https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

個資保護1.2.3 循序漸進降低風險

2012 / 09 / 07
張維君
個資保護1.2.3 循序漸進降低風險

由《資安人雜誌》舉辦的個資保護1.2.3實務論壇,於8/9圓滿結束,吸引來自金融、電子商務產業等關心個人資料保護法的企業資安、法務人員參加。

 

活動指導單位行政院資通安全辦公室,潘城武主任於致詞時指出,個資法是為了讓大家能夠有一個共同規範來促進個人資料合理使用,而現今大家對網路倚賴越來越深,也衍生出許多網路犯罪,因此行政院資安辦也希望研議資安法,能夠釐清過去一些灰色地帶,例如查詢資料、人肉搜索等,讓民眾更清楚將來在網路上的行為規範,如此才能享受美好網路生活。此外,擴大建構網路通報、監控的機制也是資安辦現階段的重要任務,將來不只政府部門,各個產業都有通報機制且能互相串連,更能做好事前的預警。而監控網路各個進出流量,並且建立情報交換、集中機制,就能在事中以及事後,集中做資料分析並採取行為動作,以降低資安事件的影響。

 

法務部:個資法修法重點

法務部法律事務司科長李世德提醒目前個資法進行修法的重點,包括第6條,特種個資的使用,若經當事人書面同意就可例外蒐集、處理和利用特種個資。第54條,合法蒐集的個資,利用時併同告知即可,而間接蒐集的個資,原版本要求一年內告知已刪除,目前將修法改為處理利用前有告知就可以,回溯告知不限一年完成。以及第41條,將非意圖營利而違反個資法蒐集、處理、利用個資的刑事責任刪除。此外,在最後送審的施行細則版本中,也將原先所定義個人資料檔案包括備份檔案、軌跡資料,刪除掉軌跡資料的部分。李世德也在與會中提到個資法施行細則應該在9月初會對外公布。

 

元富證券 &  立法院  經驗分享

元富證券個資專案召集人林東和副總經理,以管理角度分享全公司推動個資保護的心得,一開始在進行個資保護專案時,先對所有部門主管進行教育訓練,接著各部門推派最了解部門業務的代表擔任元富個資小組Core Team專案成員,為了不讓個資工作隨著人員異動而受影響,將個資工作項目納入正式工作職掌當中,並且全公司以BS 10012認證為目標。不同於元富證券,立法院則是由資訊部門主導個資保護專案,召集人資訊處副處長秦劍雲則認為,推動個資保護最關鍵的仍然是認知宣導,他認為教育訓練要有效,重點在於宣導內容要與員工的生活經驗結合,把使用者當做消費者,這樣的宣導內容才能提高使用者的學習意願。

 

Fortinet:資安防護需要演化 

Fortinet資深技術顧問劉乙以RSA、韓國知名社交網站Cyworld等近期資安事件為例,呼籲企業原有資安防護並非無效,而是需要演化。以現階段的攻擊方式來看,原有的防火牆、入侵防禦系統須要能透過地理IP來設定policy,不止外對內也要做到內對外的雙向防禦,才能及時阻擋因為內部機器中木馬而造成流量異常暴增的事件。

 

Rapid7:透過漏洞管理工具評估與排序風險

弱點掃描與滲透測試廠商Rapid7亞太區高級資安工程師黎浩勤指出,大部分的攻擊並非透過複雜的手法,只有16%是針對性攻擊,79%仍然是因為被攻擊者找出可以利用的弱點而遭受的伺機攻擊。面對大量的潛在漏洞,Rapid7認為企業應先透過漏洞管理作風險評估與排序,了解是否真的有風險,而後經由滲透測試工具去驗證哪個環節會被攻破,最後漏洞管理工具須能針對漏洞列出修補方法與步驟的建議報表。

 

Keypasco:以個人設備的fingerprint及地理位置做認證  確保登入者身份

身分盜用問題向來是阻礙電子商務發展的主因,也造成使用者個資外洩的困擾。總部位於瑞典的網路身分認證

解決方案廠商Keypasco創辦人兼執行長林茂聰認為,現今即使有多樣的身分認證工具,如動態密碼TokenUSB金鑰等,基於硬體佈署的限制與成本等因素,多年來仍然無法擴大應用到廣大使用者。Keypasco身分認證解決方案的技術,以個人設備的fingerprint及地理位置做認證,提供與現有環境相容、多一層防護的認證機制。林茂聰認為,只有本人(及其設備)所在位置連上去的才是真實的登入。

 

Novell日誌、帳號認證與權限都要集中控管

從事件偵測、漏洞修補到最後事件的調查,NetIQ(Novell)台灣區產品技術經理李民偉分析,許多資安事件調查之所以窒礙難行,不是因為難以從鉅量的防火牆日誌找到線索,就是因為到頭來發現關鍵設備根本沒有做日誌保存,導致調查無法進一步下去。他認為企業除了集中控管日誌還必須把帳號認證與權限集中控管,兩者互補併行,若缺少其一就像是路口監視器錄到車禍事件,卻沒照到車牌一樣,不夠完整。

 

總之,企業個資保護的工作繁雜,從建立表單、程序符合法規,到導入資安方案降低風險等。先經過個資風險評鑑,從高風險的地方著手規劃控制措施,才能在個資法上路前將降低違法風險。

 

個資保護1.2.3論壇現場聚集眾多資安/資訊/稽核/法務人員,希望從實務經驗中獲得更多關於因應個資法的做法。