企業電子郵件系統的個資攔阻政策規劃介紹
電子郵件稽核系統中,用戶最常使用『郵件個資攔阻政策』,本文將介紹基礎的政策導入與調整觀念,包括初期的準備工作,功能測試的政策調整期,以及正式上線稽核作業的整體作法。
郵件個資攔阻政策,應先從郵件個資流分析起
為阻擋個資外洩而設置『郵件個資攔阻政策』,建議準備工作應該先從郵件個資流分析起,在各部門執行個資盤點作業時,應該一併說明業務上會使用電子郵件來傳輸個資檔案的情況與數量、種類為何。這類的個資資料流,必須由『個資管理委員會』來檢討個資傳輸情形,並制訂管理政策,譬如『個資數量50筆比以上應該以加密方式傳輸』『個資檔案應該加註特殊關鍵字』『個資檔案應該標示特殊Tag』等。郵件稽核的產品,即可依照上述的政策要求來制訂外洩防護規則,有效保護郵件的個資資料流。
郵件個資攔阻政策,成功導入因素在於試行時期的參數調整
個資政策制訂後,一定要進行政策試行與參數調整,因為企業內部有許多表單,如報價單、財務報表、空白申請單等,都可能當郵件稽核工具在處理大量資料時的誤判造成『誤攔』情形,所以需要由專人去調整『郵件個資攔阻政策』,去設定所謂的排除名單。而各部門的業務不同,個資攔阻政策的觸發參數也可能不同,管理部可能是30筆,行銷部為50筆,都需要由各部門的專門執行人員協助政策的持續調整。一般建議功能測試的政策調整最少要8週以上,每2週均需召開會議檢討政策的可用性及調整方式,這樣正式上線時,才能真正有效的攔阻個資外洩並檢少誤判情形發生。
『郵件安全管理政策』正式上線後,企業應該制訂標準的『郵件審核放行程序』與『郵件內容稽查程序』來持續且有效的防止個資外洩。『郵件審核放行程序』包括制訂郵件審核準則、郵件放行準則、郵件調查準則等作業SOP等,『郵件內容稽查程序』需制訂事件調查準則、事件報告準則、事件改善準則等作業SOP,此類的工作項目較為專業,建議企業可以找信任的顧問公司來協助執行。