觀點

IC 設計龍頭聯合檢調打擊洩密內賊,企業IT如何合法監控防止洩密歪風?

2014 / 08 / 25
本篇文章內容由廠商提供,不代表資安人科技網觀點
IC 設計龍頭聯合檢調打擊洩密內賊,企業IT如何合法監控防止洩密歪風?
最近台灣IC 設計業龍頭聯合檢調力量,對涉有洩密重嫌之離職員工住所及新東家辦公室進行大規模搜索,且案情直指對岸。此案再次震撼台灣科技業,讓日趨白熱化的兩岸產業競爭,再次搬上媒體頭條。洩密事件主角為內部員工,凸顯企業在營業秘密管理上內部員工的風險與威脅,而資訊部門應該在平時扮演何種角色,以協助企業落實內部員工管理,中華數位科技企業資料保護研究小組分享如下。
存有企業機敏檔案的檔案伺服器、電子郵件、文管系統、資料分享平台等,建置一套完善的Log 紀錄與分析工具為企業的基礎資安設施,且建議應包括異常警示通知與定期報表功能,以供企業高階主管或稽核人員審閱。台灣的高科技業,實務上也流行監控員工的IM通訊、事務機使用、USB傳輸等,以確保可以在必要時提供相關佐證資料以保護公司的利益。
企業資訊系統所需的監控設備,通常是資訊單位負責採購與建置,而最常使用的方式為『常態的進行監控,但不主動查核』。但這樣的建置方式能夠發揮的內控效果有限,中華數位企業資料保護研究小組建議採行以下方式,發揮設備的最大效果:
1. 由資訊單位主動分析日常記錄後,定期產出報表,包括『異常存取事件』、『異常使用量』、『非法存取事件』等均應納入報表。
2. 報表應定期(每週或每月)發送各級主管或稽核專員查閱,以主動發現異常情事。
3. 如主管或稽核員發現有異常情事,應遵循內部流程,針對特定員工進行深度調查與證據蒐集,以確保在必要時可採取法律行動以保障公司權益。
中華數位科技企業資料保護研究小組特別提醒,上述監控作業因有可能會侵害內部員工的個人隱私,且隱私權屬於憲法保障範圍,在執行前建議應召集資訊、法務、稽核、管理單位,共同制訂稽核政策與流程,包括公告稽核政策、請員工簽署監控同意書、稽核程序SOP化,以確保全部的程序均有嚴謹的內部流程控管,所有員工的隱私都能在合理的保障內,同時達到企業營業秘密監控的保護目的。
中華數位科技企業資料保護研究小組提供營業秘密保護的完整解決方案,包括完整的營業秘密制度導入、協助客戶建置稽核與內控制度、以及侵害事件證據蒐集等顧問服務。中華數位產品銷售包括ALog Converter,具備檔案伺服器、資料庫系統、AD系統等記錄的蒐集、資料減量、自動化分析、事件警示、事後調查的完整功能。以及郵件管理工具Mail SQR Expert / Mail Archiving Expert,網路行為監控工具Contet SQR等,可以協助企業建立起一套非常完善的記錄管理機制。

※關於中華數位「企業資料保護研究小組」:
中華數位以其專業顧問諮詢經驗結合專業法律事務所,提供企業一站式的顧問服務:
? 企業個資法規遵循服務
? 企業營業秘密制度輔導服務
? 資料外洩事件調查與諮詢服務
? 觀念講座與訓練課程
? 資料安全防護系統規劃(含工具導入)

了解更多產品與服務,請洽02-25422526或上中華數位科技官方網站查詢http://www.softnext-inc.com/