觀點

個資檔案遍地開花 資安人難以擺脫的惡夢

2014 / 04 / 11
魯智深
個資檔案遍地開花  資安人難以擺脫的惡夢
過完了年,新年度的工作又開始積極展開。除了例行性的權限清查外,又配合個資的專案,開始要清理網路磁碟機。說正經的,這也是以往一直不願意去面對的痛。為了怕個人電腦留存太多檔案,就一直在鼓勵使用網路磁碟進行資料儲存,但使用量卻是急速增加。從公司的形象影音檔,到部門旅遊的照片,各式各樣五花八門的檔案全部都有,雖然也曾經不斷發出提醒,要大家注意只有與公務有關的檔案才放上去,無奈大家已經養成習慣,什麼檔案都往那邊擺,甚至變成個人電腦的備份場所。再加上這幾年公司組織一直在改變,部門間不斷在上演重組、合併的戲碼,每一次組織變動,就要重新規劃磁碟空間,舊的資料繼續留著,新的資料又加進來,要不是這次個資風險評估,發現網路磁碟裡面存放了太多的個人資料,已經變成公司個資管理的高風險區域,不然很可能繼續抱著鴕鳥心態不聞不問。

但要怎麼開始呢?權限清查當然是首要作業,雖說是各部門只能將檔案放在所屬部門的區域內,但部門一調動就有很多人同時擁有兩個部門的權限,剛開始權限沒收回來,後面再追就很困難。如果有些同仁還身跨分、子公司,那就真的不知道權限要不要刪除。權限處理完了就面臨重頭戲:「擺放的檔案內容」。業務單位說得很簡單,資安部門訂規則,超過期限的就全部刪除。真的要這樣執行了,抱怨電話就開始接不完,企劃單位說我們要看長期的趨勢,所以要從過去的歷史資料來推估,而且這兩年又在講Big Data,所以他們的檔案沒有期限的問題,全部都要保留。客服單位也跳腳,說理論上活動的檔案過期就可以刪除,但是常常客戶會打電話來問很久以前特定的活動,那些中獎名單雖然都是個資,但是如果找不到客戶之前中獎的紀錄,客戶除了開罵外,又會影響公司的業績,所以檔案也不能動。行政管理處說得更直接,就告訴你沒有人力去看這些檔案,資安部門要刪檔案可以,但不能影響到他們的業務,如果有需要,還是有可能要把刪除的檔案救回來。

甚至還有些部門就告訴你檔案已經自行清除過,部門主管也都簽名壓章了,但儲存空間和檔案數量完全沒有變動,很明顯就是在虛應故事,裡面的個資檔案還是存在,到時候稽核單位發現了缺失又是開在我們這。不管怎樣都有抱怨的聲音,認為公司管太多了,已經有那麼多資安政策了,現在連檔案也不讓大家存放。但無論如何還是要面對這些陳舊的包袱。看起來如果沒有其他更積極的作為,這樣的惡夢,每年還會不斷的重複再上演著。