個人資料保護

安全輔導、業務輔導、內控輔導

工具選擇

企業電子郵件系統的個資防護與稽核觀念介紹

隨著個資法正式上路,市面上出現許多個資系統面的防護工具,包括如加密軟體、DLP、郵件稽核、網路控管等工具,企業面對安全工具應該如何選擇,工具使用又該如何結合既有的個資資安政策?本文以最常見的電子郵件稽核工具為例,為讀者介紹個資防護工具的基礎觀念。

在說明個資電子郵件稽核工具前,先介紹基礎的技術觀念如下:電子郵件稽核產品,為了能有效的攔阻個資外洩,必須去檢視郵件內容,所以會發展所謂的個資辨識技術,包括去辨識姓名、電話、電子郵件、地址、身份字號、護照號碼等,同時會發展個資的計次功能,以個資內容的出現次數去決定一封郵件的風險等級,並將風險等級太高的郵件進行攔阻,並搭配寄送審核、內容稽查的管理要求去有效防阻個資外洩。

建立個資外洩審核機制,必須搭配妥適的稽核人力 

因為郵件稽核工具是一般大型企業的必備工具,所以電子郵件使用結合稽核程序的管理方式,是企業防範個資外洩做常見的作法之一。且目前市面上很多郵件稽核工具大多有推出『個資防護』的相關套版與工具,更讓企業容易整合此類的工具。

對企業的郵件個資外洩防護而言,以『個資類別』結合『個資出現次數』,並依照其產業屬性來設置偵測規則,是一個有效的攔阻方式,且對於未知的個資檔案,均具有一定程度的外洩防護成效,但是必須有配套作業,就是『稽核人力的成本投入』。譬如某項個資郵件政策可能設定『地址』『聯絡電話』『信用卡資料』超過5次的均需要攔阻並進行審核。但可能員工在上班時間做團購,於是觸發規則,所以稽核人員還是會審查這個事件,但是會發現並無外洩情事發生。企業一旦導入個資外洩的稽核工具,必須正確認知稽核人力的投入是必要成本,市場上並無所謂的100% 全自動工具來阻擋個資外洩。

郵件稽核與事件報表,建議提交個資管理委員會定期查核 

個資法上路後,許多大型企業均有成立個資管理委員會,該委員會也會定期召開個資管理審查會議。一般的審查會議,會把稽核與個資管理情形做提報與討論,因此也建議將個資外洩的防護情形,定期做一整體性的提報。提報的主題可能涵蓋『郵件審核事件的總數』、『郵件稽核執行效益報告』、『疑似外洩事件調查報告』等,會因為企業的屬性不同而提報內容不同。提報本項工作的意義,在於落實個資法明訂的良善管理義務,由企業管理階層去舉證日常的個資安全防護情形,以及發生疑似事件的調查與改善作法。