送,並予以刪除。

u   使用電子郵件或傳真作為交換機制,需於資料交換完成後索取讀信回條或回傳收訖傳真,以確保資料正確及完整傳送。

 

2、資料交換的加密金鑰管理:資料加密一直是保護資料安全的最後防線,使用加密系統最重要的是密鑰生命週期管理,從生成、分發、復原到廢止各階段都要做好安全維護。

u   加密金鑰的文件管理:企業必須將加密金鑰管理方式及金鑰/亂碼化機制予以文件化,相關文件範疇如表1所列。

 

1、加密金鑰相關文件內容列表

管理文件

1.      加密金鑰管理作業相關人員派任簽準文件。

2.      加密金鑰作業系統驗收完成文件。

3.      與外包廠商簽的維護保密合約。

4.      通訊加密軟體管理與作業人員,對加密金鑰存取權限的對照一覽表。

5.      加密金鑰軟體相關文件。

(1) 開發文件:系統設計文件、程式規格說明書、程式清單暨各項作業操作手冊。

(2) 建置文件:系統與密碼建置、保密、存取權限等記錄文件及參考書籍。

(3) 維修文件:系統維修申請單與記錄單。

(4) 故障復原與重新啟動之作業操作手用。

(5) 加密金鑰作業安全控管規章呈報簽准文件。

應留下的記錄文件

1. 基碼建立/變更申請單。

2. 通訊亂碼基碼單。

3. 加密金鑰軟體使用記錄單:加密金鑰作業軟體(程式)與基碼(檔案)及基碼使用(如讀取、建立、變更、刪除等)管理報表。

4. 人員進出機房登記簿/記錄報表。

5. 調取備援媒體使用記錄簿。

6. 故障復原與重新啟動之記錄。

7. 自行查核或其他查核文件。

資料來源:本文作者整理,2012/6

 

u   加密金鑰的儲存媒體保護:密碼/基碼遺失或毀損,對加密資料安全性及可用性均會造成重大衝擊必須妥善保護相關的儲存媒體,包括:

?   加密金鑰軟體程式之備援磁帶片)、晶片卡。

?   加密金鑰管理程式-產生、建置、組合、備援與復原等程式之備援磁帶/片。

?   加密金鑰檔案備援磁帶/片、晶片卡。

 

u   加密金鑰的基碼管理

?   用於資料交換的加密金鑰之基碼,應定期更換,每年至少1次。

?   由安全控制人員陪同建立基碼。

?   基碼傳遞應確保過程中不會侵害其機密性,例如:使用加密密碼函封存交付。

?   傳送資料加密之基碼時,應填寫通知函,並請簽收單位填寫通知函回條後,由送件單位留存。

?   資料交換加密金鑰之基碼,必要持有人數,應儘量減少。

?   資料交換加密金鑰/亂碼化之基碼,應以不同的加密金鑰另行保護,該金鑰可以多人分持或其他更強固的方式保護。

?   設立高強度實體安全控管的資料交換加密金鑰管制區,任何金鑰變更應提出申請經權責主管核准,由管理單位進入金鑰管制區,辦理資料區之檔案保護建置、使用者建檔與權限變更設定。

 

3、實體儲存媒體資料交換管理

若因特殊作業需要,敏感性以及機密性個人資料必須錄製於實體媒體傳遞者,為確保實體媒體之錄製、遞送、使用及保管過程之作業安全,應作加密、驗證或密封親送處理,可考慮下列措施:

u   資料應加密儲存後再來交換,加密之密碼與實體媒體應密封後分開傳遞。

u   如無法對儲存資料做加密,必須在儲存媒體外加以包裝密封,並加上公司封條。

u   實體媒體資料交換的傳遞人員,應以公司正式員工或與公司簽訂的保全人員為主。

u   傳遞該媒體時應填寫申請單,註明送件單位、收件單位、媒體數量、承辦人員及其他必要資訊後連同實體媒體寄送,並請收件單位填寫媒體遞送回條後由送件單位留存。

u   資料傳遞接收窗口必須是在事前即已經指定好的接收人員,傳送人員務必須要確認指定之接收人員簽收後,傳送作業才正式完成。

查核階段(Check)

定期或不定期配合組織內稽及外稽活動,確認下列機制是否完善落實:

1、資料交換作業及加密金鑰/亂碼化應設定稽核軌跡機制,稽核軌跡機制不限定以系統產出或以手動登打方式進行,只要其保存的完整性未來能符合證據法則。

2、資料交換須設定個人資料使用稽核軌跡機制,並定期確認持續且完整記錄。

3、資料交換機制管理單位應定期進行查核,檢討現行資料交換機制是否依相關法規、資料交換機構間之協議、安全設計流程及機制在執行。

4、稽核結果如有不符合或有潛在風險,應立即進行風險評估,決定改善的優先次序,進入矯正及預防程序。

 

3:改善階段(Action)

本階段為PDCA循環之末,主要是對執行稽核時所發現的事項進行補強。

1、改善措施之選擇應依發現事項(弱點)可能會面對的威脅與衝擊,視情況先實施低成本高效益的暫時性補償措施,將可能的風險降低。

2、對於需要長時間改善的發現事項,尤其需額外取得資源的改善方案,應持續監控其風險及改善進度,完成後亦需評估是否已確實改善。

 

跨單位資料交換常見的風險是被委託機關,尤其是長期將會員服務委外的機關,容易逐次累積大量個人資料,雖然在彼此協議中會要求服務完成後刪除資料,或透過定期或服務完成後的稽核動作確保落實,但也難保被委託機構會百分之百刪除至不可恢復狀態,因應此議題或可採用數位內容保護DRM解決方案,對資料交換至他方後的保留權限及有效期限做存取管控,相較於紙上協議或人工稽核更為有效,但缺點是必須投入相當的資源建置。不論如何新版個人資料保護法正式實施在即,個人資料跨機關交換是個顯而易見的安全議題,企業應儘快檢視自身對個資法準備度,強化在管理面及技術面的不足才是王道。

 

本文作者現為企業資安顧問。如有任何問題,如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com