概述凌群個資法解決方案-個資檢核服務

作者/林信忠

前言 個人資料保護法(以下簡稱個資法)自2010年4月27日立法院通過,5月26日總統公布之後到今天已經歷了近兩年的時間,這段時間不管是公務機關(如法務部)或民間業者(如律師事務所、資安顧問公司、資訊安全廠商等)都舉辦了多場研討會或說明會,其目的不外乎教導大眾如何規避牴觸法條所可能招致的損失抑或是著眼於個資法實施後所帶來的資安顧問或產品銷售商機。 面對個資法,在推廣相關個資服務或技術時,客戶可能會有下面這樣的疑問:
  • 疑問一:“凌群針對個資法的整體解決方案是甚麼? ”
  • 疑問二:“個資防護的範圍那麼廣,企業應該從哪個著眼點切入?“
  • 疑問三:“公司要編明年或下一季的資訊預算,想要採購個資保護設備,要怎麼編呢? ”
  • 疑問四:“不知道其他同業個資保護方面做了些甚麼?有沒有資料可以參考? ”
筆者藉由凌群資訊安全/個資保護主要方案「個資檢核服務」提出見解,並藉此讓相關人員能充分了解此項服務的意涵。 凌群個資檢核服務 其實,上述疑問有時不怎麼容易回答,那是因為大部門的用戶IT解決方案各自獨立,欠缺一個個資保護的方法論來將這些東西整合。隨著時代演進、資訊科技發達和人們觀念的改變, 客戶要的是解決方案而非單一的一種產品。比方說一台網頁應用程式防火牆,客戶會質疑“我為什麼要買?是否買了這台防火牆後資訊安全或個資保護就能一勞永逸?”,說穿了就是必須有一套說法、一種方法論去告訴客戶,讓他(她)們了解“歐!原來這就是我們公司所欠缺的”,是故設計「個資檢核」這個服務的想法就應運而生。 凌群個資檢核服務的用意乃是提供一套方法論,這個服務跨涉到資安顧問諮詢領域,但又不需那麼深入,其主要設計的想法在於完成整合各種凌群現有方案到客戶端所需的最後一塊拼圖,藉由搭個資法順風車而提出這個服務。其理論基礎如圖一:

《圖一》凌群電腦個資檢核基礎
《圖一》核心是欲保護的個人資料,圍繞在核心外圍的是個資生命週期,分為收集、處理、儲存、傳送、報廢四個階段。個資法對收集、處理、傳送有如下定義:
  1. 收集:指以任何方式取得個人資料。
  2. 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複 製、檢索、刪除、輸出、連結或內部傳送。
  3. 傳送(國際傳輸):指將個人資料作跨國(境)之處理或利用。
再往《圖一》個資生命週期外看則是法律層面的議題。中華民國台灣目前保障個人資料(訊)或隱私權的法律(規)主要有刑法、民法、國家機密保護法、通訊保障及監察法、證券商資訊安全檢查機制這五種法規;個資檢核服務設計的理念就是組織透過《圖一》最外層的管理、技術、操作、支援四個構面的控制或檢查措施(checklist)要求,來達到符合政府法律規定,在個資生命週期的各階段提供防護,進而達到保護個人資料的最終目的。上述四個構面利用訪談來了解客戶組織在保護個資上是否足夠?其構面意涵說明如下:
  1. 管理類:組織是否訂有個資蒐集、處理、利用與防範個資洩漏、竄改、竊取、毀損、滅失的政策或程序?
  2. 技術類:組織是否有防範個資洩漏、竄改、竊取、毀損、滅失的產品或技術?
  3. 操作類:組織是否切實遵行並稽核管理類政策或程序的實施?
  4. 支援類:組織之高層主管對個資保護的態度與企業(行業)體質為何?
為什麼這樣設計呢?個資法共計五十六條,許多人以法律的角度來解釋它,筆者以為這樣會陷入一種空談,因為法律這種東西沒有絕對的判斷標準,不同法官的判決有可能南轅北轍,從前總統陳水扁的司法判決就可獲得證明,於是乎應該盡量避免從法律面來切入。凌群個資檢測服務乃從資訊安全的角度,針對個資法關鍵意涵條文(第十八、二十七、二十九條),從如何防止資料被竊取、竄改、洩漏、毀損、滅失著手,設計出個資法風險診斷檢核表(《表一》,以下簡稱個資檢核表或檢核表),藉由訪談客戶組織個資保護的關鍵人物來了解客戶真正欠缺甚麼?
《表一》個資檢核表範例
目前檢核表共四十六個項次,管理類(18)、技術類(20)、操作類(4)、支援類(4),這些項次數量可按照個資法現況訊息做增減。比方說法務部或輿論大眾對個資法提出新的見解,這些新的見解可被考量轉化成新的項次;又或其中某個項次內容重複則可做刪減,是故個資檢核表是持續變動而非一成不變的。 檢核表共計六種評定等級,從最高的非常完整到最低的尚未辦理,目的希望用量化的數據來展現出該項次客戶組織的個資防護水平。因檢核表具通用性質,適用於各行各業,難免會遇到某項次不符合某種行業特性的問題,故另外增加不適用這個評定等級。 當凌群資安顧問訪談完四十六個項次並輸入每項次的評定等級後,透過EXCEL內建預設公式可計算出客戶組織的個資檢核結果總分,此總分以量化的分數來代表整體單位的個資防護水平,其中評定等級因牽涉顧問主觀的認知,可做事後調整。比方說訪談時某個項次評定等級為尚可,但後來經過凌群內部討論後覺得尚未達到尚可要求,此時評定等級可向下修正,這樣的調整以契合客戶環境與彰顯顧問專業性為主。 個資檢核的程序 整個個資檢核的程序概略說明如下
  1. 服務流程
    1. 服務次數:2~3次分為啟始會議、實施、結案會議(optional)
    2. 雙方簽署保密協定
    3. 完成時間:約15個工作天
    4. 產出物:個資檢核結案報告書
    5. 凌群服務人數:2~3人
    6. 服務內容:區分為四項
      • 個資法檢核表訪談
      • 系統弱點掃描檢測(optional)
      • 員工上網行為檢測(optional)
      • 惡意程式檢測(optional)
  2. 客戶配合事項
    1. 訪談客戶人員角色:資安人員/主管、資料庫管理人員/主管、主管,這些人是能夠了解環境並能不偏誤回答的人,假定主管或是資深員工對自己組織環境應較為了解。
    2. 如實施系統弱點掃描檢測,要讓檢測流量能夠通過防火牆,且欲檢測的目標主機需關閉個人防火牆 。
    啟始會議:此為實施個資檢核服務前的先期作業。凌群資安顧問於啟始會議中對個資檢核服務程序與個資法向客戶做簡報,也希望藉此會議了解客戶的一些資訊(如所屬部門、組織架構與企業文化等)做為參考;若客戶對此服務有興趣則可約定正式檢核的時間。啟始會議的時間不會太長,一般限定在90分鐘以內完成。 實施檢核:此刻凌群資安顧問會針對個資檢核表46個項次,逐一詢問客戶以獲得檢核服務的必要資訊,實施檢核的時間通常限定在2小時內完成。 結案會議:非必要選項,當需要向多位或更高層級的客戶主管報告時需召開此會議,由凌群資安顧問將檢核結果摘要成簡報,由客戶特定人員或顧問向高層簡報。 保密協定:由於個資檢核表屬凌群的Know-How,且資安顧問在訪談的過程中或多或少知道一些客戶敏感資訊,故雙方需簽署保密協定以示慎重。唯協定內之簽名或用印不需要到很高的層級,一切考量以方便性為主;此保密協定於實施檢核時由凌群人員交給客戶,最好能於檢核完畢時返還。 個資檢核結案報告書:此報告書扮演遂行個資保護的重要角色,其主要架構說明如下:
    1. 個資風險檢測結果章節:依據檢核表呈現出客戶整體管理、技術、操作、支援四個構面的檢測結果。如下範例:
      1. 管理類:貴單位目前未指派專人/組織負責個人資料保護業務事宜。
      2. 技術類:未定期對網站系統及資料庫進行弱點掃瞄。
      3. 操作類:對個資外洩之資安事件處理與其預防矯正措施未存留紀錄。
      4. 支援類:高層主管不甚了解違反個資法所可能造成的組織傷害。
      檢核表中屬尚未辦理或尚待加強的評定等級項次可列在個資風險檢測結果章節。
    2. 個資風險檢測結果建議章節:這個章節是結案報告書的重點,呈現出凌群顧問對客戶個資保護環境的建議,同樣分管理類等四個構面,如下範例:
      1. 管理類:貴 公司宜針對保護個人資料擬訂出相對應的作業程序與權責。 以管理類的建議措施來說,偏制度或程序方面的改善;若客戶對這些建議有興趣並有意願導入資訊安全或個資保護制度(如ISO 27001或BS10012等),可協同凌群合作的顧問公司一起進行。
      2. 技術類:此章節敘述欲推薦的產品規格或其特殊優點,主要以凌群之資訊安全線上的產品為主,可視客戶實際情況作調整。茲將技術領域分類與產品名稱簡列如下:
        • 加密類:如check point、safeguard Easy等
        • 防毒牆類:如Fortinet UTM,趨勢科技等
        • 系統弱點掃描類:如Retina Network Security Scanner、DragonSoft等 
        • 用程式(網頁)弱點防護類:如Imperva SecureSphere WAF、Fortiweb、HackAlert等
        • 弱點管理(含網頁)類:如WSUS、阿碼科技CodeSecure等
        • 資料外洩防護類:如日立HIBUN、趨勢科技、賽門鐵克、TFG、IP Guard等
        • 資料庫防護類:如Imperva SecureSphere DBF,DAM、玄力科技Chalet ADS等
        • 備份產品類:如Symantec
        • 防火牆(UTM)類:如Fortinet、BlueCoat等
        • 存取控制類:如:ForeScout ACT
        • 側錄類:如IP Guard、定興科技、NIKSUN等
        • 實體身分認證類:如日立指靜脈辨識系統
      3. 操作類:貴公司對於瀏覽器請要求員工關閉或限制高風險的程式執行。可藉操作類建議措施強化個資保護的執行面。
      4. 支援類:建議可想辦法利用正式或非正式場合讓主管了解個資法對公司營運與高階主管的衝擊。支援面的建議目的是希望個資保護的各種控制措施能得到組織高層的充分了解與支持。
    3. 量化結果說明章節:本章節呈現出個資檢核的量化結果,並將結果分為改善前《圖二》與改善後《圖三》來分析

      《圖二》改善前總分(52.56)

      《圖三》改善後總分(72.56)
      1. 改善前:本次檢核結果的量化總分。
      2. 改善後:假設客戶依凌群資安顧問的建議對尚待加強或尚未辦理的項次實施控制措施 進步後的量化總分。
    系統弱點掃描檢測:此為非必要選項,若資安顧問評估需要且客戶也有意願做檢測,則利用凌群購買的系統弱點掃描軟體(Retina Network Security Scanner)做檢測。該軟體為一國際知名軟體,具快速掃描與非入侵式掃描方式等特性,資安顧問會將此檢測結果併入結案報告中。 員工上網行為檢測:為非必要選項,若資安顧問評估需要且客戶也有意願做檢測再進行。此檢測需放一台上網行為檢測硬體設備至客戶端環境,經過一或二週的監控觀察後產生員工上網行為分析報表,凌群資安顧問會將此檢測結果併入結案報告中。 惡意程式檢測:為非必要選項,若資安顧問評估需要且客戶也有意願做檢測再進行。此檢測乃將威脅管理服務(Threat Management Service)硬體設備導入客戶網路環境,同樣經過一或二週對網路流量的監控觀察來辦別出客戶環境是否被植入惡意程式?凌群資安顧問亦會將此檢測結果併入結案報告中。 附帶說明的是,若實施非必要選項,則交付個資檢核結案報告書的時間會超過15個工作天。
結論 個資檢核服務內容除必要的個資法檢核表訪談外,其它選項可視客戶環境相互搭配實施。比方說結案報告在推薦技術類的產品中加入產品報價則可做為預算編列的參考。又或者將多份個資檢核客戶的量化結果分數與建議的產品做統計可以回答疑問四的問題。 不可諱言,此服務的目的是以創造個資保護商機為宗旨,若同時能改善客戶的個資保護環境則是再好不過的事情。新版個資法實施後,預料會增加極高的法律風險,尤其該法的範圍涵蓋所有組織與自然人,沒有一個組織或個人能保證不會遭遇相關的訴訟或行政檢查;唯有及早預防,透過管理類的政策、程序搭配技術類的產品並落實相關操作類稽核方能有效降低風險。 筆者設計的個資檢核服務另一個目的在於嘗試建立一個資保護系統化依循準則,俾協助公、私營機構甚至法院與事業主管機關面對個資法產生議題時的一項參考;當然若能落實個資檢核表的控制項目要求,不管對組織或個人,絕對會產生一定程度的助益。 參考資料 中華民國個人資料保護法。