2010年6月29日 星期二

[觀點] 小心殭屍網路對企業造成的衝擊

殭屍網路(Botnet)在資安業界,已經是受到關注與研究的議題之一,對於網路服務業者來說,更是避之唯恐不及的對象,但對於一般企業而言,或許它對自己的危害並沒有十分明顯,也就使得管理人員容易忽略這個可大可小的資安威脅。

過去曾經遇見一位朋友,自認為在他的產業裡,公司只是個毫不起眼的中小企業,並沒有太多商業機密或有價值的資訊值得惡意人士來入侵,因此對於媒體不斷披露的資安事件,往往認為是過於誇大而一笑置之,更不願意花一些時間來檢視組織是否存有資安的問題。

其實以往我也同意,如果組織內並沒有太多具有價值的資訊,的確很少有機會去引來惡意人士的覬覦,因此也會建議中小企業,在做風險評估與風險處理時,不需要花五塊錢去保護只有二塊錢價值的東西。但是,價值這件事其實是很難在當下就立刻判定的,尤其是對於資訊資產,並不能用傳統資產的概念來予以估價,而是必須更深遠地去思考在資安事件的背後,可能對企業造成的衝擊,以及有形與無形的損失。

看出攻擊背後的意義

有一個觀念我們需要轉變,那就是今日許多的資安攻擊事件,主要目的已不單單只是想要取得組織內部的資訊,而是還要將組織當作是一個跳板,作為入侵他人的管道,或是當作散布惡意訊息和發動攻擊的替身。

所謂「道高一尺、魔高一丈」,全球各地的執法機關會利用資訊科技來預防和阻止犯罪,惡意人士也會費盡心思來運用資訊技術,以便隱藏自己的犯罪軌跡,所以現在許多的攻擊行為都是採取分散式,並且採取不易被發覺且成功機會較高的手法來避免遭到追查,這也是今日殭屍網路會受到惡意人士青睞的原因。

殭屍網路的運作機制並不複雜,惡意人士(botherder)可透過木馬程式(bot)來操控組織受感染的殭屍電腦(bot client),這些電腦在平時可能不會有任何攻擊行為,而且透過變形和自我隱藏,也不太會被防毒軟體偵測到。一旦惡意人士想要發動攻擊時,只要下達一個指令給中繼站(command & control server),再透過中繼站來呼叫殭屍電腦,就可組成為數眾多的殭屍網路,針對特定目標發動攻擊。

殭屍網路的攻擊方式,除了最常見的阻斷服務(DoS)之外,也可以利用它們來散布垃圾訊息與郵件(spam),所以今日的企業組織,除了要擔心自己會成為被攻擊的對象之外,更要思考自己是否會成為攻擊別人的犯罪工具與代罪羔羊。

殭屍網路的發展現況

根據CSI電腦安全協會2009年電腦犯罪與安全調查報告顯示,在443位來自美國政府機關、金融、學術、企業、醫療等組織的安全專家,在過去一年所處理的資安事件中,近六成是和惡意程式有關,也有二成是直接和殭屍電腦有關的資安事件,他們預期在2010年的情況將會更加嚴重。至於賽門鐵克的網路安全威脅報告則指出,亞太地區擁有最多殭屍電腦的城市就是台北,數量約有18萬7千台。

其實bot並非天生就是壞人,運用bot概念來進行網路資料的蒐集與搜尋,已是目前相當成熟的應用,只是到了後來,慢慢有人往偏的方向走,像是透過它來進行網路訂票,搶購熱門的運動賽事或演唱會門票,之前再轉手售出來賺取價差,或是利用它來廣泛寄送行銷資訊,形成大量的垃圾郵件而造成資源浪費,則是比較不可取的作法之一。

尤其是垃圾郵件的寄送,目前已經形成了龐大的地下商機,具估計世界上有8成左右的垃圾郵件,都是藉由殭屍網路來發送,雖然各家資安廠商開發出各種不同的郵件過濾機制,主動封鎖主要的垃圾郵件發送網址名稱,但仍無法很有效地減少垃圾郵件的侵襲。

目前殭屍網路已發展出一項更新的技術,稱之為fast-flux,簡單的說,這項技術可以讓殭屍網路的操控者,持續不斷地去註冊和取消節點的網域名稱,使得透過IP網址來封鎖及識別垃圾郵件的方法,已經不再那麼地有效。

fast-flux從2006年出現至今,已成為網址名稱管理單位一個頭痛的問題,除了會影響網址名稱解析服務的運作之外,更讓殭屍網路變得難以偵測,惡意人士甚至把殭屍網路變成一種出租服務,只要願意付出一些費用,就可以利用它來達到非法目的,更讓整個犯罪行為就像船過水無痕一樣難以追查。

認識知名的殭屍家族

談到殭屍網路,許多人以為它只是單一的威脅,事實上殭屍網路是由許多不同功能的惡意程式所組成,其攻擊手法也有一些不同的差異存在,以下為幾個重大且常見的殭屍網路說明:

PushDo
PushDo是全球第二大的垃圾訊息殭屍網路,出現於2007年1月,許多人對它感到陌生的原因是,它善於利用不同的技術來隱藏自己,除了能在世界各地持續不斷地發送垃圾訊息之外,也能利用相同管理來散布惡意程式。當然,阻斷服務攻擊也是它的工作之一,最近的行為特徵則是針對網站發出SSL要求,然後不予以回應,使得原本使用率不高的網站突然流量暴增,進而造成網站無法提供正常的瀏覽服務。

ZeuS(Knebar)
ZeuS是一個老牌的駭客工具包,包括了像是木馬、通訊埠掃瞄等工具,透過不同攻擊工具的運用,讓它不容易被一網打盡而得以存活。目前由ZeuS所組合而成的Knebar殭屍網路,特色是能夠運用多重的中繼站,一旦某個中繼站被封鎖,可以快速地切換到另一個來重新啟動,惡意程式本身也能不斷變種,換句話說,這是一個具有備援機制的殭屍網路,是相當難纏的對手。

Mariposa
Mariposa是西班牙語「蝴蝶」的意思,背後控制它的犯罪集團,曾經讓世界190個國家,超過1300萬台電腦染上惡意程式,透過木馬來竊取包括使用者帳號密碼、信用卡號等有價值的資訊。另外,它也能利用IE瀏覽器的漏洞和USB隨身碟來散布,側錄使用者的登入資訊,再偷偷回傳給中繼站,最後回到犯罪集團的手中。

Waledac
Waledac的專長是發送垃圾郵件,也就是一個典型的spambot,它是由全球數十萬台已被感染的電腦,所串聯起來的殭屍網路,每天可發出高達15億封的郵件。根據微軟hotmail的統計,在短短不到二十天的時間,它就針對hotmail的使用者,發送了大約6.5億封的垃圾郵件,除了浪費使用者的時間之外,許多垃圾郵件也會趁機夾帶惡意程式,伺機進駐到企業內部之中。

Torpig
它最擅長的是收集個人資訊,曾經創下在十天內感染了18萬台電腦,獲取高達70G的使用者資訊,其中包括不同金融機構的帳號、使用者身分資料、信用卡號碼、電子郵件帳號等。Torpig運用了fast-flux技術,使得它的傳播途徑難以完全封鎖,反向追蹤也變得十分困難。

Koobface
Koobface是個不斷進化的殭屍網路,一開始是利用散布惡意聯結,來誘騙使用者下載假的YouTube影片解碼器,藉此來感染使用者的電腦。如今則是搭上facebook的熱潮,它有能力去假造一個facebook使用者帳號,並且通過Gmail的帳號認證,然後建立起個人的檔案頁面,同時加入一些個人檔案和照片,目的是偽裝成一個正常的使用者,再大量去送出交友要求,並在塗鴉牆上張貼惡意的訊息。

如何因應殭屍網路威脅

對於企業來說,要防範殭屍網路的威脅可以從二個層面來看,首先是思考如何避免被害(避免遭到阻斷服務攻擊),其次則是如何避免去危害他人(被感染成為殭屍電腦)。

關於第一個層面,有些廠商會建議添購專門阻擋殭屍網路的高效能網路設備,但是若遇到大量來自世界各地的分散式阻斷攻擊,這時候就需要ISP業者的支援聯防,所以在事前我們應該要做的,就是去了解ISP業者能提供的協助有哪些,包括緊急聯絡方式、處理流程、所需處理時間等,建議在服務合約中就明訂清楚,這對於企業將會是個保障。

至於要如何避免成為殭屍網路的幫手,由於目前殭屍網路惡意程式通常來自於網路下載和電子郵件,所以教育訓練會是一個好的開始,管理人員需要制訂清楚的網路使用政策,並且讓員工明瞭後果的嚴重性,以避免誤入社交工程的陷阱。

當然,光是教育訓練是不夠的,找到對的技術也很重要,建議管理者可評估適合的閘道端網路內容過濾方案,藉由掃瞄網頁內容和郵件附件,在惡意程式還沒有抵達內部之前就加以阻擋,同時也可阻止殭屍網路和中繼站連絡的phone home行為。

最後在管理方面,成立一個資安事件應變小組是有必要的,唯有透過專責人員對於資安問題有更深一層的了解,預先擬定適當的應變措施,才可避免在事件發生時手忙腳亂,導致錯過了最佳的處理時間,進而造成企業更多的損失。(本文刊載於2010年5月號網管人雜誌)

2010年6月25日 星期五

[新聞] 6個確保iPhone資訊安全的小秘訣

最近在捷運上、咖啡館、高鐵站,到處都可以看到有人拿著iPhone用手指邊滑邊偷笑,iPhone的好玩與熱賣,好像已經變成國民機種了,但是它有可能帶來的資訊安全問題,您了解嗎?

如果您擔心iPhone的安全問題,CIO.com在二年前曾發表一篇有關iPhone安全的文章,如今仍然是相當實用,在此分享給同樣擁有iPhone的朋友囉~

密訣1:啟動自動鎖定功能

iPhone最基本的安全功能之一就是「自動鎖定」,可以讓您的iPhone在未使用一段時間之後,將觸控螢幕上鎖,這是預設就會啟動的功能,您可以到「設定」-「一般」-「自動鎖定」這邊自己修改上鎖的時間(1~5分鐘),雖然這還談不上是一項安全的功能,但搭配以下的密碼鎖定功能來使用,就可以強化iPhone的安全。



密訣2:啟動密碼鎖定功能

相信使用iPhone的人,大多都會在iPhone上儲存跟個人有關的資料,包括像是email、通訊錄、親朋好友的照片,以及許多下載的Apps,如果萬一有天不小心遺失了iPhone,您會不會擔心個人隱私會就此曝光呢?

如果是商務人士,建議您可以搭配Apple MobileMe或電信業者的遠端資料刪除服務,但若是一般普羅大眾,其實也有一些簡單的保護措施,像是「密碼鎖定」,它可以讓iPhone在未使用一段時間之後,就會自動上鎖,需要輸入密碼才可使用。

要啟用這項功能,您需要點按「設定」- 「一般」- 「密碼鎖定」,再輸入四位數的密碼,然後您可以選擇需要密碼的時間(一般建議是5分鐘)。請注意,在設定密碼時請勿使用懶人密碼(例如:1234、0000),設定密碼之後也請務必記住或保存好您的密碼。

如果擔心有人會以猜密碼方式進行破解,還可以啟動「清除資料」功能,這樣若是有人連續輸入了10次錯誤的密碼,iPhone上的所有資料將會被清除,以確保個人資料的安全。

或許您會有一個疑問,若是iPhone被小朋友拿去玩而不小心點按,或是朋友惡作劇,故意連續在iPhone上按錯10次密碼,那該怎麼辦?

別擔心,若是按錯了6次密碼之後,iPhone就會鎖定要在1分鐘之後才可再輸入,若還是按錯,則鎖定在5分鐘之後才可再次輸入,以此類推所延長的輸入時間,至少要花1小時以上才會到達錯誤10次。

如果最後慘劇還是發生了,若是您平常使用iTunes和電腦同步,並且有自動備份資料的話,那麼還是可以透過電腦同步將資料還原回來的喔。



密訣3:使用安全的Wi-Fi無線網路

iPhone使用Wi-Fi無線網路,在瀏覽網站和收發e-mail上可說是相當快速方便,但要提醒您的是,若您使用的是家用無線網路基地台,最好啟動WPA的加密功能,然後當您的iPhone要進行Wi-Fi網路連線時,就會出現輸入密碼的要求,在完成輸入之後,您的iPhone就處於加密的連線狀態,可以放心使用各項網路服務了。

另外,為了確保不會不一小心連上了不安全的無線網路,請記得啟動iPhone上「詢問是否加入網路」的設定,請到「設定」-「Wi-Fi」頁面,然後將它啟動,這樣的話,在無線網路連線之前,iPhone都會提醒您,確認之後才會進行連線,當然,若平時不使用時,建議您將Wi-Fi關閉,就會更加安全了。



密訣4:強化存取郵件的安全

如果您在iPhone上使用mail的話,記得啟動SSL加密功能,以確保傳輸時的安全,以使用Gmail為例,你可以到「設定」-「電子郵件/聯絡資訊/行事曆」,然後點選您使用的郵件帳號,接著可以點選「進階」,然後捲動到「使用SSL」將它啟動就可以了。

當然,你也可以透過iPhone上的Safari來存取郵件,請記得確認網址是否有「https」,並出現鎖頭的符號,這樣才是處於安全的SSL連線狀態喔。



密訣5:確認Safari的安全設定

如果您使用iPhone來上網,那麼一般瀏覽網站會遇到的安全問題,像是廣告視窗、詐騙網站,也同樣會發生,因此,請您確認Safari的安全設定是否都有啟動,以保障您上網的安全。

請到iPhone上的「設定」-「Safari」的頁面,確認「詐騙警告」、「阻擋彈出式視窗」等功能是否都有啟動,另外,網站上常用的cookie,是用來記錄您的瀏覽和連線認證等記錄,如果您想進一步確保個人隱私,在「接受Cookie」設定上,您可以選擇「永不接受」,以避免網站在您的手機上儲存Cookie。不過,有些網站若不啟動Cookier功能,可能會造成瀏覽上的問題,請您自行斟酌使用囉。



密訣6:啟動取用限制

如果是公司配發的iPhone(有這麼好的公司嗎?),或是父母給小朋友使用的iPhone,為了避免使用上可能會造成的問題,像是上班都用iPhone在上網、看YouTube、用iTunes傳送音樂、用相機偷拍公司機密等,或是擔心小朋友安裝了其他應用程式,在iPhone上可以設定「啟用取用限制」,以限制一些應用。

請到「設定」-「一般」-「取用限制」,即可在此設定密碼,以允許或限制一些功能的使用。



參考資料:Six Essential Apple iPhone Security Tips

2010年6月24日 星期四

[Q&A] 什麼是 SAS 70?

SAS 70全名為The Statement on Auditing Standards No.70,它是由美國認證會計師協會(AICPA)所發展,並被國際所認可的稽核標準,主要實施對象為金融服務機構和提供資訊服務的組織。透過第三方以SAS70為準則的公正稽核過程,可以驗證受稽核的服務組織已具備並實施有效的內部控制。

SAS70的稽核類型分為兩種:Type I和Type II,兩者皆會產出一份稽核報告。在Type I中,服務組織必須提供內部控制的詳細描述,以供稽核員進行檢查,項目包括:
  1. 組織內部控制環境各層面的描述,這些將影響到組織內部人員,同時也是其他控制措施的基礎。
  2. 風險評鑑的流程,包括如何識別和分析和控制措施有關的風險,說明風險如何被適當地管理。
  3. 說明政策和程序等控制相關活動,可確保管理被真正實施。
  4. 資通訊的交換流程與形式,以及人員在各時間點應盡的責任。
  5. 內部控制目標和相關的控制措施,以及其他組織可能要求的補償性控制措施。
在完成稽核之後,稽核員將針對服務組織提供的內部控制描述,發布一份公正的評估聲明,說明各項控制措施是否已被適當的設計,以達成組織描述的控制目標。

至於Type II的稽核,則不只是採取以上的步驟,在實施Type II的稽核過程中,組織的控制措施將經過六個月(也有可能更長)的測試,以確認其是否真正有效地運作。

因此,Type II的稽核報告中除了包括Type I的評鑑之外,更增加了測試過程的完整描述,以及其最後產生的結果。

參考資料:SAS 70 OVERVIEW

2010年6月23日 星期三

[新聞] 強化 B2B 安全架構的4個層面

在網路世界中,有愈來愈多的商業夥伴,需要透過網路彼此相互連結,並且交換商務資料,因此資訊安全的控管就顯得更加重要。

對B2B業者來說,過去的資料交換介面相當單純,因為不會有太多的設備和應用程式需要聯結溝通,但如今隨著資訊科技的發展,許多重要的應用程式、伺服器和資料庫都需要彼此連結,雖然採用DMZ的佈署方式仍然存在,但卻需要更多有關身分驗證等的安全控制措施。

最近,隨著雲端服務的熱潮,為了控管雲端安全,許多資安技術像是反惡意程式、script分析、url過濾、IPS和web應用層防火牆等,都是許多組織考慮採用的產品,但是針對Web 2.0 App動態產生內容和透過雲端分享的新方法,傳統的資安控制措施不見得是那麼地有效。

針對B2B的資安架構,在CSO Online由Forrester Research分析師Usman Sindhu所發表的一篇文章,針對組織基本的存取控制策略,提到了以下4個層面的安全防護建議:

1. 應用程式存取控制 - 當應用程式和服務存在雲端之上,身分驗證與存取的授權就顯得十分重要,因此透過識別與存取管理(IAM),能夠去定義身分角色、責任和應用程式存取層級,以控管對關鍵資源的存取。

2. 資料存取控制 - 作者將資料存取控制定義為分享給相關團體時應有的授權過程和資料保護,認為相關技術的採用是因為組織想要對資料進行分類、提取、加密、發現,以及控制誰可存取資料,所以除了技術之外,也需要制定一項政策以針對網路不同存取點來實施權限管理。

3. 網路存取控制 - B2B的互動需要仰賴入侵偵測、入侵防禦系統,以及資安事件管理來消除可能的威脅,所以組織整體的存取控制將可用來啟動B2B環境,針對不同的網路層面和交換介面應有的安全措施。

4. 實體存取控制 - 識別證與監視器已成為許多組織基礎的安控措施,而為了達到實體的安全控管,也有組織採用GPS、RFID、感應器、智慧卡等技術,以連結到使用者進行身分識別,因此基於身分識別的控管方法,將成為實體存取控制的新領域。

以上是B2B基礎安全架構的4個層面,作者認為B2B並沒有一項容易實施的資安解決方案,而是需要多種的技術,在不同層面上進行整合的控管,所以組織需要自行去定義需使用的安全技術,以發展出適合的存取控制安全架構。

參考資料:The 4 tiers of a secure B2B framework

2010年6月6日 星期日

[觀點] BS 10012 個人資訊管理標準簡介

隨著新修訂個人資料保護法已經三讀通過,未來無論是政府機構或是民間企業,只要處理和個人資料有關的業務,勢必就要建立一套有效運作的個人資訊保護制度(PIMS),而標準將會是最佳的參考指引。

還記得2008年8月,刑事警察局破獲了兩岸駭客和詐騙集團共同聯手,入侵了中華郵政網路銀行,將數十名客戶的存款盜轉走數百萬元,同時也入侵了健保局、教育部和多家電信業者的資料庫,將所得的個人資訊與購物台刷卡資料,共同整合成一個可供搜尋近五千萬筆個人資料庫的事件,讓人害怕的是幾乎從上到下,由政府官員到一般民眾等皆無一倖免。

每天,我們的資料都在政府或民間企業,像是政府各級單位、水力電力公司、戶役政稅務機關、醫院、學校、警察機關、銀行、保險公司、一般企業、零售業、超市、航空公司、旅行社等之中被蒐集、儲存、傳遞和使用,如果你的個人資訊被不安全地處理而遭到惡意人士的盜用,對個人而言,輕則財物受損,重則造成法律糾紛,個人名譽也將受到不必要的侵害,若洩露個資的單位查證屬實,一旦新修正的個人資料保護法三讀通過,也將面臨鉅額的懲罰性賠償。

個資有價,切莫輕忽

從資訊的生命週期來看,個人資訊的產生、處理、傳遞、儲存、復原、銷毀等過程,都需要有適當的安全管控措施,這部份可以透過管理制度的規範,或是技術性的保護,來防止不當處理個資事件的發生。

因此,組織必須要將個人資訊視為有價值的資產,無論其呈現的形式是什麼(例如紙本、聲音、影像、電子檔案等),都必須評估其可能存在的安全弱點,以及可能面臨的威脅,並且透過風險評鑑的過程,來找出其風險的高低,然後針對無法接受的風險,進行風險處理和後續改善行動。

隨著個資外洩事件不斷發生,目前已有許多政府單位與企業,對於個人資訊保護的問題日漸重視,但是卻往往不知該如何著手,找不到一套可以依循的規範與標準。如今,BS 10012的標準內容,正好可做為組織在建立個人資訊保護機制時的最佳參考,藉由標準所提供的基礎架構(Framework),配合PDCA的管理運作方法,能夠透過建立系統化的個人資訊管理制度,來達到保護個資的目的,更可進一步符合個資法規的要求。

重要的資料保護原則

談到資料保護,英國在1998年即制訂了資料保護法案(Data Protection Act 1998),並且在2000年3月公布實施,要求資料控管者(data controller)對於個人資料的取得、使用、儲存、揭露等,必須遵守法律的規範與要求。

其中,資料保護法案所要求應遵守的8項資料保護原則,非常適合各組織作為制定個人資料保護的參考,內容說明如下:
  1. 個人資料不可以非法或不公正方式蒐集、處理。
  2. 個人資料應限於以特定目的之方式蒐集、處理。
  3. 個人資料應以充分、相關,而非逾越其原本之目的處理。
  4. 個人資料應求準確,並在必要時及時更新。
  5. 個人資料之保存,不得超過其原定目的之保存期限。
  6. 個人資料之處理,應依照當事人之權限及法令規範。
  7. 組織應採取適當的資料保護技術和措施,防止個人資料遺失或毀壞。
  8. 個人資料不得轉移到歐洲經濟區以外的國家或地區。
綜合以上原則所述,組織在蒐集、處理、使用、儲存個人資料時,必須合乎公平正義原則,並依照當初的目的,採取適當的安全保護措施,以確保個人資料的正確與完整。為了使企業能有效保護個人資料,同時符合法規的要求,BSI英國標準協會在2009年5月31日公布了個人資訊管理系統(personal information management system;PIMS)標準,提供個人資訊管理的基礎架構,以作為組織在落實個人資訊保護時的參考。

BS 10012的基礎架構

BS 10012的全名為「資料保護─個人資訊管理系統之要求(Data protection–Specification for a personal information management system)」,其中BS指的是英國標準,後面則為標準編號,至於系統指的是文件化的管理制度,它是由工業、政府、學術、教育、消費者等各界專家代表所共同發展,因此適用於任何組織和公私領域,讓組織的管理階層可以依循參考,亦能作為有效的個資法規內外部的評鑑標準。

BS 10012內容共有7章,第0~2章為標準介紹、適用範圍與名詞定義之說明,第3~6章則為個人資訊管理制度的架構要求,其主要目標說明如下。

計畫與建立PIMS
本章的目標是要規劃建立個人資訊管理制度,以提供符合資料保護法規要求的方向和實務上的良好做法。因此在一開始,組織必須定義個人資訊管理的範圍和目標,並判斷內部有哪些資料屬於個人資訊,以便制訂適合組織運作的個人資訊管理政策。

此一政策必須由資深管理小組(可能包括董事會成員、執行長、資深工作者和組織合作夥伴)來發布,並負起維護和更新之責,在政策中要清楚地讓組織成員了解個資保護的重要性,以及個資處理的原則,要求必須共同遵守,並且融入組織的文化之中,以達成個資保護的目標。

實施與運作PIMS
本章內容是實施與運作個人資訊管理制度的要求,也是標準中內容最多的一章,其目標包括要確保組織已指派適當的負責人選,以便推動並執行個人資訊管理制度,因此需要明確說明資深管理小組成員的工作角色與職責,並且清楚定義其每天的工作任務。

另外,凡是組織內和個人資訊處理有關的單位或部門,也必須推派適當的代表,因為只有實際處理個資的同仁,才明白個資中的機密性與敏感性,透過各個單位負責代表的協助,才可實際進行個人資訊的風險評鑑,以評估目前組織所擁有及處理個人資訊的風險等級。

本章的重點還包括要求組織應對員工實施教育訓練,並確保個人資訊被公平且合法的處理使用,也就是要求從個人資訊生命週期的一開始到最終的銷毀階段,整個過程中是否遵守適當的處理作業流程,是否尊重個人資料所有人的權力,以及採取適當的資訊安全控制措施。

監督與審查PIMS
本章的內容是要求個人資訊管理制度應實施適當的監控與審查,因此組織必須制定稽核計畫,選擇合適的稽核人員依照政策與管理要求,定期地實施內部稽核,以確認管理制度能夠有效地運作。

除了內部稽核之外,組織還必須定期實施管理階層的審查會議,了解個資處理的過程是否有任何的變動,同時也要審查稽核之後的結果,以及是否曾經發生和個資有關的資安事件,以掌握組織個資處理的現況,並適當修訂現行的個人資訊管理政策內容。

維持與改善PIMS
本章的內容是維持與改進個人資訊管理制度,目標是改進整個制度實施的效率及有效性,因此要求從兩個方向來改善。首先是組織應針對可能違反法規的事件,在事先實施預防的行動,並評估可能造成的問題來決定與實施必要的預防措施;其次則是針對管理階層審查的結果,針對不符合政策與標準要求的事項,進行矯正的行動,以求將個資受到不當處理的風險降至最低。

保護個資,刻不容緩

未來隨著新版個人資料保護法頒布實施之後,對於擁有和處理個人資訊的各行各業來說,最大的改變會是什麼?個人認為是組織必須建立一個新觀念,那就是「個人資料是有價的」,再也不能像過去一樣被任意的處理和交換,無論是蒐集、處理、利用都必須要合乎法律規定,如果組織沒有建立有效的個人資訊管理制度,那麼很可能就會不小心觸法而蒙受不必要的損失。

因此,萬一組織仍舊忽視個人資訊的保護,而無法安全妥善地進行處理,根據目前正在修訂中的個資法草案,未來若發生個資外洩事件,當民眾進行受害索賠之時,並不需要負舉證之責。也就是說,洩露個資的單位,必須證明自己無故意或過失責任,才能免於賠償,所以如果沒有文件化的作業流程與記錄,要提出舉證恐怕相當困難,對此管理者請務必要三思才行。(本文刊載於2010年4月號網管人雜誌)