2012 年


2012-05-31

Openfind PM Team

完美的個資防禦,從郵件稽核開始

同樣車齡的車子卻有不同的狀態,有的是外觀如新且車況好,車子非常穩健與安全,有的則是外觀破舊,車子所發出的聲音也有如老牛,開起來會讓人非常的擔憂,隨時都會有異常狀況發生,讓人感覺生命受到威脅。造成此狀況的最大原因,就在於車子的保養與防護,我們依規定來定期保養,當車子發生任何問題時也能立即處理,完全不拖延,那想必車況一定保持在最佳狀態。反之,我們也可以許久才保養一次,車子出問題時也拖延不理會,那不用多說,大家也料想到此車必定是狀況連連,甚至可能會要報廢。
 
從上述的例子不難發現,預先做好汽車的保養與防護,對於車況的維持在最佳狀況是非常重要的事情。大家也可把企業內的個資想做是一台車子,若做好良好的保養(個資盤點)與防護(外洩防護),當面對個資法的挑戰,必定可以維持最佳狀態的安然度過。
 
 
 
 
仔細觀察個資外洩的管道,不難發現企業不管怎麼限制電腦的存取(如封鎖USB port),電子郵件始終都會是一個外洩管道,畢竟現今的商務溝通,均以電子郵件為主。由此一來讓許多有心或無心的個資外洩事件,都是透過郵件所造成,例如近期知名網路書店的個資外洩事件,便是最好的例子。
 
如何防範個資從電子郵件外洩,以及如何將含有個資的歷史信件做妥善的保護與後續的防禦機制,便會是一個重要的課題。這部分可以從郵件稽核著手,完整的郵件稽核系統應該包含「事前稽核」以及「事後稽核」的功能。「事前稽核」指的是即時的稽核,根據企業郵件政策將符合稽核條件的對內或對外的信件,留置隔離區或是進入企業內部審核程序(寄送給指定人員),目的為確保公司機密個資不會外洩。「事後稽核」指的是針對歷史信件進行稽核與盤點,將符合稽核條件的歷史信件,彙整後並通報稽核人員,審查含有機敏個資的信件目前散落狀況,以便企業對此類的歷史郵件做出良好的政策規範與保護,甚至面對官司訴訟時,能夠第一時間舉證釐清事實真相。
 
 
 
在此可透過"賺發公司的郵件稽核導入與使用"的情境模擬來詳述郵件稽核從導入、運作以及各種狀況的發生與處置狀況來一一說明,並從MailGates 郵件防護系統和 MailBase 郵件歸檔管理系統來說明事前與事後稽核,透過兩套系統的介紹,敘述郵件稽核的建立與效益。
 
一、事前提要
面對政府頒布個資法確切的上路時間後,賺發公司透過各種研討會後,發現首當其衝的就是郵件個資外洩的問題,因此經由與顧問以及系統整合廠商討論後,決定透過Openfind的MailGates與MailBase的郵件稽核的解決方案來防堵個資從郵件外洩的問題,因此開啟了公司的個資防堵之旅。
 
二、個資法的相關政策宣導、稽核執行規範的制定與稽核資料的保護
郵件稽核因涉及到個人隱私,賺發公司決定先從三方面進行規劃,分別是「稽核政策宣導」、「稽核執行規範」與「稽核資料保護」。「稽核政策宣導」目的為讓所有員工都了解合法使用規範,避免稽核過程中產生不必要的爭議。「稽核執行規範」則是明定稽核人員的作業規範,避免稽核人員任意進行稽核作業侵犯員工隱私權。「稽核資料保護」則是確保稽核資料的正確性和有效性。
 
 
三、事前稽核的個資外洩防堵
經過第一階段後,賺發公司決定先從個資外洩的預防開始做起,便規畫使用MailGates 的事前稽核機制。首先,設定所有從企業內寄到外部的電子郵件中,含有個資的電子郵件先留置MailGates中,並發送通知信給稽核人員。
 
 
 
 
 
當含有個資的信件放置在MailGates時,MailGates便寄通知信給稽核人員,稽核人員可利用通知信設定或直接進入系統的信件審核區查看待稽核的信件,並直接對信件進行「退信」、「送信」或「刪除」的動作。
 
 
 
 
透過MailGates的事前稽核,賺發公司便確保含有個資的信件可被稽核人員定期審核,將可能會造成公司傷害的信件攔阻,避免個資外洩事件發生。
 
 
四、事後稽核的個資信件盤點
賺發公司接著便規畫使用MailBase的郵件事後稽核功能,將含有個資的歷史郵件一一找出,做最詳盡的完整盤點,了解目前個資是否在以往的歷史郵件中已經有散布出去的狀況,並針對此狀況來擬訂相對應的對策。
 
首先透過結合獨家搜尋引擎與郵件核心技術的MailBase,設定查詢歷史郵件中所有含有個資的信件。
 
 
 
 
並在開始執行前,可先設定部分的個資可不必偵測,如簽名檔中常常會包含公司的電話與地址,避免系統找出無關緊要的信件。
 
 
 
 
 
當盤點完畢後,稽核人員便可查看疑似含有個資的信件,了解是否為正常使用還是不當的外洩,一旦發現以往的員工有惡意外洩個資的行為,便可做出適當處置。此外,透過個資盤點也可了解那些員工是屬於含有大量個資的集散地,可特別針對該員工進行個資防護的教育訓練。
 
 
 
以及透過統計報表,詳盡的分析整體狀況,輔助企業能夠用宏觀的方式來了解目前歷史信件中,寄送個資的使用者排名與最常在歷史信件中出現的個資樣式。
 
 
最後就是透過定期的掃描監控與主動寄送稽核通知信,協助稽核人員第一時間掌控公司頒布的個資應對政策,是否需要調整與改進。
 
 
 
 
 
五、結語
透過以上的案例說明,可明顯的感受到事前稽核與事後稽核對於郵件個資外洩防堵的重要性,完整的郵件稽核功能,才能讓企業面對
個資法時,能夠輕鬆的面對與嚴謹的處理。