昨日有提到,到底跟我司的IoT、電腦資訊系統、資安等等,有甚麼關係呢?我又不用對外公布?幹嘛要弄個標準化,套死自己呢?
我們都知道資訊部門、資安部門都屬於公司的一個主管單位,所以一定要訂定規則,但是,訂了規則之後,內部稽核單位就要進行定期的考核,以判斷部門績效,以及執行狀況,是否有違自行定訂的標準。或許大家會覺得,那查完之後,又不對外公佈,我為何要這麼累?是的,假如非對外公開發行公司,基本上就不會有很多要求,但是,進入資安時代,主管機關已經訂定越來越多標準,目的就是希望能夠藉由法令規定,讓大家重視這個議題,如果沒有到達要求的標準,就要受罰,然而,有太多資訊單位、資安單位誤解,認為這是沒有彈性的做法,但是,內部制度是單位自行定訂的,法令上面也有明白點出....可以有彈性!
既然如此,那麼這個彈性到底要如何拿捏? 筆者認為,任何彈性,還是要依法令規範,因為,我們必須考量的點很多,法律、技術、專利....這些東西太多太多了,在沒有制度情況下,都有那麼多糾紛產生,那麼假設大家都各自為政,那麼有糾紛的時候,該如何解決呢?
以上給大家參考,也讓大家了解內控的精神是甚麼。
接下來,我們進入授權風險,
本章進入授權風險,何謂授權風險,定義如下:
授權風險 係指企業將生產製造、行銷等權限透過「轉移 」,暫時讓客戶、供應商或其他廠商,取得與公司本體一樣決定權時,所產生的風險。
物聯網當然會有很多權限轉宜的問題,所以此處亦須考量物聯網的授權風險。
風險類別--授權風險--應用層
5.1 存取權限管控
《新聞分享》:【機敏資料不當存取權限指派已成為企業雲上的未爆彈】雲端資料儲存不設防,成重大資訊治理隱憂
(新聞來源:iThome 2018-11-23 https://www.ithome.com.tw/news/127057 )
《筆者分析及建議》:
對於存取權限的設定,就企業內部來說,通常會依企業內部職位階層來進行分類及設定,然後再依權責方面由主管提出加開權限的要求,這類狀況大部分是比較被動的狀態,當然,企業員工眾多,網管對各單位也無法通盤了解各單位需求,所以也只能被動的執行權限控管,這也是常態,即使內部做了加密與保全,企業還是要有資料有可能洩漏的意外發生,這也是內部存取風險的問題。
然而面對外部的物聯網,網路中,每個環節都是相連的,也是各自獨立的,當專案進行時,沒有辦法掌握到所有節點內的權限,就有可能隨時有斷鏈的風險存在,筆者認為,物聯網主要強調減低人與人或人與機器的互動,所以在存取權限設定,應就專案來進行存取權限管控,在專案當中設定好存取權限,只要一出現存取權限的問題,立即對於雙方或多方發出警示通知,必要時,得立即停止整個專案進行,待經過確認後,隨時調整存取權限,再繼續進行各項專案。
依專案來進行存取權限管控,有其優點,首先專案是獨立的,不會因為前一個專案問題,影響到另一個專案,其次,專案是可以互相學習的,某些優缺點,可以截取做為另一個專案的參考案例,最後,專案盡量保持彈性,要有適當的空間調整,避免過度管控,造成不要必要的糾紛產生。
5.2 資料所有權
5.3 資料分享給第三方團體
(5.2及5.3具有相關性,在此合併說明)
《新聞分享》:物聯網重要關鍵字:資料新政 你的資料到底是「誰的」?
(新聞來源:數位時代 2014-12-23 https://www.bnext.com.tw/article/34670/BN-ARTICLE-34670 )
《筆者分析及建議》:
物聯網時代來臨,如新聞分享裡面所說的,所謂的資料所有權都須重新定義,因為個人資料有可能在設備收集大數據時,而被收集到企業資料庫裡,所以企業必須同時兼顧個人隱私,也需要使用個人資料,這兩者之間,若沒經過一定協定,隨時都有可能產生認知上的落差,因而產生爭議。
依本篇新聞所說,資料新政(New Deal on Data)就是在說明資料所有權須要重新定義的問題
,因此企業在使用所蒐集來的資料時,就需要考慮到資料合理使用的風險。
筆者認為,目前對於所謂資料新政,法律上還需定論,但資料新政若說是屬於所有權概念,似乎有點太勉強,因為民法上的所有權,是指物之所有,是否個人資料是屬於準物權的概念,這筆者還要再請教專家。此外,因為企業在使用資料時,通常會簽訂合法使用申明,這又是民法債篇的範圍,所以在使用、交換所蒐集的資料時,雙方有協議狀態之下,應是無違法的問題。