經過這些年中小企業發生的事

文中資訊了解,面對個資法應從檔案管制下手

根據iThome的調查結果顯示,在編列2012年預算時,已有高達62.8%的企業將個資法納入考量* !專攻中小企業商業軟體長達20年,文中資訊不但已協助超過一萬家企業導入ERP,更是國內稅務申報軟體市占率第一名的領導品牌,總經理陳振芳說,一來由於顧客多為財會相關單位,資料涉及最高層級的商業機密,二來顧客總把文中當成唯一的電腦依靠,隨著近幾年資安風險的逐年提高,文中早已累積了豐厚的資安專業能力。

常見的資料安全問題,將是個資法下最大漏洞
根據文中的經驗,中小企業最常遇到的,就是資料遺失,客戶服務經驗豐富的專案經理潘先生分享:「無論是硬碟毀損、有心人士或駭客盜取、外洩,甚至不慎刪除,都是客戶找上文中幫忙的常見原因,曾有客戶因列印郵遞標籤,不慎外洩客戶手機資訊,中小企業主需要注意的資安問題何其多。」個資法上路後,企業將面對最高二億元求償的法律刑責,不可不慎!

趨勢「資料安全管家代管服務」管得剛剛好
潘經理分享對中小企業需求的評估經驗:監控軟體「太貴」、「需要人員維護」、而且還「管過頭」──記錄到員工的上網行為,遠超過資料保護的目的,甚至侵犯隱私形成反彈。而趨勢的「DLP Hosted Service資料安全管家代管服務」對中小企業來說正是「恰恰好」的方案,不但負擔得起,更完全以檔案管制為目的,潘經理進一步分析了好處:

雲端代管,降低開銷
不用買伺服器、免維護,也能做好資料管理。
不會「管太多」
專門紀錄資料流向,而非監看所有電腦活動,給員工隱私,施行阻力小,更能確保企業善盡個資管理責任。
建立檔案管制的規則
因應文中需求客製化,讓「DLP Hosted Service資料安全管家」能額外的監看資料的備份、回傳等程序確實執行,降低中小企業人為造成檔案遺失的長期困擾。

面對個資法的第一道保護傘
就文中的觀察,中小企業主在個資法開跑後的確開始緊張,但只要掌握一個重點,企業必須將個資管理納入正軌,證明善盡保護的責任,以此來看,趨勢「DLP Hosted Service資料安全管家代管服務」會是企業的第一道防線。當然,企業還是要視法令施行的情況、判例進一步補強設備,並在內部建立使用政策與資安規範,並與員工簽署資安切結書,才能有效降低企業的風險。
*資料來源iThome 2012 CIO大調查
因應個資法時代來臨

台北榮總率先導入資料外洩防護解決方案

新版的「個人資料保護法」已於去年完成立法院三讀程序,其施行細則預計在今年 11 月完成,個資法的通過意味著企業或組織凡涉及蒐集、處理或利用個人資料等行為將受到個資法的規範。

未善盡保護責任而讓個資外洩的企業可能面臨團體訴訟,而同一原因所引起的資料外洩事件,最高民事總賠償金額可高達 2 億元。此外,造成外洩的企業內部相關人員也會面臨 2 年以下的有期徒刑、拘役或併科 20 萬元以下罰金的處分,其衝擊影響甚鉅,企業組織不可不慎。

台北榮總資訊室賴大隨組長

因應個資法時代的來臨,擁有超過 5,000 位員工的台北榮民總醫院(以下簡稱北榮)於去年開始積極擬定針對個人資料保護的具體政策與措施,除了全面檢討與個資業務環節相關的行政流程外,也將個資法的相關規定納入其現有資訊安全政策中,除特別加強貫徹一年四次、每次兩小時的員工資安教育外,還特別成立個人資料保護管理執行小組,召集人由副院長兼任,小組委員由一級單位主管兼任,以落實個人資料的保護及管理。

此外,為了能確切遵守並有效執行個資法新規範,北榮與趨勢科技合作,率先導入趨勢科技資料外洩防護解決方案 (Data Loss Prevention,DLP) ─LeakProof™ 5.0。在了解北榮醫療個資的取得與使用狀況後,趨勢科技特別為北榮量身設計兩階段防護工程:第一階段為檔案外洩紀錄留存,第二段為進行資訊外洩用戶端的警告與控管。預計兩階段工程全面實施後,可有效降低病患個資外洩風險,保障醫護單位與病患雙方的權益。

台北榮總資訊室賴組長表示:「一直以來,北榮是趨勢科技的客戶,對於目前所使用的趨勢產品我們感到很滿意也很放心。儘管市面上不乏資料外洩防禦的產品,除考慮到與現有趨勢防毒系統的整合以及技術服務支援的一致性,加上趨勢科技在台灣擁有最強大的工程技術團隊,總是積極提供全面且即時的服務,能夠以相對低的投資成本得到最佳的防護效果與服務,我們認為趨勢科技的 DLP解決方案是最理想的選擇。」

趨勢科技 DLP 解決方案利用指紋、正規表示法(regular expression)、關鍵字及描述資料 (metadata) 比對,找出敏感資訊以進行違規監控,並提供摘要的即時儀表板與安全性違規報表,清楚顯示違規的情況,方便北榮管理。此外,該產品亦提供趨勢分析、違規通道細分資料以及定期和隨選的安全性違規報表;其選擇性的解剖分析擷取功能,能在 DataDNA 伺服器上記錄實際的檔案違規事件供後續檢驗。

目前北榮所進行的第一階段「檔案外洩紀錄留存」的用戶端電腦已擴大到 1,000 台,未來目標是擴及整個北榮院所。「導入趨勢科技資料損失防護 (DLP) 後,我們發現員工的電腦使用習慣潛藏著許多資訊外洩及安全的隱憂,像是透過 USB 儲存裝置、即時通訊、網頁郵件或是燒錄光碟等,透過進一步掌握員工電腦使用情況,得以建立更完善的資訊安全防護政策。」賴組長強調,「我們預計在個資法施行細則頒布後,依條文涵蓋的範圍決定資料防洩防禦專案的規模並編列相關概算。希望藉由與趨勢科技的合作將北榮的個資防洩提升到最高規格的防護,讓病患能安心就診不用擔心隱私曝光的問題。」

對於今年 11 月即將公布的「個人資料保護法」施行細則,北榮資訊室賴組長給各企業的建議是「個資防洩防護儘快做,就對了!」。
堅持網拍的美麗

薇琪有限公司保護客戶個資安全

經濟不景氣,省錢又方便的網拍一躍成為商場當紅星,成立八年多的「PUFFY帕妃時尚」薇琪有限公司,正是站在台灣女裝網拍最前鋒的知名品牌,然而您知道嗎?在網路上已累積可觀人氣的他們,不但是網拍熱潮的老字號,更是最早具有資安觀念的網路賣家之一。

根據內政部警政署165反詐騙網站的統計,在去年度的詐騙案件中,為數最多的正是網拍詐騙,網購詐騙則排名第三,然而早在四年前,薇琪有限公司執行長許志廷就已經深刻了解資安專業的重要,並積極尋求資安方面的協助,直到接觸了趨勢服務,大幅提升公司的交易安全,才鬆了一口氣。

薇琪有限公司執行長許志廷

對許執行長來說,趨勢的「頭家放心Worry Free SMB雲端防毒服務」能充分協助公司確保作業電腦的安全,防堵外來的惡意程式攻擊與資料竊取,而「DLP Hosted Service資料安全管家」每月提供的精準報表,更讓許執行長能精確掌握每一次交易、每一個客戶的資料流向,就像針對客戶資料架設了一支24小時無休的監視器,善盡對消費者的保護。

趨勢不只提供產品,更了解中小企業在資安專業知識上的欠缺,許執行長說:「如果不是趨勢的人幫忙解說,我可能自己也不是很會看這些報告,更不可能提升客戶的交易資料安全。」

線上購物市場規模不斷擴大,個資外洩及網路犯罪詐騙問題也越來越嚴重,唯有像薇琪這樣有警覺性的賣家,才能讓自己放心經營,給消費者安心的購物環境!
機密是甜蜜的

隨時都要留心螞蟻!

早在七年多前,關鍵力科技(假名,保留客戶隱私)耳聞業界發生嚴重的資料外流事件,才開始研究起資安保護的問題,自我檢視之下,才驚覺公司重要智慧財缺乏保護,甚至沒有備份,由於主要業務是程式開發,程式的原始碼比什麼都重要,潛在的危機之大,令人捏一把冷汗!為此,資訊部負責人張先生開始為公司逐步建立中小企業可行的資料安全機制,他的經驗及觀念,非常值得學習。

張先生立即開始仔細評估機密保護策略,並決定了「集中管理」、「動向記錄」兩大措施,「從管制資料流動的基本面,做好機密保護的骨本」。稍微深入思考一下張先生的觀點,就能了解其中的道理,即使把機密檔案加密,但高階主管必定擁有解密的權力,只有「動向記錄」可以產生嚇阻的作用,檔案被誰動到,不管是拷貝、傳送、列印等都有記錄時,誰能下手偷呢?

在集中管理的部份,張先生先建立Server,要求資料一定要有備份,別讓公司的資料存在公司不知道的地方,而困難的資料動向記錄再靠趨勢DLP(Data Loss Prevention)解決方案,採用DLP解決方案還有一大好處,那就是不監看員工隱私、不增加員工負擔,及不拖慢電腦效能,讓他們在推行資料保護時,沒遇到什麼阻力,當然這也有賴於公司的透明政策,在主管會議要求各級主管清楚說明,建立員工的認同感。

歷經七年從無到有,張先生與我們分享一路走來的經驗,他建議:「中小企業要做好機密保護,先做防毒防駭、資料集中管理備份、資料動向紀錄,就有一個可靠的安全性了,」至於未來,張先生說,將著手導入更進階的功能,例如為不同的業務單位設定主動及被動規範,期望能做到更高的防護。