歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
法蘭克福新時代傳媒有限公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
拒上頭版!機密資料做好分級控管
2009 / 05 / 12
謝持恆
資料保護的工作,非僅是資訊單位的職責,高層應當分出資料文件的大方向,並訂定出每個人的使用權限,以降低資料外洩的機率。
當我們進入任何一個組織,如果提出這樣的問題:「請問你們的機密資料有沒有分類?又是如何進行控管?」,很典型的會聽到2種答案。有一派的人會告訴你說:「我們單位有分普通、機密和極機密的資料,都有分不同顏色的公文夾,我們看到公文夾的顏色,就知道文件的機密等級。」另外一派的人,則會用一雙哀怨的眼神看著你,幽幽的表示:「我們又不是情報單位,也沒有國防資料,不會有人對我們的資料有興趣。」也許我們該拍拍手,大家對於機密資料都有很好的處理。從另外一個角度來看,重新定義「機密資料」,會不會有不一樣的答案?
熟悉資料特性 給予適當保護
什麼叫「機密資料」?簡單來說,就是不想讓其他人所知道的資料。就像年輕的歲月,日記是傾訴心事最好的管道,在日記中記載著青少年的懵懂、對師長的不滿。這樣的文件,當然不是任何人可以垂手可得,於是另一場鬥智遊戲又再度展開,床墊下、牆壁的夾層,都可以變成日記藏身的所在。
時至今日,對應到組織內,機密資料就更多了,從組織的經營方針、財務流向,乃至於新產品的研發計劃,都不是一般人可輕易取得的,當然需要被列管。除了組織整體性的資料外,各部門內也有屬於各自的機密資料,行政管理單位採購發包的金額,法務部門訴訟中的案件,不要覺得這些文件不重要,想像一下,如果有一天人事單位把薪資所得資料傳送給每一個人,那會是怎樣的下場呢?
有了這一層認知,就可以知道所有單位都會存在所謂的機密資料,而展現的方式,可能是紙張、或是電子檔案,這些機密資料,會隨著產業特性或是部門特質而有所差異。不同的資料型態,相對所採用的保護方式也就不同。傳統的紙張,可能採用限閱的方式,文件閱覽過後,不允許複印,文件也是統一保管,更不可以攜帶到其他的場所。
至於電子檔案,使用者帳號密碼這是最起碼的限制,必要的時候,可能對資料採用加解密或是亂碼的措施。正因為機密資料的型態不是只有單一的形式,目前很多組織都列一個概括性的原則,如果只依照大原則的分類,或是只想靠單一的文件控管軟體,就以為可以解決機密資料的問題,那真是把問題想得太簡單了。如果各部門無法整理出屬於自己單位的機密資料,不了解這些資料的特性,那又如何能談下一步的保護。
資料保護意識 管理階層帶頭做
更何況無論是紙張文件,或是電子檔案,目前所採用的控管措施,大部分都還是偏重在使用的階段,也就是那些人在工作職掌上有需要運用這些資料。但是資料不會憑空產生,也不會無故消失,整個資料生命循環,從最初的產生,到最終資料的銷毀,無論是儲存、遞送,每一個過程都應該依照資料本身的屬性,進行不同的處理,這才是完整的機密資料分類。但是很可惜的,連最基本的機密資料分類,都已經弄得焦頭爛額了,更不要說還要注意到不同的階段,需要有不同的控管方式。也正因為如此,我們可以看到軍事機密,可以從廢紙場中被人整袋買回。好好利用搜尋引擎,不難發現那又是另一個樂園,未經錄取的求職人員個人基本資料,國中生學籍資料也在網路上歷歷在目。上級主管機關可以把下屬單位的資料原封不動的放在網路上,不管是組織架構、公務車使用記錄,甚至連人事考評都可以在網路上清楚的查閱。不知道那樣的心態,是不知道這些也是機密資料需要保護,還是覺得那是別人家的資料,就算出問題也與我無關。
最近更聽說某家金融機構,員工工會強力要求管理階層,要將組織內所有的作業辦法、管理規章、作業程序,全部可以開放讓人員可以自由取得,不受任何管制,甚至可以任意影印攜出。我們不知道這家金融機構是否已經日暮西山,所以工會已經幫員工做好跳槽其他金融機構的準備,還是根本沒有機密資料的意識,把組織資產當作廢鐵般秤斤論兩的在販售。如果連組織營運的資料,都可以毫不重視,那未來發現客戶資料外洩的事件,似乎也不需要特別的訝異了!
關於機密資料,首先一定要建立起資料保護的意識,不管資料分類的大方向為何,是依照資料所牽涉到的金額多寡,還是依照資料機密性的程度,那些越少人需要知道的資料就越機密,或是依照核決權限,需要越高階層主管核可的資料就越重要,同樣的都要確認那些資料是應該歸屬於組織、單位或個人應該負起保護責任與義務的,再來看看這些資料要如何區分,這才進入到資料分類的階段,依照不同的分類以及不同的使用階段,分別設定不同的措施。對於高階主管而言,如果不希望自己組織內的核心技術,成為同業仿冒複製的對象。或是因為所謂機密性文件不當的控管,而成為隔日媒體頭版的焦點,甚至有可能因此而辭官下台,那麼就請開始注意這些容易被人忽略的機密資料吧!不要覺得這只是資訊單位的事,或是只是表面上宣示一下口號,這樣都無濟於事。更何況不管使用再先進的設備工具,還有一種洩漏管道是無法抵擋,那就叫口語傳播。真正要杜絕言語上的外洩,就只有看高階管理階層,有沒有如此的毅力和認知了。
資料分級
最新活動
2021.03.09
第20屆 亞太資訊安全論壇暨展會
2021.03.11
Fortinet ACCELERATE 2021-線上網路大會
2021.03.18
後疫情時代|資安策略的轉變與資安治理的價值
2021.04.21
物聯網資安跨界聯防應用專區@Secutech 2021
看更多活動
大家都在看
最新 Sunburst 目標式攻擊分析
美國聯邦密碼模組安全標準FIPS 140-3,防止機敏資料外洩
紅帽: 2021數位轉型策略需思考五大關鍵趨勢,資安是要素之一
雲端為王:2021年需關注的9種軟體安全趨勢
[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?
資安人科技網
文章推薦
Sophos 發現攻擊程式碼隱藏在記憶體中的行為並提供對應保護
美國CISA針對微軟 Exchange 嚴重漏洞發布緊急修補命令
全景軟體ID Expert身份認證系統強化數位金融的資安防護