2012年11月27日 星期二

[觀點] 個人資料的資安控制措施

在個人資料保護法尚未三讀通過之前,個資保護並不是一個受人矚目的熱門議題,個人資料頂多只是附屬在資訊安全工作中,需要被記錄的一項資訊資產。

雖然資訊安全是一項重要的工作,但是在過去,對於許多企業組織而言,卻不見得是一項必須要達成的營運目標,只有那些具有遠見的管理人員,為了降低可能因為駭客入侵或不當存取而產生資料外洩的營運風險,或是受到上級主管機關要求的政府單位,才會認為資訊安全是一項需要落實的工作項目,進而要求各個部門需要強化資訊安全。 

如今,隨著個人資料保護法的實施,個資保護已成為一項勢在必行的工作,許多過去未曾在意資訊安全的企業組織,突然之間被要求需針對個人資料進行保護,並提出因應的相關做法,這時候往往都會感到不知所措。

即使是過去已經導入資訊安全管理標準ISO 27001的單位或是已具有資安風險意識的組織,在面對個資保護議題時也會出現一個很大的疑問,那就是現在已進行的資安工作到底等不等於個資保護工作?這是一個值得探討的問題。 

保護個資先從重視資安開始 

若是從個人資料與隱私維護的角度出發,我認為可以把資訊安全視為是一項必要的基礎工作,這也就是說,如果一家企業,它的資訊安全做不好的話,想要達到個人資料保護,似乎是不太可能的事。

因此,我們除了依照個人資料保護法條款的要求,必須盡到個人資料蒐集、處理和利用等相關責任義務之外,或許應該先回歸到資訊安全的基礎,針對個人資料來思考一些技術面或管理面的辦法,實施適當可行的資安控制措施,以確保個人資料的機密性、完整性及可用性。

所以,面對個人資料保護法的種種要求,基本上我們可以依照「大處著眼,小處著手」的策略來因應,首先請把握住大方向的資訊安全原則,再選擇可以針對個人資料實施保護的做法,這樣才不會流於只是東拼西湊,最終自亂陣腳而失去方向。話雖如此,那麼到底應該要從何處開始來著眼與著手呢? 

對組織來說,建議可以從個人資料生命週期來予以著眼,也就是思考如何在個人資料的蒐集、處理、利用、傳輸及銷毀的過程中,都能實施相對應的管理辦法。目前,這部份可以參考國際經濟合作發展組織(OECD)和亞太經濟合作組織(APEC)的隱私保護原則來進行。 

舉例來說,在個人資料保護法中,「蒐集」是指以任何方式來取得個人資料,而OECD和APEC針對個人隱私保護的指導方針中,就提到了個人資料的限制蒐集和告知原則,要求對於個人資料的蒐集應該有所限制,並且應該採用公正、合法的方式,在當事人同意之後才可以進行蒐集,同時也要透過隱私保護政策的聲明,讓當事人能夠清楚其個人資料被蒐集的類別和使用目的。依據這些可供參考的國際原則,我們就可以一一以文件化的方式來制訂相關的個資管理辦法。

至於小處著手的部分,我們可以將確保資料的機密性、完整性、可用性,作為個人資料的基本保護要求,使位於各處的個人資料都能受到妥善防護,以避免可能發生違法或損害組織的資安事件。

維護個人資料的機密性 

想要達到維護個人資料機密性的目標,建議採取的資安控制措施,至少要包括資料分級和加密機制。針對資料的分級,相信許多人都知道,不管是紙本文件或電子檔案都可以依照其機密性來分為公開、內部使用、機密等各項級別,但是千萬別忽略了資料分級的目的,不僅僅是為了分級而進行,而是要讓所有人員能夠清楚在處理這些資料時,應該要採取的相對安全作法是什麼,所以除了要定義企業組織中的資料屬於何種級別之外,也要清楚說明其對應要求的安全措施。 

例如以個人資料來說,為了尊重個人隱私並符合法律的要求,我們通常會將含有個人資料的文件或檔案,指定它屬於機密等級,因此在實務作法上,為了確保資料的機密性,針對含有個人資料的資訊系統,建議要實施身分驗證和權限控管,以確保只有經過授權的人才可存取。 

另外,針對儲存個人資料的主機和資料庫,也要安裝防毒軟體或入侵偵測系統,並且定期修補、檢測是否存有安全漏洞。如果個人資料若需要透過電子郵件傳送給其他人,那麼就應該採取郵件的加密技術,或是針對附加檔案使用常見的壓縮加密方法,以避免電子郵件中途受到攔截,或是因為不小心寄錯收件人,而導致嚴重的個資外洩。 

在此要特別提醒大家注意,資料加密只是為了確保內容不會受到不當揭露的基本作法,加密技術的本身並無法確認傳送資料的來源就是正確的傳送者,所以更好的作法是再搭配可識別身分的數位簽章,以確認資料來源的正確性與合法性。 

維護個人資料的完整性 

所謂資料的完整性,是指資料內容不會受到不當的竄改,並且能夠確保資料在處理和儲存時的正確與完整。因此針對個人資料,我們需要採取有效的身分驗證和授權方式,以確保唯有合法的使用者才能依照其權限來存取編輯個人資料。 

針對身分驗證,基本上有三種應用方式,分別為你知(what you know)、你有(what you have),你是(what you are)。
  • 「你知」是最常見的一種身分驗證方式,例如個人帳號和密碼,幾乎是所有資訊系統都會內建的一種安全機制。在這個機制之中,要注意的是密碼本身是否要求一定長度(例如8碼以上),具備足夠的複雜度(例如英文大小寫、數字及符號混合),並且定期(例如3個月)要求使用者更改。
  • 「你有」則是利用實體的憑證和Token等,來佐證其為帳號的合法使用者。
  • 「你是」則是採用生物特徵,例如指紋、聲紋、臉型、虹膜等方式來確認使用者的身分。
如果存放個人資料的系統,能夠採取兩種以上的身分驗證方式,即是所謂的雙因素驗證,其系統的安全強度將遠高於僅採取一種像是帳號密碼的驗證方式。而除了身分驗證和授權之外,保存系統相關的日誌記錄(log)也十分重要,日誌記錄必須能夠完整的記錄系統的存取過程,因此管理人員所面臨到的第一件事,就是需要確認如何蒐集、如何存放,並且保護哪些日誌記錄。 

系統的日誌記錄還需要定期的審查,因為它可能指出了正在發生的安全事件,所以一項好的日誌記錄管理系統,至少要能夠廣泛的支援常見的系統、網路、應用程式等所產生的日誌檔案,並且可以實施正規化以進行相關事件的彙整分析,同時也要儲存原始的記錄,以便作為未來訴訟的事件證據。在個人資料保護法中,和個人行為(如瀏覽網頁)有關的軌跡記錄,可能也歸屬於是一種個資,因此同樣需要實施妥善的保護。

維護個人資料的可用性 

所謂的可用性,是要確保個人資料能夠在需要使用的時候可以被順利地存取,換句話說,可能會影響到資料存取使用的風險都應該被考量。一般而言,為了確保系統不會受到像是病毒、阻斷服務攻擊等事件,導致系統當機或網路中斷,間接影響資料無法存取的情況發生,安裝防毒軟體、防火牆、入侵偵測系統,已經成為一項基本的安全配備。 

如果為了進一步確保和個資存取相關系統的可用性,事先選擇有效的資料備份方式、資安事件處理流程與災難復原計劃就顯得相當重要。在資料備份方面,通常可採取增量備份、差異備份和完整備份等方式,在此需要考量的重點是資料復原點(RTO)的設計,這就牽涉到企業組織必須評估自己能夠忍受多久的資料無法存取的時間。

另外,一旦資安事件發生時,相關部門必須思考其因應的處理作法,過去許多資安事件的處理可能會被歸於資訊部門應該負責的事,但是隨著資料的主體為個人資料時,和個人資料有關的其他部門,都應被納入來一併思考。 

舉例來說,一旦發生員工的個資外洩事件,蒐集和處理員工個資的人力資源部門就需要了解可能的發生原因,並且通知當事人目前的外洩情況;儲存個人資料的資訊部門可能需要調閱個資存取的系統日誌記錄;法務部門可能需要評估法律相關的適用條款與賠償問題等。以上這些問題說來簡單,但往往是個資法實施之後的最大挑戰,因此若能及早因應的話,就能有備而無患了。

沒有留言: