2012年11月27日 星期二

[觀點] 個人資料的資安控制措施

在個人資料保護法尚未三讀通過之前,個資保護並不是一個受人矚目的熱門議題,個人資料頂多只是附屬在資訊安全工作中,需要被記錄的一項資訊資產。

雖然資訊安全是一項重要的工作,但是在過去,對於許多企業組織而言,卻不見得是一項必須要達成的營運目標,只有那些具有遠見的管理人員,為了降低可能因為駭客入侵或不當存取而產生資料外洩的營運風險,或是受到上級主管機關要求的政府單位,才會認為資訊安全是一項需要落實的工作項目,進而要求各個部門需要強化資訊安全。 

如今,隨著個人資料保護法的實施,個資保護已成為一項勢在必行的工作,許多過去未曾在意資訊安全的企業組織,突然之間被要求需針對個人資料進行保護,並提出因應的相關做法,這時候往往都會感到不知所措。

2012年11月24日 星期六

[觀點] 雲端運算安全入門(十一) - 雲端資料加密與金鑰管理

上一次談到了雲端環境對應用程式部署的影響,我們需要考量資料控制、資源共享和法規問題所可能帶來的風險,更應確保一開始在軟體開發生命週期中,已將安全問題納入成為檢測的重點之一,本期我們將探討雲端資料加密與金鑰管理。 

在雲端運算服務之中,若以公有雲為例,雲端資料的儲存基本上是以委外方式來進行,這意味著除了同一個儲存資源會由多個用戶來共享之外,系統管理人員也可能會擁有可存取資料的權限,因此,如何確保資料的機密性與完整性,這是在雲端安全中最常被提出來探討的問題。

2012年11月21日 星期三

[觀點] 工作職場個資與隱私保護

隨著個人資料保護法的正式實施,目前與個人隱私保護有關的議題也逐漸躍上檯面,事實上,個人隱私是屬於憲法保障的人格權之一,因此對企業雇主而言,除了含有隱私的個人資料檔案,必須要有妥善的防護措施之外,如何去尊重員工的個人隱私權,確保工作職場的隱私保護,已是責無旁貸需要重視的地方。 

依據個人觀察,有些企業老闆因為擔心員工將公司的網路、電腦拿來公器私用,所以喜歡安裝一些網路監控或電腦監看的軟硬體,以達到監督員工的目的,卻不知道在未告知員工的情況下,擅自實施這樣的作法,很可能已經侵犯到員工的隱私權。 

2012年11月12日 星期一

[觀點] 網站隱私與個人資料保護

Google之前宣佈,為了精簡與整合60多項所提供的服務使用條款,包括了搜尋、電子郵件、影片、地圖等服務,將在2012年3月1日起實施更新的隱私權政策。雖然Google表示此一調整將讓隱私政策更加簡單易懂,而且絕對不會販售使用者的個人資訊給第三方,仍然在國內外引起了許多的意見與關注,歐盟隱私單位甚至提出在相關的調查結束之前,希望Google能暫緩實施新的隱私政策內容。 

目前,透過網站蒐集資料是最簡便快速的方式,組織要如何因應個人資料保護法的要求,確保個人隱私和資料安全,已是必須要審慎因應的重要課題。

2012年11月4日 星期日

[觀點] 雲端運算安全入門(十) - 雲端上的應用程式安全

上一次說明了資料中心的營運重點,包括如何更有效率地管理與因應雲端服務所衍生的彈性化需求,也提到了必須要求服務供應商在發生資安事故時進行通報,並依照事前所擬定的應變流程進行處理,同時也要保留相關的記錄作為事故檢討,本文將探討在雲端之上的應用程式安全。 

資訊科技改變了世界,影響了所有人的生活,藉由資訊科技所提供的各項資訊服務,使得企業的經營運作更加地便利。對於傳統主從式架構(Client-Server)的應用服務而言,無論其資訊應用是檔案存取、電子郵件或是網頁瀏覽等,在程式的開發設計與維運方面,許多企業都累積了多年的經驗因而駕輕就熟,針對來自於軟體、作業系統、網路架構等可能產生的安全風險,隨著許多資安事件的發生,慢慢地也產生了安全意識與認知。 

不過,隨著雲端運算的出現,當這些應用程式部署到雲端之中,無論採用的型式是軟體即服務(SaaS)、平台即服務(PaaS)或基礎架構即服務(IaaS),依照其服務型式的不同,應用程式的安全管理卻變成了一大挑戰。其主要的原因是傳統的應用服務大都來自企業本身資訊部門,無論開發、部署、維運、事件處理,有任何問題都能找到對應的窗口與負責的人員,但是對公有雲的雲端服務而言,本質上就是一項委外服務,也就表示以往既有的安全管控作法,也就必須要延伸至服務供應商的領域之中。