【第167期 August 5, 2011】
 

資安前哨站

個資法的因應策略

作者/張義明

[發表日期:2011/8/4]


前言

我國在民國84年就訂定了「電腦處理個人資料保護法」,並在民國85年公布「電腦處理個人資料保護法施行細則」,明訂「徵信業、電信業、醫院、學校、金融業、證券業、保險業、大眾傳播業」等八大行業必須遵守。而新版「個人資料保護法」於4月27日在立法院三讀通過,總統令也正式於5月26日公布,目前預定在民國100年11月25日會公布施行細則,並公告實施日期。

在此次個人資料保護法中具有6個重要立法意旨:

  • 擴大保護客體:納入人工資料 (如 紙本文件),不再僅只於電腦處理之資料。

  • 普遍適用主體:原本之規範只有列入受管理的政府機關,與8種民間產業(徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業 )。而新版個資法則擴及到各行各業。

  • 增修行為規範:擁有個資之企業,不能任意運用個資進行行銷。同時在發生個資外洩時,企業必須盡到主動告知之義務 (基於SB 1386精神)。

  • 強化行政監督:監督權責由執法單位的司法機構,授權至中央目的事業主管機關或地方政府得強制檢查、處分或處罰。

  • 促進民眾參與:就是建立團體訴訟之機制 (代位求償)。

  • 調整責任內涵:之前是只有民事責任,現在則有刑事責任。


  • 以目前法務部提供的資訊來看,在施行細則中針對「公務及非公務機關之適當安全維護措施」預計會明定安全維護事項,此安全維護事項包括:

  • 必要之組織
  • 界定個人資料之範圍
  • 隱私權影響評估
  • 個人資料蒐集、處理或利用之程序
  • 當事人行使權利之處理程序
  • 資料安全
  • 資料稽核
  • 人員管理及教育訓練
  • 設備管理
  • 紀錄與證據之保存
  • 緊急應變措施及通報
  • 改善建議措施
  • 其他安全維護事項明訂


  • 如何因應個人資料保護法

    「個人資料保護法」中規範個人資料由收集、處理、儲存、利用、與銷毀等階段皆須符合「個人資料保護法」。

    資料本身而言是『靜態』的,但是當資料在被處理時,其實是一個『移動』的過程,是在組織內部不同的部門、不同的人、進行不同的作業。所以資料處理是有『生命週期』。在思考個人資料要如何保護時,應該要從這方向去思考及規劃的。


    《圖一》個人資料週期


    首先在因應「個人資料保護法」,應先了解到「個人資料保護法」包含的不只有IT,「個人資料保護法」規範的收集、處理、利用來說,跟IT有關的部分只在處理這個部分,而收集與利用都跟公司的業務或是發展有關,因此因應「個人資料保護法」是全公司的事,不能單由IT來看待。

    目前公務機關在法務部的要求下,正進行各單位的個人資料盤點,因此在因應「個人資料保護法」首先要做的部分是確認公司內部擁有的個資有哪些?即是進行個資盤點,個資盤點除了確認公司擁有那些個資外,還需要知道個資由誰收集?誰會使用?業務程序為何?

    後續還有許多的工作,如:個資衝擊分析、威脅弱點分析等,此部分可參考以下圖示:PIMS建置階段。


    《圖二》PIMS建置階段
    註:「PIMS建制階段」資料引用「NII產業發展協進會」


    為了保護公司內部的個人資料,在資訊處理上凌群電腦建議建構完善的資訊保護作為,採用足夠的防禦縱深來保護,在不同的環節佈署對應的安全防護作為。

    以一個提供服務的資訊系統來看,可概略分為提供連線的網路,提供服務的系統(包含作業系統、Web Serve、資料庫...)以及資料、應用作業、業務流程,因此在安全防護上可在不同的環節來處理。

    在不同的環節可導入那些資安防護作為,可由圖三資訊安全架構中來了解。其中包含的完整的資訊安全防護建議,由基本的防火牆,防毒防駭機制,到日誌保存與處理,提供完整的資訊安全保護方案。


    《圖三》資訊安全架構


    由另一個方向來看、可把資訊安全防護作為分為:網路、端點、伺服器、網站、資料庫來進行保護,相關防護作為如下:

  • 網路:可採用防火牆,UTM,入侵防禦系統...等
  • 端點:防毒,個人防火牆,DLP...等
  • 伺服器:伺服器行防毒,防火牆...等
  • 網站:WAF,Code Review,網頁弱點弱掃...等
  • 資料庫:DAM,DBF...等



  • 《圖四》


    若從資料保護的角度來看,由資料存取端(端點:Client PC,移動式設備、、),提供資料存取的服務端,與資料儲存端都需要納入資安防護。

  • 資料存取端:就是端點防護,除了基本的防毒外,建議像使用者識別,資料外洩防護、資訊安全教育訓練...等。

  • 資料存取的服務端:就目前來說大多數採用Web 服務,建議評估網頁應用程式防火牆(WAF),程式碼檢測...等。

  • 資料儲存端:目前大多數資料是以資料庫方式儲存,建議採用資料庫稽核(DAM),資料庫防火牆...等防護作為。



  • 《圖五》


    結語

    凌群電腦在個人資料保護上結合了專業的顧問團隊,豐富的資訊系統建置經驗,完整的資訊安全產品,國際品質的系統開發能力,架構出完整的資訊安全架構與服務,提供客戶專業規劃與建置服務。關於相關服務,請與我們聯絡。