博客來用10大心法因應個資法衝擊 | 新聞專題 | iThome online
| 博客來用10大心法因應個資法衝擊 | |||
| |||
| 博客來從管理、風險評估以及技術等3個面向,歸納出10大因應個資法的心法 | |||
| 重 點 ● 無店面零售業從7月1日起,指定適用現行個資法 ● 博客來歸納管理、風險評估與技術面10大心法以為因應 無店面零售業者先前受到行政院2月9日公告影響,將於今年7月1日指定適用現行電腦處理個人資料保護法。身為臺灣最大網路書店業者博客來,透過10大心法逐步完善個資法的因應之道。 博客來網路書店系統部資訊安全Team經理鄭增豐表示,即便過程中遭遇到4月27日立法院三讀通過新版個人資料保護法,但博客來一直持續P(計畫)D(執行)C(檢查)A(行動)的循環,檢視相關的資安和個資保護的工作與營運流程是否合乎法律規範,最後僅作部分強化與調整,即可因應新版個資法的規範。 以10大心法因應個資法  博客來網路書店系統部資訊安全Team經理鄭增豐表示,因應無店面零售業從今年7月1日指定適用現行電腦處理個人資料保護法,該公司也因應不同階段有不同的因應對策與作法調整。政府部門為了確保消費者應有的權益,主管機關經濟部商業司在今年2月9日公布,規定將包含網際網路和型錄等零售業的無店面零售業者,透過「指定適用」的方式,在7月1日率先受到現行電腦處理個人資料保護法的規範。博客來身為臺灣最大網路書店業者在行政院的公告後,便積極以10大心法作為產業指定適用個資法的因應之道。 鄭增豐表示,這10大心法可以從管理面、風險評量面和技術面等3個面向來分析。從管理面向來看,博客來針對內部組織結構分成3種不同層級「因材施教」。首先,高階主管左右公司決策方向,鄭增豐說,博客來在推動各種資安政策與個資保護政策時,第一件事情就是爭取高階主管對該方案百分之百全力的支持。 其次,由資安團隊針對負責公司許多實際營運的流程與規畫的中階主管,在每次主管例行會議,釐清博客來在指定適用現行個資法後,可能帶來的影響與衝擊,以及對公司相關營運流程是否需要進行調整。 第三,針對公司數量最多的基層員工,進行資安風險的教育訓練。鄭增豐表示,只要公司每個同仁越有資安和個資保護意識,公司遭受的資安與個資外洩的風險就越低。因此,博客來為了讓同仁上課認真並驗收資安與個資教育訓練的成果,在每次的資安與個資教育訓練過後,以A、B卷的紙本測驗方式驗收成果。他說:「博客來全公司200多名同仁、12梯次作測驗,目前只有1名工讀生未達70分合格標準。」 除了上述3個管理層面的心法外,博客來在風險評量上,也有2大心法可以參考,主要可以分成「個資盤點」和「作業風險評估」。 企業要作個資保護,就得知道公司內部哪一些資料是受到個資法相關的規範,最好的方式就是進行「個資盤點」。 鄭增豐指出,個資盤點要以每一個資料流向作為盤點的基準,為什麼要有這筆個人資料?公司收集目的為何?他說:「個資盤點是一個漫長的過程,博客來迄今還不斷的盤點流程。」 完成個資盤點清查後,博客來依據「個人資料」、「風險等級」,以及「作業流程」區分出經盤點資料的類別與重要性等級。鄭增豐表示,「個人資料」區分成會員、員工和廠商資料等3類;「風險等級」依序由風險高到低,分成第一級~第三級;並針對「作業流程」分成處理前、處理中和處理後。 博客來除了管理面和風險評估面向的作法外,也歸納出包括「進行社交工程演練」、「檔案傳輸作雙層加密」、「關閉電腦自動開啟功能與郵件預覽機制」、「漏洞修補與更新」及「病毒碼更新」等因應個資外洩風險的5大技術層面作法。 鄭增豐認為,博客來在技術層面上並沒有部署特別的設備,反而要求部門同仁一步一腳印的把所有應該完成、應該遵守的注意事項徹底落實。 從實作面來看,為了提升公司同仁對資訊安全與防範個資外洩的意識和警覺性,博客來進行社交工程演練,並從每次的事後檢討改進社交工程演練的精準度。博客來已經進行5次社交工程演練,目前已經完成今年度第二次的社交工程演練,每次為期10天。鄭增豐說,「有鑑於魚叉式攻擊頻繁,今年度的社交工程演練,也對此有一波測試。」 此外,博客來透過雙層加密機制以預防個資外洩。鄭增豐舉例表示,所謂的雙層加密就是Excel檔案加密,需要輸入密碼解密,然後以ZIP壓縮檔加密後再行傳輸。他說:「使用程式內建加密功能還有一個重要的關鍵就是,原始檔案進行加密後,必須要求同仁將所有未加密的檔案資訊刪除。」至於,密碼使用原則是動態的,依照日期、部門、檔案類型等不同規範而作變化。 不論是USB隨身碟病毒,或者是垃圾郵件中惡意連結的開信率,鄭增豐說,博客來以往便已經透過強制關閉自動開啟(Auto Run)功能與關閉郵件預覽機制,降低類似的風險,今年度更要求部門同仁落實使用公用隨身碟。 應用程式與作業系統的漏洞修補與更新,以及病毒碼的更新,鄭增豐坦言,不見得每位同仁都有定期作漏洞修補以及每日進行病毒碼更新的習慣,為了保護同仁使用者端的作業環境基本的安全,博客來透過中控系統管裡,優先對作業系統或商業軟體應用程式進行漏洞修補與更新,更強制同仁在上班前務必執行個人電腦的病毒碼更新。 持續強化個資法認知推廣 無店面零售業指定適用現行電腦處理個人資料保護法最大的問題在於,適用產業必須向主管機關申請個資處理執照。不過,當新版個人處理資料保護法在4月27日三讀通過、總統在5月26日公布後,便已經同步廢除現行個資法執照申請的法條效力。法務部法律事務司科長黃荷婷表示,這對於無店面零售業者最大的衝擊便是,少了半年申請執照的緩衝期,直接適用現行電腦處理個人資料保護法。 電腦處理個人資料保護法只規範電子形式的個人資料,新版的個資法則包含電子與紙本的型式。為了適應政府對無店面零售業電子檔案個人資料的規範,鄭增豐表示,博客來過去1年來重新盤點營運所需的會員資料為何,只需要「有限的、必要的個人資料即可。」 按照現行電腦處理個人資料保護法的規定,指定適用的無店面零售業雖然不必申請個資處理執照,但博客來仍須按照現行法令以及新版個資法規定,都必須研擬並公開「個資檔案安全維護計畫」。 此外,博客來對於電腦上機敏的個資,例如聯絡方式、住址等作部分遮罩外,也要求相關人員移除並刪除資料庫中,包括會員身分證字號等機敏個人資料。 鄭增豐指出,現行個資法雖然不管制紙本的個人資料,但紙本個資仍受新版個資法規範,因此,博客來也同步規範到紙本個人資料的管理,像是減少列印機敏資料,並規定列印機敏資料的影印紙背面都不得回收使用,必須立即用碎紙機銷毀等。 資安與個資防護的教育訓練是一種持續性的工作,除了定期、分梯次的教育訓練和紙本測驗的驗收外,為了確認公司同仁對於個人資料保護的內容與作法有相當的認知與理解,博客來針對全體同仁進行「個資法認知調查表」統計作業。 以博客來調查結果為例,越是公司高層主管、越是涉及處理敏感個資的部門與同仁,認知調查的成績越好。鄭增豐表示,同仁平均都有80分以上,平常負責資安政策方向的總經理室同仁,平均分數更超過90分以上。 目前博客來預計,最少每一季,最晚每半年,都會針對個資法、資安、工作模式和實務流程等面向,做一次相關的資安認知調查表,根據成績再作後續的資安政策推廣的調整。 提升資安技術能量並建置SOC 從7月1日之後,包括電子商務、型錄以及電視購物等無店面零售業者,都受到現行電腦處理個人資料保護法的規範。鄭增豐表示,博客來除了系統、人員和管理層面的控管提升外,為了提升相關同仁對於資安技術與鑑識能力,以及因應個資法的舉證責任,接下來將建置一個資安監控中心(SOC)。他強調,資安監控中心只是博客來在思考如何落實舉證措施,並能掌握相關資安資訊作分析的解決方案之一,並不意味,只要有資安監控中心,所有的企業舉證都沒問題。 「流程簡化是博客來近來因應個資法最大的收穫,」鄭增豐表示,因為要盤點所有的IT系統與流程,在一步一步拆解的過程中,才能進一步發現有很多部門介接時,有很多隱形的無謂流程。透過這樣的流程盤點,博客來也透過部門的公開討論,徹底簡化不必要的流程、資料與表單,包括ERP系統、資安制度甚至是工作流程,都在簡化的範圍之內。文⊙黃彥棻 |
留言
張貼留言