iT邦幫忙

0

中小企業因應個資法最低限度應具備哪些資安設備?

根據新版個資法第27條規定,施行細則中將針對非公務機關制定「適當安全維護措施」,包括善良管理人的注意義務,以及12項明訂安全維護事項,藉此防止個人資料被竊取、竄改、毀損、滅失或洩漏。
1.必要之組織
2.界定個人資料之範圍
3.個人資料蒐集、處理或利用之程序
4.當事人行使權利之處理程序
5.資料安全
6.資料稽核
7.人員管理及教育訓練
8.記錄與證據之保存
9.設備管理
10.緊急應變措施及通報
11.改善建議措施
12.其他安全維護事項
也就是說, 上述12條安全維護事項, 作到越多項的企業將來在法官面前說"本公司已善盡保護之責"才越有說服力,據調查,近40%的中小企業面臨個資法實施在即的心態都是先觀望,包括我們公司也是,因為花錢是無底洞, 大家都想找個成本適當, 又普遍為業界或社會接受的作法.
12條裡除了部份是公司高層要規劃的以外, 第5,8,9項應該就是屬於CIO的責任範圍了.
如果以一般公司來說, 電腦數約 100-150台, 分佈在北中南三個據點, 個資經盤點後, 計有人事薪資資料, ERP裡的客戶及廠商資料數千筆, 網站有會員資料10萬筆.
目前有趨勢防毒及其內建週邊設備控管功能(USB皆已鎖,不能使用), 對外網路有基本的防火牆作Access Control List 管控.
公司企業文化是, 大家可以自由上網. 公司裡稱得上機密資料的只有個資, 薪水跟研發部資料.
市場上資安設備千萬種,各家SI廠商都想分一杯羹,哪些資安設備是真正"必備"的?才能用最少的費用作到大多數企業基本應具備的對內及對外防護狀態!
請問,因應個資法, 大家都花多少錢在哪些資安設備?除了可以儘可能地事先防範個資外洩及駭客入侵以外, 將來"萬一"因個資外洩而上了法庭,我們能提出證據說, 公司已"善盡管理之責".
很想知道大家都是怎麼作的?

1 個回答

14
raytracy
iT邦大神 1 級 ‧ 2011-12-20 12:09:22
最佳解答

資安不是買設備就可以解決的, 光看設備, 可能會讓公司花大錢又沒效果....

資安是一套制度與流程, 設備只是用來稽核或紀錄這些事先定義好的制度流程. 如果公司自己的制度流程都付之闕如, 那怎麼可能會知道要用甚麼設備來紀錄或稽核?

要建立制度, 首要先做《風險評估》(Risk Assessment), 風險評估之後, 會得到財務損失的概算, 由於企業不可能做到零風險, 所以必然是挑選財務損失最大的風險, 做為優先導入《風險控管》(Risk Management)的項目, 再依序往次要風險來導入.

風險控管裡面會設計各種《控制項》(Control)來避免風險的發生, 控制項設計出來了之後, 你才能開始挑選適合的科技來執行這個控制項, 這時候才會開始進入選擇設備或軟體的階段.

因為有了財務損失的估算, 此時設備的預算就很容易指定, 看你要用 10:1, 5:1, 或是其他的比例來規劃設備預算 (用$100萬的設備來管控$1,000萬的風險, 用$500萬的設備來管控$1,000萬的風險, 用$xxx萬的設備來管控$y,yyy萬的風險.....)

不知道風險在哪裡? 不知道財務損失有多少? 不知到控制項是甚麼? = 不可能挑到正確的設備...

看更多先前的回應...收起先前的回應...
raytracy iT邦大神 1 級 ‧ 2011-12-20 15:48:27 檢舉

lionab提到:
,財務損失最大的風險就是 10萬筆資料被駭客從網站入侵竊走, 如果受害會員團體訴訟, 則最高財務損失為10萬筆個資*最高2萬罰款=20億, 因此花 1/100 的最大財務損失2千萬買一套WAF及IPS設備? 我相信這種評估連我自己都不能接受.

這種估算法, 別說您不能接受, 我也不能接受....

風險評估不是這樣評的, 舉例來說, 風險評估的三大數據:
損失強度, 發生機率, 評估精度

您只看到了《損失強度》一項, 卻不知道《發生機率》和《評估精度》, 一來, 這樣估算出來的財損數字是失真的; 二來, 您等於將《駭客從網站入侵竊走》的發生機率設定成 100%, 若以保險業來說的話, 風險發生率=100% 的事件, 是絕對不受理保險的, 所以當您的發生機率是 100% 的時候, 已經不需要把錢投資在《風險迴避》的設備上面, 而應該轉投資在《降低財損》的各種方法, 例如: 請哪個律師可少賠一點? 錢要不要先匯到國外?...之類的....

機率是多少? 也不是你自己說了就算, 需要有客觀的佐證. 各大會計師事務所都有風險管理部門, 可以幫你算出這些風險機率. 您應該先尋求這些專家的評估協助.

raytracy iT邦大神 1 級 ‧ 2011-12-20 15:50:53 檢舉

對抗風險至少有四種方法:
風險迴避, 風險抑制, 風險移轉, 風險承擔.

風險迴避 = 買設備預防
風險抑制 = 請律師談和解少賠一些
風險移轉 = 投保產險, 請保險公司賠
風險承擔 = 老闆全賠或去坐牢

raytracy iT邦大神 1 級 ‧ 2011-12-20 16:13:56 檢舉

如果要對風險做定量分析的話, 也有好幾種方法, 例如, 假設採用: 《風險係數評估法》, 你的計算公式可能會像這樣:

年度損失預期值(ALE)= 單一事件損失預期值(SLE) x 年度發生率(ARO)
單一事件損失預期值(SLE)=資產價值(AV) x 暴露因子(EF)

您應該把原本的計算, 重新套入上面的公式算算看....要記得 ARO 和 EF 不可能用 100% 來套, 這方面您必須請專家估算出一個比較接近你們公司現況的數値.

賽門 iT邦超人 1 級 ‧ 2011-12-20 17:24:29 檢舉

raytracy提到:
風險迴避 = 買設備預防
風險抑制 = 請律師談和解少賠一些
風險移轉 = 投保產險, 請保險公司賠
風險承擔 = 老闆全賠或去坐牢

好像PMP考題....

買設備只是讓駭客更有興趣來玩玩...
請律師談和解只是讓律師有更多工作...
投產險只是保險公司賺錢(肉包子打狗有去無回)的方法...
老闆全賠或去坐牢是失業最快方法...

所以, 最好的方法是離開IT...毆飛

最後一句....讚 @@"

鐵殼心 iT邦高手 1 級 ‧ 2011-12-20 21:53:45 檢舉

simon581923提到:
所以, 最好的方法是離開IT..

還要注意會不會被追討紅利無言

typerr iT邦新手 3 級 ‧ 2011-12-21 17:44:37 檢舉

買設備只是讓駭客更有興趣來玩玩...=>最好的方法=>當駭客
請律師談和解只是讓律師有更多工作...=>最好的方法=>當律師
投產險只是保險公司賺錢(肉包子打狗有去無回)的方法...=>最好的方法=>開保險公司
老闆全賠或去坐牢是失業最快方法...=>最好的方法=>去坐牢~有免費的勞飯可以吃,不用怕失業

以上的方法都可以離開IT產業駭客

raytracy iT邦大神 1 級 ‧ 2011-12-24 11:37:55 檢舉

lionab提到:
1.必要之組織
2.界定個人資料之範圍
3.個人資料蒐集、處理或利用之程序
4.當事人行使權利之處理程序
5.資料安全
6.資料稽核
7.人員管理及教育訓練
8.記錄與證據之保存
9.設備管理
10.緊急應變措施及通報
11.改善建議措施
12.其他安全維護...(恕刪)

回顧樓主自己提出來的這 12 大項, 有哪些是《光買設備或軟體》就可以解決的?

除了 6,8,9,12 勉強可以用軟硬體達到之外, 剩下的通通是管理制度的問題. 若公司沒有專責的單位, 制定並執行這些資安管理制度, 其他的 8 項通通都辦不到.

我要發表回答

立即登入回答