iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 6
0
Security

資訊系統安全與 CISSP 的簡單應用系列 第 6

[Day 06] 資產安全 (Security of Assets)

  • 分享至 

  • xImage
  •  

昨天我們講到數據隱私 (Data Privacy),了解到原來歐盟資料保護主管機關 (EU Data Protection Authorities, DPAs) 是很「大咖」的。今天我們會正式再來了解由其衍生出來的「安全港架構」。在此之前,安總先分享一個小時候的故事。

撿垃圾的福爾摩斯


https://ithelp.ithome.com.tw/upload/images/20171220/20107753FgkG77Hz81.jpg

小時候我家附近一個公共大垃圾箱,就是垃圾車可以把它舉起來,然後把裡面垃圾倒給自己吃的綠色大箱子。因為那時候很無聊,就喜歡當偵探,所以我每天固定去拆某一人家的垃圾袋,看看裡面有什麼並進行分類和統計。我發現我可以知道很多事情,比方說:那一家有幾個人、今天吃了什麼、今天進行了什麼活動、發生了什麼事、今天多了什麼,以及所有紙條上透露的訊息等。

我們所報廢的硬碟 (不論是固態硬碟或是傳統硬碟),也曝露在這樣的風險中。硬碟這種東西,最好的消滅方式就是「粉碎」它 (Disintegrator)。另外簡單帶過,硬碟啟用比特鎖 (BitLocker) 機制是很基本的:透過全磁盤加密來保護數據,在設備丟失或被盜的情況下,作為第一道防線是專業 IT 的基本功。

Disintegrator

安全港架構 (Safe Harbor Framework)


安全港原則 (Safe Harbor Principle) 是允許歐盟 (EU) 和美國 (USA) 雙方企業與個人,能流通「個人可識別資料 (Personally Identifiable Information; PII)」的原則。

我們來仔細看裡面的歷史脈落和前因後果:「安全港協議」是指是 2000 年 12 月美國商務局跟歐洲聯盟建立的協議,它用於調整美國企業 (主詞) 進口及處理 (動詞) 歐洲公民的 PII (受詞)。該協議是響應「歐洲的意圖」而建立的折衷政策,所以,您說的沒錯,歐洲重視數據隱私的程度比較重喔。

我們來看「安全港架構七原則」,您馬上就會發現跟我們昨天講的「EU Data Protection Directory 三重點」有異曲同工之妙:

  1. 告知 (Notice):
    當個人的資料被收集與使用時,當事人必須被告知。
  2. 選擇性 (Choice):
    當事人必須擁有選擇的權利,其中包括拒絕給予其個人資料,或其個人資料被傳輸給第三方。
  3. 限定轉送 (Onward Transfer):
    公司只能向符合安全港原則的第三方轉送資料。
  4. 安全性 (Security):
    要求保管個人信息的組織必須採用合理的預防措施,以防止信息被丟失、濫用和未經授權的獲取。
  5. 資料整全性 (Data Integrity):
    要求公司所搜集的信息,必須準確與預期用途相關。
  6. 可存取性 (Access):
    個人必須擁有得知與修改其個人資料的權利。
  7. 強制實行性 (Enforcement):
    必須要有有效手段確保這些原則有效的實行。

這有什麼好處呢?安全港協議確立了折衷處理美國和歐聯之間隱私手續的框架。15 個成員國都服從該協議,這意味著可不經個人授權而進行數據轉移,而未加入安全港的美國企業必須單獨從各個歐洲國家獲取授權。

但接下來,我要再告訴您一個令人震驚的消息。

安全港協議已被歐盟法院宣告無效


privacy_shield
2015 年 10 月,歐盟與美國之間長久以來賴以規範資料及隱私之安全港協議,被歐盟法院宣告無效後,引起各界密切的關注。取而代之的是 EU-US Privacy Shield 以及 Swiss-US Privacy Shield。此舉對於歐美兩國之電子商務活動影響甚深,像是 Google 這樣的大型科技公司,都已經更新其自我監管框架了。(那我們對美國呢?有類似的 Privacy Shield 嗎?)

它主要的邏輯和論點如下:

  1. 美國公司須承諾其處理個資的義務,及個人權利之保證,且有美國法律依據可執行監督該公司之公開承諾。
  2. 美國公司須提供書面保證,確保其資料透明化義務,取得個資時將受到明確的限制與監督。
  3. 賦予歐盟人民數種救濟可能性 (Redress Possibilities),對於歐盟人民的控訴,美國公司必須限期回覆。

所以做歐洲的生意的人,記得花一些工夫去看看相關的數據隱私要怎麼做喔。

企業資料等級分類


  1. 極機密 (Top Secret):
    資料遭受外洩或未經授權揭露將「影響市場競爭力」或「立即營收損失」,如:材料表、材料/零件價格、銷售價格、源代碼、License 等。
  2. 機密 (Confidential):
    資料遭受外洩或未經授權揭露將「影響與客戶關係」或「企業商譽受損」,如:需求分析資料、設計書、供應商清單等。
  3. 內部使用 (Internal Use):
    此為預設等級,我們應該要有企業內一切資料皆敏感的自覺;此項定義為「不會對企業造成明顯業務衝擊」,如:ISO 文件、標準作業程序、知識共享資料、內部教育訓練教材等。
  4. 公開 (Public):
    資訊遭受外洩或未經授權揭露「不致影響企業工作成效」,或「客戶或合作廠商對企業的信譽」。如:服務或產品目錄、公開營收或財務報表、行銷手冊、新聞或電子報等。

算是幫助我們國家之企業做資安宣導吧,希望各位能夠採納並明白其中涵義,希望貴企業能越來越好。


有一次我忽然發覺到,曼谷很適合出口到歐洲,從那時候安總就對國際貿易的實務與內在秘訣深深著迷,這是我送給自己的端午節禮物。
圖解國貿實務
《圖解國貿實務》


上一篇
[Day 05] 安全與風險管理 (Laws, Regulations, and Compliance)
下一篇
[Day 07] 安全工程 (Cryptography for Confidentiality)
系列文
資訊系統安全與 CISSP 的簡單應用30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
wizard828
iT邦新手 5 級 ‧ 2020-04-20 10:39:52

「延伸閱讀:史上最嚴資料保護令 GDPR 來了!」連結失效

萊恩 iT邦新手 5 級 ‧ 2020-06-24 16:57:07 檢舉

感謝您~ 已將失效連結移除~

我要留言

立即登入留言