iT邦幫忙

0

企業在網路基礎架構上如何因應個資法?

djf 2011-03-14 16:59:296048 瀏覽

我是負責公司的網路機房基礎建建設,請問各位先進,如何在這部分進行加強以因應個資法?
請大家提供建議,謝謝!!

4
harrier7
iT邦研究生 2 級 ‧ 2011-03-14 17:58:05

個資法這類法案,最重要的精神都在於『留下紀錄以供稽核』,在網路方面,應該逐漸把 NAC(Network Access Control) 改用 802.1X 的方式來管理,以求紀錄資訊的完整和效力。

4
花輪
iT邦大師 1 級 ‧ 2011-03-14 20:35:48

包括 print、fax、email...等,都要留下記錄,甚至是所有的 image 都要存檔、備份起來..

可以想見,storge 的廠商又有一大筆好賺了..

花輪 iT邦大師 1 級 ‧ 2011-04-18 21:44:51 檢舉

四樓的N大說的對,所以備存後還要有 OCR 與 全文檢索的功能,才比較完整。

0
ansonchen
iT邦新手 1 級 ‧ 2011-03-17 17:19:23

Network Infrastructure因應個資法,
就從最簡單Layer1~Layer3 Protocol作好資訊安全,
並針對重要資訊Log下來,如Syslog、flow、L2管控等,
當這些基本工作做好管理就是最佳的防範,
並可即時監控管理設備事件與紀錄

另外當基礎架構完成,則可進一步針對資安管控,如L4~L7等需求與服務作好管控
加油!!

0
neilcsf
iT邦新手 4 級 ‧ 2011-04-18 13:20:13

個資法雖然強調資料或記錄的備存,但相對舉證能力也相對重要,意思就是能夠找到需要的資料來舉證與釐清責任,因此建議您除規劃備存作業外,也需要測試看看找資料方不方便。免得實際上有證據,但找不到佐證資料,那就很遺憾了 @@~

參考資料
*個資法專題網站 http://www.ithome.com.tw/privacylaw/

2
jachal
iT邦新手 5 級 ‧ 2012-06-27 09:32:10

日本為例他們在2005時推動個資法,其中最高的訴訟問題是在紙本資料及EMAIL的外洩,而非透過電腦外洩的。
個資法上路時許多老闆都會把MIS叫來,說許多資料都在MIS這邊,但是MIS可以把機器管好,但是紙本資料呢?? 應該要先審視公司的流程,透過管理機制去管理,而非一開始就聽信SI 廠商說,你買我的設備就可以解決個資問題,我只能說他可以解決某一部分問題,但不是全部。
你可以參考施行細則第九條內有11個事情要做的,這11條無論是大樓管理委員會,讀書會,各種社團,宮廟管委會甚至你是一人公司...等都必須要去做的。
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。
因為要直接證明資料不是從貴公司洩漏,太困難了。除非每個人及外包廠商頭上也都要裝行車紀錄器,並且所有server 上也有各項log,才有可能證明。你認為有可能嗎??
許多管顧公司一開始就說要做個資盤點,但是以敝公司為例做到一半就做不下去了,因為太多人來問你我為什麼要做這個? 我很忙耶,月底要做業務耶!! 甚至於就隨便敷衍你。
所以建議貴公司實施個資法的步驟:
1.先建立管理組織,做教育訓練,讓大家知道個資法的嚴重性,形成共識,這樣後面才能推動盤點。
2.做個資缺口自我診斷(身體健康檢查就是個資盤點),因為只有貴公司同仁才真正瞭解公司流程。
3.針對個資缺口提出因應作為
世界上沒有個資綜合維他命,因該先把公司20%資源,放在80%高風險上,其實可以透過許多管理機制就可以降低風險了,不要再聽信一般SI 說,你買我的產品就可以解決個資法問題。我們都會認為他只能降低某一部分問題,但不是全部。
上法院時您是要證明貴公司為個資做了哪些事情,而不是要直接證明這個資不是由貴公司流出去的,因為要證明這資料不是由貴公司流出去,就必須所有員工及上下游廠商上頭上都要裝行車紀錄器,且所有SERVER 也要有各項紀錄,還要防止有人透過資訊拼圖方式拼出來。你認為有可能達到嗎??

所以建議貴公司實施個資法的步驟:
1.先建立管理組織,做教育訓練,讓大家知道個資法的嚴重性,形成共識,這樣後面才能推動盤點。
2.做個資缺口自我診斷(身體健康檢查就是個資盤點),因為只有貴公司同仁才真正瞭解公司流程。
3.針對個資缺口提出因應作為
世界上沒有個資綜合維他命,因該先把公司20%資源,放在80%高風險上,其實可以透過許多管理機制就可以降低風險了。
建議先由管理制度下手,再透過系統權限的控管例如把匯出及列印功能拿掉,最後才是花錢買資安產品。畢竟資安產品都很貴。

0
sylvie0710
iT邦新手 5 級 ‧ 2013-04-09 11:54:41

個資防護首部曲:落實 PDCA,完善稽核機制:
http://www.soft4fun.net/system-security/pdca-privacy-law.htm

我覺得紙本的資料真的很危險.......一個不小心就被偷走了
之前不是有學校的回收二次用紙被發現有學生的個資被拍照外洩嗎!!!
這些都不是MIS把機器管好就可以解決的事阿!

0
jojojjjo
iT邦新手 4 級 ‧ 2015-05-03 10:42:10

是的, 公司資料安全需要好好留意, 資料就是公司的資產, 我公司會做好備份, 以防硬件出現問題
http://www.ahsay.com/jsp/tc/home/

我要發表回答

立即登入回答