《前言》
由於個資法的重要性,所以本篇以104人力銀行為探討案例,我們就來了解一下,上市一零四公司的揭露狀況。
我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
本公司設有資安暨個資委員會,制定資訊安全與個資管理政策,對本集團服務的所有客戶與利害關係人,承諾因業務需要蒐集之個人資料,依個資法規定保障隱私、依法處理利用,並強化各項資訊安全管控措施,以確保資料安全;對內部同仁要求遵守各項資訊安全、個資保護與營業秘密規定,並落實保護個資、接軌國際、遵循法規與持續改善之資訊安全方針。本公司通過BS 10012:2017 個人資訊管理系統、以及 ISO29100:2011 隱私權框架標準雙認證,拿下國內人力銀行第一張新版個資管理認證,同時也是全國第一家由 BSI 驗證通過 BS 10012:2017 及 ISO29100:2011 的企業。110 年公司完成各國際認證的三年重審作業並順利取得更新證書,持續檢討與優化確保證書有效性與作業的優化。
1.資訊安全風險管理架構:
本公司資訊安全風險管理架構,採用 ISO27001:2013 與 ISO31000 之風險管理方法,從公司營運的原則考量,並設計出合適的架構,進而透過識別、分析、評估與處理來實施風險管控措施,將殘餘風險降至可接受風險等級之下,建立規劃、實作、檢查與改善之管理系統,並符合ISO29100:2011 隱私權框架與BS10012:2017 個資保護管理系統標準。
2.資訊安全與個資管理政策:
(1) 本政策主要目標是有效保護敏感資訊(包括個人資料)之機密性,並維護本集團營運之正確性與持續運作。
(2) 本集團資訊安全管理之最高管理與決策單位為一零四資訊科技集團資訊安全暨個人資料管理委員會(以下簡稱資安暨個資委員會)。
(3) 各項資訊與個人資料處理作業,必需遵守相關規範與法令法規,以及與客戶和廠商之契約規定。
(4) 本集團與委外服務廠商簽訂相關合約時,應遵循個人資料管理系統及資訊安全管理系統相關規定要求。
(5) 本集團所有人員應瞭解於工作期間所有取得個人資料及資訊均為集團資產,未經允許,禁止做任何其他未授權之使用。
(6) 資安暨個資委員會應根據法令法規、營運需求以及風險評鑑結果擬定資安及個資目標。
(7) 本集團資訊安全與個資管理活動應符合 ISO27001、BS10012 及 ISO29100 之要求,管理活動應包含政策制定、資源提供、風險管理、認知與教育訓練、文件管制、內部稽核、矯正措施、管理審查及持續改善等。
(8) 本集團涉及持卡人資料之相關作業,應遵循 PCI DSS 之要求。
(9) 資訊安全與個資管理活動之控制措施,應涵蓋資訊安全政策、組織、人力資源、資產管理、存取控制、密碼控制措施、實體及環境、運作、通訊、系統獲取開發與維謢、供應者關係、資訊安全事故管理、營運持續管理之資訊安全層面及遵循性。
(10) 本集團所有人員皆應接受資訊安全及個人資料認知訓練,並視需要接受工作所需之資訊安全及個人資料保護之技能訓練。
(11) 資訊安全與個資保護作業之執行狀況,應列入獎懲辦法,表現優良者得酌情予以獎勵,違反相關規範者,依公司懲處規定辦理。
(12) 個人資料管理原則遵循
12.1 個人資料之蒐集、處理及利用,應依我國法令及本公司相關規定確實、嚴格審核。
12.2 個人資料之蒐集,應在特定目的之必要範圍內蒐集最少之個人資料。
12.3 除我國法令另有規定外,應依我國個人資料保護相關法令及本公司所訂相關規定履行告知義務。
12.4 直接蒐集兒童個人資料時,應作特別安全管控措施。
12.5 個人資料之蒐集、處理及利用,應依公平合法及誠實信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
12.6 定期執行維護本集團所保有個人資料檔案之盤點表。
12.7 以適當方式維護本集團所保有個人資料之正確性。
12.8 個人資料之保存期限擬定,應依法令規定或特定目的範圍所需為之。
12.9 尊重個人資料當事人對於其個人資料之權利,並應提供其行使管道。
12.10確保蒐集所取得之個人資料安全。
12.11個人資料國際傳輸,應作適當安全維護措施。
12.12提供服務涉及我國以外之人者,應有適當管控措施。
12.13建置並維護本集團之個人資料管理系統,以確保資安暨個資政策之落實。
12.14以適當方法確認公司所有人員及委外服務廠商,對本公司蒐集所取得之個人資料處理或利用情形。
12.15建立完善之個人資料管理制度,並明確界定職掌與責任。
(13) 妥善保存個人資料蒐集、處理及利用之軌跡或紀錄。
(14) 本政策應透過適當方式傳達給所有聘僱人員及相關的外部人員。
(15) 本政策須根據風險評鑑結果、關注方之需要與期望以及管理審查之相關決議,至少每年審查一次,以確保其合宜性、適切性及有效性。
3.具體管理方案:
本公司依據ISO 27001:2013實施資訊安全管理並依據BS 10012:2017個資保護管理系統及ISO29100:2011隱私權框架實施個人資料保護作業,其具體方案分述如下:
(1) 政策制定:資訊安全與個資管理政策如上,並每年至少審查與進行修訂乙次。
(2) 資源提供:透過內部預算會議、定期與不定期會議,蒐集與報告執行管理所需活動及資源,由高階主管宣誓並提供必要之人事物之支援。
(3) 風險管理:以ISO 31000為基礎框架,進行識別、分析、評估與選定風險處理措施,將風險控制於可接受等級之下。
(4) 認知與教育訓練:定期舉辦新人教育訓練,並透過會議、公告與不定時宣導,進行資訊安全認知與教育訓練。
(5) 文件管制:建立文管中心,並建置四階文件,每年至少審查與修訂乙次。
(6) 內部稽核:每年至少執行乙次內部稽核,並針對不符合事項進行矯正預防措施。
(7) 外部稽核:透過公正第三方以公正客觀角度,依據國際標準要求評估公司作業流程的符合程度。
(8) 矯正措施:透過不符合事項之根因分析、改善措施與有效性追蹤,進行矯正作業。
(9) 管理審查:每年至少召開乙次管理審查會議,由資通安全委員會審查本公司所有資訊安全與個資保護執行狀況與決議重要事項。
(10)持續改善:透過風險管理規劃、實作控制措施、自檢、內稽、管理審查與矯正預防措施,達到有效持續改善資訊安全管理制度。
(11)制度強化:持續擴大驗證範圍,並關注資安及個資相關管理系統未來發展。
(12)資安防護技術強化:導入新技術,持續強化資安縱深防護能力。
4.投入資通安全管理之資源:
本公司屬網路服務提供商,在資訊安全政策上,秉持保護個資、接軌國際、遵循法規、持續改善的資訊安全方針,於資通安全與安全防護機制的建置與落實皆投入諸多資源及關注。自103年及107年分別導入並通過ISO27001:2013資訊安全管理系統與BS10012:2017個人資訊管理系統國際標準認證,至今每年持續維運並維持證書的有效性,在為提供更優質、快速服務而導入新技術的同時,透過國際認證框架持續改善並不斷優化內部流程,健全產品資通安全與保護會員個資 。 目前 ISO27001:2013 證書 之 有 效 期 為 110 年 12月 至 113 年 12月 ,BS10012:2017證書之有效期為110年1月至113年1月。
面對多樣且快速汰變的各種網路攻擊手法,單一防護機制已無法有效防阻。在資通安全防護上,本公司參考主管機關頒布之資通安全管理相關辦法,持續部署並建構多層次的防護機制,透過不同防護機制間的協同作業,達到縱深防禦的效果。另外,建立SIEM平台(Security Information and Event Management,資安監控平台)收容自端點及閘道等各階段的事件數據(包含靜態特徵或動態行為分析),並制定日常的安全監控與告警。透過多層次防護機制與跨設備事件的關聯分析整合告警程序,提升即時應變與強化資安能量。
公司亦定期執行員工社交工程演練並建立每天24小時,一周七天的異常通報管道,提供同仁於發現問題時能即時由專業人員協助排除與處理。透過釣魚信件演練結合異常通報與平時異常信件的公告、解析,持續強化同仁對釣魚信件的辨識與警覺。
本公司重視同仁專業技能的培養與資通安全意識的養成,多年來投入大量資源孕育優質資安及資訊人才。內部配置資通安全專職(責)人員,其中包含10年以上資安經驗且具有CISSP、CEH、CHFI等多張資安證照的資安團隊。為達到持續精進與日常資通安全意識的養成,公司每年定期辦理全體員工資安與個資保護教育訓練,也針對系統管理、網路管理與程式開發等各工作領域辦理訓練課程,以提升同仁對技術及安全專業能力。
同時參與台灣電腦網路危機處理暨協調中心(TWCERT/CC)會員,透過資安情資共享,強化組織對內外部各資安情資的掌握與資安事件的通報及應變機制。未來更規劃編制並定期執行紅藍演練與持續性SIEM平台的整合與優化,藉此強化公司產品安全與健全資安事件監控與緊急應變處理流程。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
無此情事。
《分析》:
一零四是台灣知名的人力銀行,所以擁有相當數量的個人資料,因此,我們可以看到他們的資通安全管理揭露事項主要是以個資保護為導向的企業。所以我們就來看看公司的組織架構。
首先,就公司治理的部分,從公司的組織架構當中,總經理下屬一個資訊安全處,接著可以看看董事會的專業職能,就內容看起來,有一位董事有資訊工程相關、一位具有法律的背景,但就資通安全方面來說,可能董事會架構上就有些薄弱了。
再者,在股東會年報揭露事項上,固然以個資保護為導向固然沒有甚麼問題,公司也揭露了相關的政策與訓練,但是,對於個資的舊資料的存取政策卻沒有提到,例如說,如果建立履歷之後,如果要停止或終止相關服務時,資料銷毀或終止,系統會如何處理?又例如,資料建立之後,是否採取加密的演算法,或者出現外部攻擊時,如何採取保護措施等等,筆者在股東會年報上皆未看到。就前幾年人力銀行受外部攻擊,而產生的個資外洩的狀況,就現在外部攻擊的技術來看,其實已經防不勝防了,當然,目前很基本的演練及防護,一零四都有做到,只是,由於產業的特殊性,有些加密及資料的保護,不應該只有揭露到法令遵循的部分而已。
此外,在媒合的時候,該如何防止個資外洩,因為工作媒合不是單方面的媒合,有時是多方面的傳遞個資,這些在與合作企業之間的政策與保密協定就沒有看到相關的政策。
最後,我們並未看到,當資料外流時,公司的緊急處理程序,就過往的新聞來看,公司似乎也曾有大量個資外洩的狀況,然而,也並未說明清楚公司的危機處理以及後續處理狀況,這是比較筆者認為一零四較缺乏的地方,畢竟,所有的個資都是ㄧ般民眾的資料,一零四的品牌是與民眾的信任度有關,對於民眾的信任,一零四在做資訊服務時,誠如上述,應該要將任何資安事件的後續處理程序或進度做說明,如此才能讓求職民眾了解企業的處理態度。