強化內部管理減少洩密事件
◎魯明德
　　新版的個人資料保護法（以下簡稱個資法）雖已在去（100）年5月26日公布，然由於該法案本身尚存諸多爭議，且其施行細則草案也有定義不明或窒礙難行之處，因此行政院遲未公布正式施行的日期。 
　　今（101）年2月內閣改組後，行政院立即針對新版個資法的施行進度召開協商會議，並於４月底提出建議於101年10月１日正式施行。由於新版的個資法適用範圍廣泛，且賠償責任從2,000萬元上限提升至２億元，刑罰責任從２年以下有期徒刑及告訴乃論，修改為５年以下有期徒刑及非告訴乃論，對各企業的影響，不可謂不大！ 
　　在資訊部門工作的小潘在獲知個資法將實施的消息後，深怕公司引以為傲的資訊化成果，一旦不慎外洩將造成極為嚴重的損失，於是利用下午茶時間把這個問題就教於司馬特老師。 
　　司馬特老師聽完後笑著說，企業的資訊安全必須靠科技的防制作為，結合公司的內部管理雙管齊下，才能達到實質的保密效果。 
　　首先從科技防制作為來看，公司的資訊系統一方面必須架設防火牆，以防止外部駭客入侵，另一方面也要防止企業內部的合法使用者把自己權限內的資訊外洩。由於現在記憶體的製作技術優良，行動碟的容量越來越大，很容易成為資訊外洩的載具，因此，公司必須撰寫程式將電腦上的USB Port予以封鎖，防堵資料外洩的管道。 司馬特老師喝口咖啡接著說，很多人以為只要系統裝上防火牆就可以防止資料的外洩，但任何的科技都很難防堵人為蓄意的破壞。依據Computer Security Institute的調查顯示，機密資料的外洩有70%是由內部合法使用者所造成。另一份Institute of Commercial Management的研究報告更指出，有39%的員工曾將公司的客戶資料外流，甚至有52%的離職員工會將工作資料帶走。而美國著名的３M公司在2010年也做過類似的研究，有超過70%的受訪者表示，每週有超過２個小時的時間會在辦公室以外的場所工作；而員工在辦公室外處理的敏感資料，有41.77%為內部財務資料、33.17%為人事資料、32.17%為商業機密。 
　　對於在外工作的員工而言，資料使用的方便性考量，遠大於資料的隱密性。因此，即使有80%的受訪者表示，在外使用公用電腦時，會優先選擇裝有螢幕防窺片的電腦，不過，實際上卻只有35%的人會這麼做。從以上的數據可以發現，企業的資訊安全除了須仰賴在科技上的防竊功能之外，公司內部如何制定出一套嚴格的管制作業流程更為重要。 
　　在管理上可分為兩方面來執行，首先是針對外來人士，公司難免都會有客戶前來開會或洽公，因此，應在會客管理規定上規範客戶可以活動的範圍，最好有固定的會客地點；如果無可避免，一定要進入公司內部，則應要求將資訊媒體置於會客室統一保管，離開後才能領回，資訊媒體包括筆記型電腦、智慧型手機、照相機、行動碟…等，以防止會客人員將內部機密帶走。其次，對公司內部人員也要有管制作為，重要文件、資料在系統中應以加密處理，並建議企業導入數位權利管理（Digital Right Management， DRM）機制，除依使用權限限制閱讀外，即使資料被外洩，也會因認證不通過而無法閱讀，藉此達到保密的目的；此外，數位權利管理機制可以限制列印，故可防止內部合法的使用者把機密資訊列印成紙本帶出公司。 
　　小潘聽完後，對於內部機密的資訊管理已有初步的想法，但是業務人員常常要到外面工作，又該如何解決保密問題呢？ 
　　司馬特老師喝完最後一口咖啡後說道，資訊本來就是要為企業服務、創造價值的，一定要思考如何可以讓使用者方便使用，所以業務人員在外處理公務，可透過虛擬私有網路（VPN）利用已加密的通道通訊協定來達到保密、傳送端認證、訊息準確性等訊息安全效果，如此就可讓業務人員安心地在外辦公，也不怕有洩密的問題。 
　　華燈初上，師生在焦糖瑪琪朵的香味中結束這次的約會。此時，小潘面對個資法上路後的資安作為，心裡已有萬全的準備。 
（作者服務於新心科技有限公司及科技大學資訊管理系）