首頁 > 資安知識庫 > 法規遵循與個人資料保護  > 個人資料保護法、個人隱私權益

全台企業僅3%重視資料銷毀工作

作者:張維君 -2012 / 11 / 14 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

個資法已正式上路,企業對於個人資料的蒐集、處理、利用等個資生命周期各階段必須做到更完善的管理。然而,許多單位卻忽略了資料生命週期的最後階段──資料銷毀的重要性。根據消磁服務廠商潘朵拉科技的預估,全台3千家中大型企業及政府機關中,僅有約3%開始重視資料銷毀工作。

 

資料銷毀是法規驅動的市場,沒有法規,不會有人重視。過去許多政府機關均通過資訊安全管理系統的驗證,在ISO 27001當中A.10.7.2雖然也提到媒體的報廢與汰除必須依照安全程序來處理,只是這些程序並沒有一套客觀的標準與做法,各機關當然可能自行決定採行低階格式化或實體破壞等方式來處理。然而現今個資法已正式實施,各機關需要思考資料銷毀工作的有效性,存在於報廢硬碟的敏感個資是否可能被以還原軟體等方式重新取得,整個作業流程需重新審視。除此之外,企業現今資料銷毀工作遇到的困難還有幾個因素如下:

 

規畫資料銷毀工作的4個提醒

 

提醒一、管理職責難劃分有賴高階重視

管理職責劃分的問題在大型金融機構尤其明顯。潘朵拉科技業務經理黃啟宏指出,資料銷毀是資訊部門還是管理(總務)部門的責任?許多企業最後在相互推拖之下,資料銷毀成了三不管地帶。這時有賴更高層級的管理者重視資料銷毀問題,才會做出職責劃分。

 

提醒二、風險應控制在外點

對於分支機構多的大型組織而言,就算了解資料銷毀的重要性,但仍然不知道該如何規劃儲存媒體銷毀作業。曾經有某大型機關為了節省成本,將所有各分公司的報廢硬碟、儲存媒體集中回總公司處理,這樣雖然可省下消磁設備的投資,只要在總公司佈署即可。但卻忽略了這些報廢媒體在運送過程中可能新增了遺失或其他人為疏失的風險。黃啟宏建議,風險應控制在外點。針對有多點分支機構的組織,企業可選擇經過認證的消磁服務廠商,以委外服務方式處理分支機構的報廢儲存媒體。

 

提醒三、資料中心的儲存媒體只進不出

外點可交由委外服務,而位於總部的資料中心則須把握儲存媒體只進不出的原則。也就是讓報廢的儲存媒體就地在資料中心進行消磁處理,而不需要有運送的風險。此外,值得一提的是,許多企業只注意到資料中心的銷毀問題,卻忽略在備援資料中心也會有一樣的問題。

 

提醒四、符合稽核規範的SOP

在規劃儲存媒體銷毀作業時,必需注意到整體銷毀的作業流程必須要符合稽核規範才能算是真正符合法規。銷毀作業不是單靠一台消磁機就算處理完畢,而是需搭配其他作業,包括分支機構委外處理時,服務廠商會將所有銷毀流程全程錄影,同時經手的每一個報廢硬碟也都必須在表單上清楚記錄序號,這部分也可以靠系統來自動化完成,減少人為介入的疏失。

 

唯有銷毀作業的整體環節都必須考慮在內,才算是讓整個個資生命周期的管理都符合法規。

 


推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…