[發表日期:2011/8/4]
前言
我國在民國84年就訂定了「電腦處理個人資料保護法」,並在民國85年公布「電腦處理個人資料保護法施行細則」,明訂「徵信業、電信業、醫院、學校、金融業、證券業、保險業、大眾傳播業」等八大行業必須遵守。而新版「個人資料保護法」於4月27日在立法院三讀通過,總統令也正式於5月26日公布,目前預定在民國100年11月25日會公布施行細則,並公告實施日期。
在此次個人資料保護法中具有6個重要立法意旨:
擴大保護客體:納入人工資料 (如 紙本文件),不再僅只於電腦處理之資料。普遍適用主體:原本之規範只有列入受管理的政府機關,與8種民間產業(徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業 )。而新版個資法則擴及到各行各業。增修行為規範:擁有個資之企業,不能任意運用個資進行行銷。同時在發生個資外洩時,企業必須盡到主動告知之義務 (基於SB 1386精神)。強化行政監督:監督權責由執法單位的司法機構,授權至中央目的事業主管機關或地方政府得強制檢查、處分或處罰。促進民眾參與:就是建立團體訴訟之機制 (代位求償)。調整責任內涵:之前是只有民事責任,現在則有刑事責任。以目前法務部提供的資訊來看,在施行細則中針對「公務及非公務機關之適當安全維護措施」預計會明定安全維護事項,此安全維護事項包括:
必要之組織界定個人資料之範圍隱私權影響評估個人資料蒐集、處理或利用之程序當事人行使權利之處理程序資料安全資料稽核人員管理及教育訓練設備管理紀錄與證據之保存緊急應變措施及通報改善建議措施其他安全維護事項明訂如何因應個人資料保護法「個人資料保護法」中規範個人資料由收集、處理、儲存、利用、與銷毀等階段皆須符合「個人資料保護法」。
資料本身而言是『靜態』的,但是當資料在被處理時,其實是一個『移動』的過程,是在組織內部不同的部門、不同的人、進行不同的作業。所以資料處理是有『生命週期』。在思考個人資料要如何保護時,應該要從這方向去思考及規劃的。
《圖一》個人資料週期
首先在因應「個人資料保護法」,應先了解到「個人資料保護法」包含的不只有IT,「個人資料保護法」規範的收集、處理、利用來說,跟IT有關的部分只在處理這個部分,而收集與利用都跟公司的業務或是發展有關,因此因應「個人資料保護法」是全公司的事,不能單由IT來看待。
目前公務機關在法務部的要求下,正進行各單位的個人資料盤點,因此在因應「個人資料保護法」首先要做的部分是確認公司內部擁有的個資有哪些?即是進行個資盤點,個資盤點除了確認公司擁有那些個資外,還需要知道個資由誰收集?誰會使用?業務程序為何?
後續還有許多的工作,如:個資衝擊分析、威脅弱點分析等,此部分可參考以下圖示:PIMS建置階段。
《圖二》PIMS建置階段
註:「PIMS建制階段」資料引用「NII產業發展協進會」
為了保護公司內部的個人資料,在資訊處理上凌群電腦建議建構完善的資訊保護作為,採用足夠的防禦縱深來保護,在不同的環節佈署對應的安全防護作為。
以一個提供服務的資訊系統來看,可概略分為提供連線的網路,提供服務的系統(包含作業系統、Web Serve、資料庫...)以及資料、應用作業、業務流程,因此在安全防護上可在不同的環節來處理。
在不同的環節可導入那些資安防護作為,可由圖三資訊安全架構中來了解。其中包含的完整的資訊安全防護建議,由基本的防火牆,防毒防駭機制,到日誌保存與處理,提供完整的資訊安全保護方案。
《圖三》資訊安全架構
由另一個方向來看、可把資訊安全防護作為分為:網路、端點、伺服器、網站、資料庫來進行保護,相關防護作為如下:
網路:可採用防火牆,UTM,入侵防禦系統...等端點:防毒,個人防火牆,DLP...等伺服器:伺服器行防毒,防火牆...等網站:WAF,Code Review,網頁弱點弱掃...等資料庫:DAM,DBF...等《圖四》
若從資料保護的角度來看,由資料存取端(端點:Client PC,移動式設備、、),提供資料存取的服務端,與資料儲存端都需要納入資安防護。
資料存取端:就是端點防護,除了基本的防毒外,建議像使用者識別,資料外洩防護、資訊安全教育訓練...等。資料存取的服務端:就目前來說大多數採用Web 服務,建議評估網頁應用程式防火牆(WAF),程式碼檢測...等。資料儲存端:目前大多數資料是以資料庫方式儲存,建議採用資料庫稽核(DAM),資料庫防火牆...等防護作為。《圖五》
結語凌群電腦在個人資料保護上結合了專業的顧問團隊,豐富的資訊系統建置經驗,完整的資訊安全產品,國際品質的系統開發能力,架構出完整的資訊安全架構與服務,提供客戶專業規劃與建置服務。關於相關服務,請與我們聯絡。