新版個資法通過至今已超過2年,期間爭議不斷,最近行政院終於通過修正條文的審查,針對爭議較大的第6、54、及41條之1提出修正,並計劃今(2012)年10月1日正式上路,至於前述修正條文若來不及完成修法,則將暫緩施行,待修法完成後再施行,相關內容請見《資安人科技網》一文「新法修正案通過審查:特種個資解禁 當事人同意便可蒐集」。
由此看來,距離新版個資法上路只剩不到4個月的時間,至今還沒有採取任何因應措施的企業,最好現在就開始相關規劃,即便沒有足夠預算聘請資安顧問或是採購資安設備,也要做好最基本的個資盤點與風險評估。
個資盤點是因應新法上路的第一步,《資安人》雜誌79期曾經專文介紹個資盤點的作法以及企業經驗分享,詳細內容請見「個資檔案成千上萬 盤點刻不容緩」,另外在本期封面故事的第三篇「善用免費工具 個資盤點也能DIY」,也介紹免費的單機版軟體,即便企業預算有限,也可以輕鬆盤點個資。
不同風險評鑑方式巡禮
而個資盤點結束後,緊接著要做的就是風險分析與評估,如此才知道該如何分配組織資源、進行風險控管。資誠企管顧問協理魯君禮表示,個資的類形及存放場所不同,其風險值就會不一樣,放在電腦裡的電子檔、放在作業環境中的紙本資料,甚至還有影音資料如:客服電話的錄音檔、安控攝影機的監視影像…等,這些都是個資檔案且形式不同,風險自然也有高低之分。以下簡單介紹幾種個資風險評估方式。
方法一、用CIA判斷個資衝擊值
行政院研究發展考核委員會主任吳啟文表示,研考會已經編制了一份「個人資料保護參考指引」草案,但由於新版個資法施行細則尚未通過,加上希望整合法務部日後將會發佈的「公務機關個資保護執行程序暨考核作業手冊」內容,因此尚未正式公佈。在這份草案中並行3種個資風險評鑑方式,亦即取這3種評估結果的最高值,來決定個資檔案的風險等級是普級、中級、或高級,舉例來說,只要有一個結果是高風險,則該筆個資便歸類為高風險。
第一種方式根據個資種類與筆數來判斷,先就個資筆數來看,企業可自訂不同風險等級的個資筆數門檻,如:0~50筆個資為普級風險…等;再用個資種類來看,如果含有特種個資就應歸類為高風險,如果只是一般個資則可列為中度風險,如果沒有個資或只有公務電話/E-mail時,則是普級風險。
第二種則參考NIST SP800-122「個人可識別資訊機密性保護指引」之衝擊等級判定方式,以個資檔案機密性、完整性、及可用性(CIA)受到侵害時,造成企業衝擊的大小來判別風險高低,假設會對企業聲譽造成輕微影響,但不會造成任何財務損失或遭受訴訟之情事,則列為普級風險,但若可能影響企業聲譽,且有財務損失或訴訟,但不至於影響日常運作,則為中級風險,若有可能造成業務中止就是高風險。
第三種是依據政府機關資訊系統分類分級與風險鑑別方式,其共有
6個構面,在此只挑其中3個構面:資料保護受到損害、影響法律規章遵循、損害本機關信譽,進行個資風險評鑑,倘若三者安全等級皆為普,或是只有一個安全等級為中,則歸類為普通個資風險;倘若三者安全等級皆沒有高,且其中兩項安全等級為中,則歸類為中度個資風險;倘若三者安全等級皆為中,或其中一項為高者,則歸類為高度個資風險。
方法二、從損失與發生率計算個資衝擊值
第二種方式與第一種其實有點類似,同樣是並行三種個資風險評鑑方式,取其最高值,只是方式不同而已。安侯企管協理林義富指出,企業在做風險評估與衝擊分析時,可以透過以下3種方式來進行,並取其最高者視為風險值:
(1) 是否符合法規要求:法規遵循風險是個資風險評估時最基本的要求,企業可以利用一些問題列表,檢視自身在法規遵循上的漏洞?像是:如何確認個資正確性?當事人是否具有同意、拒絕提供個資的權利?是否有方式提供當事人更正或補充其個資?
(2) 個資衝擊分析結果:個資衝擊分析是分析當個資受到侵害時,對企業造成的衝擊值,這也是企業決定安控策略的基準,由衝擊值大小來決定合理適當的投入成本,以及該採用哪些安控措施。
(3) 組織現有的資訊安全評估手法,如:資訊資產風險評鑑結果…等。
林義富進一步指出,個資衝擊值由以下4個元素共同決定:個資受侵害的機率、保護成本、單一事件平均受侵害數量、單一事件平均機關損失。由於個人資料有著不同的型態和用途,因此要考量到彼此間不同的特性,才能決定衝擊值大小(表1),舉例來說,紙本個資的保護成本比較低,但是受侵害機率高,很容易被拿走,但若企業設有管控機制(如:門禁、檔案櫃上鎖)則受侵害機率就會比較低,至於行動裝置存放的個資雖然是電子檔案,但容易因為使用者不小心或疏忽而遺失設備,導致資料外洩,受侵害機率就相對比資料庫高。又以單一事件受侵害數量為例,偷走紙本資料一次頂多100~500張,損失範圍僅限這100~500張紙上的個人資料,然而一個資料庫可有數百萬甚至上億筆個資,損失範圍顯然遠高於紙本資料。
如何計算個資洩露的損失金額?
資誠企管顧問協理魯君禮表示,個資風險分成兩種:法規遵循、資訊安全,因為沒有遵循法規或是資安未做好而導致個資外洩事件,該事件的損失金額應該要包括:法律賠償、內部調查費用(顧問與律師費)、危機處理費用(受害人通報+公關費+廣告費)、信譽/業績損失…等。
|
表1、個資衝擊分析
個資形式
|
紙本
|
電子
|
個資受侵害的機率
|
高
|
低
|
保護成本
|
低
|
高
|
單一事件平均受侵害數量
|
低
|
高
|
單一事件平均機關損失
|
低
|
高
|
註:電子資料可再細分成檔案、資料庫、行動裝置…等。
資料來源:《資安人》整理,2012/6。
方法三、從數量/用途/成份/可識別性評估風險
個資風險與數量、用途、成份、及可識別性有關,舉例來說,假設一份管委會名單,裡面有10筆管委會成員的個人資料,包含姓名、地址與電話,其風險是高或低?又,若資料筆數增加,名單內有6千個管委會委員的資料,其風險顯然就比前者高;而若管委會名單變成大樂透中獎名單,資料筆數同樣是10筆呢?與10筆管委會名單相比,大樂透中獎名單的風險當然比較高,但若這份大樂透中獎名單上的個人資訊已經做好遮罩處理,如:王小明顯示為王XX,風險值相對就變低了。
因此,在評估個資風險時還有個比較簡單的做法,一樣將風險分成高、中、低三個等級,並分別列出以下
4個因素在不同風險等級的定義:
(1)個資數量:如個資數量超過200萬筆便是高風險;
(2)個資所代表的意義:亦即個資用途,像管委會或大樂透名單;
(3)個資成份:亦即個人資料的種類,像是姓名、地址、電話、財務資料…等;
(4)個資可識別性:個資有沒有經過遮罩或加密處理,或是個資儲存媒體有沒有做適當的保護。
KPMG企業績效與資訊科技協理謝昀澤提醒企業,在設定高/中/低風險的標準時,必須考量到法令風險及自身差異化。先就個資成份(或敏感程度)來看,敏感個資不應該只是個資法規範內的特種個資,它會隨著公司業務不同而有所差別,如:金融業有財務資料、電信業有通聯記錄、電子商務會提供物流資訊給第三方廠商…等,這是因為消費者在使用企業所提供的服務或產品過程中,可能產生不同種類個人資料,也因此不同企業對敏感個資的定義也就不一樣。
再以個資數量來看,每個公司因為經營的業態不同,所擁有的個資數量也不一樣,假設A公司擁有上千萬筆個資,隨便一個檔案所包含的個資數量都超過2萬筆,此時若把2萬筆定義成高風險,那麼A公司可能90%以上的檔案都是高風險,如此就看不出差異性,但若為了突顯差異性,將此數值設成低風險,一旦未來發生個資外洩事件,就可能有問題,因為從消費者感受、法官認定、法規遵循等層面來看,可能不會認同這樣的認定方式,因此,企業在定義個資風險高/中/低的標準時,不能像ISMS資訊資產風險評鑑一樣,只考量自身狀況,還要兼顧外界觀感才可以。
無獨有偶地,安資捷資安顧問蕭智仁對此也有類似看法,他建議企業可參考ISO/IEC 27005風險評鑑程序,來評估個資風險。其中,個資資產的重要性可以從3個角度來衡量(表2):機敏程度、可識別度、數量,企業在經過個資盤點後,便能定義出個資的機敏性、可識別性及數量級距後,同時在個資流程圖中,將重要性較高的流程標示起來,進而去思考現有保護措施是否足夠?哪些地方可能會有外洩風險?可再加強哪些控制措施?
表2、個資價值評估方式
|
高風險
|
中風險
|
低風險
|
機敏性
|
機敏類個資
|
一般類個資
|
公開類個資
|
可識別度
|
單一個資欄位即可足以識別個人的資料
|
多重個資欄位組合後,便得以識別個人的資料
|
多重個資欄位組合後,仍難以識別個人的資料
|
數量級距
|
大量
|
一般
|
少量
|
註1:機敏性由個資種類來決定。
註2:數量級距乃指儲存/處理/傳存的個資數量,這必須根據盤點回報的數量才能決定各級距大小。
資料來源:安資捷,《資安人》整理,2012/6。
個資風險評鑑範圍廣 方式簡單才能兼具時間效益
一般來說,風險評鑑方式分成兩種:詳細與基準。詳細風險評鑑方法有點類似ISMS資訊資產風險評鑑的做法,先列出個資檔案清冊,再列出每一份個資檔案可能遇到的弱點與威脅,進而評估該檔案的風險數值,然後針對風險值較高的個資檔案,去尋找相對解決方案,此作法的好處是比較精確,但也相對耗時費力。
至於基準風險評鑑則是把風險分成高、中、低三個等級(或更多),不去計算每份個資檔案的風險值,而是評估屬於哪一個風險等級,並列出各個風險等級應該要遵循的安全控制措施,再逐個檔案檢視是否已做到相對應、該有的安控機制,像前文所述3種方式皆屬於基準風險評鑑,這種作法的好處是省時間、員工比較容易理解。
謝昀澤認為,個資風險評估方式必須兼顧時間成本與員工理解力。畢竟個資管理涵蓋公司各部門,不像ISMS可以侷限在特定部門(如:資訊部),這些沒有經過ISMS洗禮的員工,要使其了解風險評估的意義與做法,已非易事,倘若計算方式太過複雜,豈不是加深理解難度,反而有可能造成事倍功半的反效果,因此,企業最好選擇一個相對簡單、容易理解的個資風險評估方式,員工自然願意去做,相對完成速度也會比較快。
無論使用哪種方式,有一個相同重點就是,將風險計算因子放進個資盤點表內,舉例來說,如果個資數量是企業用來評估風險的因素之一,那麼在個資盤點表內就必須有「數量」的欄位,以免員工為了計算風險又得重新盤點個資。而這也意味著,企業在進行個資盤點、風險評估前,必須先成立相關組織、討論出一套完整規劃,後續工作執行上才會有效率。
總結來說,企業在個資盤點後要做的就是風險識別、分析與評估,計算每一份個資檔案的風險價值,即便沒辦法算出實際數字,至少也要評估出先後順序,如此才能根據重點進行管理,畢竟組織資源有限,錢必須花在刀口上,所以才要考慮到哪些事項必須優先管理?哪些技術(如:實體安全、加解密、監控、存取控制、系統管理、資料遮罩、AP安全)是可行的,更何況新版個資法談到的也是配置相當資源,這不是指全部資源,而是適合自身組織的資源,但要投入多少比例才算合理,這就沒有絕對標準而是個人心證了。