企業資安管理政策調查專輯_4　因應個資法 43%企業正推動內部宣導

2011/11/14-  

備受矚目的新版個人資料保護法，適用範圍遍及所有垂直產業，不僅強調企業組織與負責人必須負擔舉證責任，且相關罰則頗為吃重，因此多數企業如臨大敵，一方面緊盯該法施行細則的問世時程，二方面則積極審視自身保全個資的能力，從而牽動資訊安全管理政策之改弦更張。

根據新版個人資料保護法(以下簡稱『個資法』)，第1條開宗明義指出：「為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合法利用，特製定本法」；換言之，其適用範圍已大舉擴張，到了遍地開花地步，不再如同舊法僅適用特定產業別。

因此多數企業深知，面對新版個法，已不容心存僥倖，除了提醒自己務必盡到良善的個資保全責任，且需留存完整記錄，以便日後因故對簿公堂時，能拿得出對自己有利的呈堂證供。

基於個資法合規需求，企業實有必要徹頭徹尾審視自身能力，儘速找出亟待補強之處，趕緊著手調整，以期建構完整的個資防護機制，當然免不了得積極Survey諸如資料外洩防護(DLP)、安全資訊與事件管理器(SIEM)、網頁應用程式防火牆(WAF)…等多項解決方案，但更重要的，亦應認真思考現行資安管理政策的合宜性，若有必要，不但需要加以修改，更應制定相關執行計畫。

為了瞭解目前企業之於個資法的執行計畫推動進程，DIGITIMES特別利用此次調查機會，提出「貴公司因應個資法，已訂定哪些執行計畫？」題目，並針對該題設計「建立專責組織」、「對組織全員進行宣導」、「確認個人資料涵蓋範圍」…等多達12個選項(包含『無任何規劃』)，讓受訪者能依實際現況，以複選方式進行填答。

接下來，就讓大家拭目以待，看看多數企業在因應個資法的前提下，目前究竟已訂定哪些行動方案？


對組織全員進行宣導　憑4成3票數居於領先

經過統計，在12個選項當中，得票率未超過2成僅有3項，分別是「無任何規劃」的19.2%、「執行矯正預防措施」的14.8%，以及「監督檢查管理成效」的14.6%；其中後兩者因可算是進階型執行計畫，難度與深度相對偏高，此時多數企業還無法推進到這些階段，其實不難理解。

然而有將近兩成的受訪者，迄今尚無任何規劃，幾乎抱持「無動於衷」態度，則不免令人詫異與憂心；畢竟個資法施行細則已猶如箭在弦上，勢必於2012年正式上路，面對如此艱鉅挑戰，實在沒有繼續坐壁上觀的理由。

撇開前述3項不談，其餘選項之中，有6個得票率超過3成，其間包括「對組織全員進行宣導」、「確認個人資料涵蓋範圍」等兩個選項，分別獲得43%、40.8%支持度，位居冠亞軍，在某種程度上，也充分反應了大多數企業準備就緒的程度。

有關「對組織全員進行宣導」，之所以獨居榜首，乃在於此事委實太過重要，因為環顧整間公司，上至董事長、總經理，下至一般基層員工，任何人基於職務的行使，或多或少都有觸及個人資料的機會，連帶使得人人都有可能成為「疑犯」，或因蓄意、疏忽、不知不覺，因而成為洩漏個資的元兇，所以為了讓組織全員都能恪遵規範，當然有必要針對個資保全事項廣為宣導。

企業員工皆需有所體認，面對至為嚴峻的個資法合規需求，絕對不只是高層主管的一己之事，更不宜任由資訊部門獨自操心，不分職務或階層，人人皆應自我惕勵。

值得一提，單憑「組織全員」4字，恐怕還有未盡之處，舉凡供應商、通路商、專案承包商…等所有來自於外部的事業夥伴，其實也可能徒留個資外洩的後門，企業亦需將此一併納入宣導範圍。


定期清查軟硬體資產　以免徒增資安意外

此次調查問道「為落實資安管理政策，貴公司採取哪些積極作為？」，藉以明瞭各企業貫徹資安管理政策的決心。針對此題，DIGITIMES設計「導入ISO27001 ISMS」、「導入BS25999 BCM」、「導入ISO20000 ITIL/ITSM」、「實施資安教育訓練」…等共計14個選項，其中也包含了「未採取任何措施」項目。

根據統計，前述14個選項，其中有4個得票率未達1成，依序是「未採取任何措施」的7%、「設立資安長(CSO)」的5%、「導入ISO20000 ITIL/ITSM」的4.4%，以及「導入BS25999 BCM」的2.6%；令人欣慰的，諸如未採取措施之消極型選項，得票情況不算踴躍，顯見多數企業有心做好資安防護，至於另3項，要嘛是才在海外風行的嶄新思維，要嘛就是精深博大的認證制度，皆有曲高和寡的意味，原本就不那麼「普羅大眾」化，落得低支持度的下場，並不令人意外。

有關其餘選項，得票率突破4成者，共計有「定期清查軟硬體資產」、「執行資安稽核」、「定期宣達或公布資安管理資訊」、「實施資安教育訓練」及「隨時查核更新程式安裝狀態」等5項，其中定期清查軟硬體資產囊括6成餘高票，領先優勢至為明顯，算是現今企業最偏好採取的積極措施。

為何「定期清查軟硬體資產」大受歡迎？主要是因為，此措施頗有一舉數得之妙效，一來可以透過查核行動，遏止員工私自裝載非法軟體，避免沾惹侵權風波，二來遏止員工私自拆卸任何硬體裝置，讓公司得以免於財務損失。

此外更重要的，則是預先排解安全疑慮，否則員工安裝來路不明的軟體，有可能淪為駭客跳板，因而成為有心人士的禁臠，不可不慎。