https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

立法院降低安全風險 從個資瘦身開始

2012 / 11 / 21
廖珮君
立法院降低安全風險  從個資瘦身開始

立法院降低安全風險  從個資瘦身開始

企業進行個資風險評鑑,最重要目的是瞭解個資檔案的風險,才能規劃後續的風險管控機制。KPMG企業績效與資訊科技協理謝昀澤認為,個資風險管控有兩個重點:法規遵循與資料外洩防護,個資保護應該優先考量法規遵循性的風險,亦即作業程序是否會違法;再者才是資料安全維護的風險,評估應該採用哪些降低風險的措施,如果是已經導入ISMS的企業,可將此部份與ISMS整合,避免多頭馬車的管理。

個資風險管控 大小企業難度不同

就上述二個風險管控重點來看,大公司比較不容易做好法規遵循,小公司在資料外洩防護上會比較辛苦。對大公司來說,若要做好法規遵循,勢必得修改現有標準作業程序或是服務合約(如:聘雇契約、招標合約等),才能符合法令規範,而且這種為了適法而必須修改的SOP一定很多,大企業員工人數多,要確保每一個員工都會按照新的SOP來作業,相對來說比較不容易,但站在另一個角度來看,大企業有足夠的資源可以導入IT系統,不如將SOP寫入系統變成無紙化作業,一來降低列印機率,二來系統存取都會留下記錄,可以簡化控管程序。

 

但是中小型企業卻恰好相反,因為企業規模小,要求員工遵守SOP或是重新制定SOP都不會太麻煩,不過,其資安資源素來不充足,個資被入侵或不當揭露的風險比較高,若要做好資料保護,甚至舉證證明已善盡管理人責任,相對困難許多,建議可從端末設備(包含桌上型電腦與Mobile設備)、檔案控管(包含從資料庫匯出的檔案如何做好保護)、及紙本保護三項做起,如:使用office加密、zip加密、強制列印出的紙本文件要加浮水印等。

立法院三階段評估個資風險

立法院自從個資法三讀通過後,就開始規劃個資保護管理制度,並在資通安全會報下成立個人資料管理小組,由資訊部門負責制度推動與導入相關事宜,目前已進入內部稽核階段。立法院資訊處副處長秦劍雲表示,當初在做個資風險評鑑時,總共分成三個階段:

第一步:先從資料構面評估衝擊值,亦即目前所擁有的個資檔案或文件,倘若外洩可能造成的衝擊有多大,在此沿用ISMS營運衝擊分析的概念,分成以下4個級距:

ü  一般(1):檔案或文件裡的個資沒有姓名及身份證字號(或護照號碼);

ü  中度(2):檔案或文件裡的個資有姓名、但沒有身份證字號與特種資料;

ü  高度(3):檔案或文件裡的個資有姓名與身份證字號、但沒有特種個資;

ü  極高(4):檔案或文件裡的個資有姓名或身份證字號+特種資料

 

第二步:從蒐集、處理、利用、傳輸、刪除/銷毀五個面向,檢視可能有哪些威脅(如:資料外洩),這些威脅可能由哪些弱點引起(如:委外處理),再逐一計算各個弱點對八大風險構面的影響,加總之後乘上衝擊值,即為該筆個資檔案的風險值。八大風險構面分別是組織聲譽、財務影響、非公務機關違反個資之處分、個資蒐集/處理/利用、個資傳輸方式、保存與銷毀、安全控管措施、及個資法訂定之期限,企業如果覺得哪一個風險構面比較重要,可自行設定加權比重,其計算公式如下所列。

 

立法院個資風險計算公式:

個資風險值 = 個資衝擊值 X (組織聲譽*權重 + 財務影響*權重 + 非公務機關違反個資之處分*權重 + 個資蒐集/處理/利用*權重 + 個資傳輸方式*權重 + 保存與銷毀*權重 + 安全控管措施*權重 + 個資法訂定之保存期限*權重)

 

第三步:計算出每一筆個資檔案的風險值之後,運用80/20法則,將80%的資源用於降低前20%的風險,列出前面20%的風險值(如:42分),並設為基準值,只要風險值大於42分的個資檔案,就得執行風險降低處理措施,由各單位自行思考規劃、資訊部從旁予以協助。

 

立法院資訊處高級分析師梁雯璍進一步指出,很多使用單位都不知道該怎麼做才能降低風險,其實最簡單的方式就是個資瘦身,也就是清除很久都沒有在使用或是不必要的個人資料:

(1)   立法院全球資訊網的網站會員,以前在註冊時必須填個人資料,如今可以只填代號就好,倘若日後有陳情需求時,再補上姓名與電話;

(2)   總務部門在製作外包廠商服務證時,以前都會要求對方提供身份證影本,以確認當事人身份,如今則改成外包廠商開立在職證明,列出專案成員姓名及任職期間,再經由負責此專案的立法院聯絡窗口簽名確認,就可以發證;

(3)   國會圖書館的會員申請,以前強制要求填寫姓名與聯絡方式,現在已經將電話列成非必要欄位,申請者只要填入姓名、E-mail及帳密就能成為會員。

結論

企業在進行個資風險評鑑時,通常不會有太大問題,頂多只是員工不瞭解風險評估方式,不知道如何計算風險,因此,事前的教育訓練非常重要,最好在教學時可以設計一些模擬考題,讓員工透過實作了解如何計算個資風險。另外,還要克服使用者配合度的問題,曾經有使用單位在計算風險時,發現風險值太高,便改口說個資盤點表填錯了,要求重新盤點,甚至在一開始個資盤點的時候就不配合,堅持自身業務範圍沒有個資,這只能靠主事者不斷溝通,才能順利完成風險評鑑。