企業資料安全防護實務入門指引

自由系統技術專欄 2023-03-24

為什麼資料安全越來越重要？ Why Data Protection Matters?

隨著近期新聞提及，台灣2,300萬人戶籍資料遭上網販售、華航之300萬筆會員資料以及iRent公司的40萬筆客戶資料外洩新聞，個資保護的議題又被提上檯面。

科技的發展日新月異，駭客利用可使用更低的成本獲得的勒索軟體工具，用於攻擊企業，並以企業內的機密資訊作為索取贖金的手段，近來年台灣的企業主也越來越關注營業秘密(Trade Secret)保護的議題，其中也不乏商業間諜所致的內神通外鬼的內部威脅(Insider Risk or Threat)。

其個人資料保護與營業秘密的議題，大約佔了現今企業對於資料保護的90%以上需求，資料保護規劃與解法不是一蹴而就的特效藥，而是企業建立內部制度的一個過程，持續地以P-D-C-A(Plan-Do-Check-Act)方法論，使用規劃、執行、檢核、持續改善等方式，逐漸為企業降低風險的漸進式過程，筆者在此依照過去的經驗，希望可以為企業客戶讀者引導一些方向。

∎ 延伸閱讀 | 經理人觀點：資料外洩該如何防範？企業三招強化數位韌性

▸資料保護為企業近年來關注的資安議題之一

如何開啟資料保護的旅程？ How to Kickstart the Data Protection Journey?

首先，以一般企業常見的資訊安全管理系統(Information Security Management System, ISMS)出發，歸納個人資料保護法、營業秘密法的內容，其共通點如下：

資產（資料）盤點之實作：如何確認與盤點所有組織內之重要資料。
存取管理：資料之存取管理如何加強，並依照組織定義的重要性進行資料分級。
儲存與備份管理：如何確保資料的生命周期已妥善定義與管理，從資料產生、使用至汰除
資訊安全事故管理：如何整合事故通報與處置程序。
人員背景審查（篩選）之必要性：如何在資訊安全制度與資料保護兩者之間取得平衡。
遵循性：適法性之必要。

根據上述共通點，我們會建議企業要執行以下步驟，以便從各個層面可以滿足資料保護的要求：

(1) 資料盤點 (Data Discovery)

(2) 資料分類分級與標示(Data Classification and Labeling)

(3) 資料存取權限制定與控制(Data Access Permission and Control)

(4) 資料保存、備份(Data Retention and Backup)

(5) 資料記錄流程稽核與事件通報(Data Auditing and Incident Reporting)

(6) 人力資源安全管理(Human Resource Security Management)

(7) 法規與稽核遵循性要求(Legal and Compliance Requirement)

一、資料盤點 Data Discovery

ISO 27001 ISMS資訊安全管理系統標準中，於資產管理程序中明定組織應明確識別所有資產，並針對重要資產製定清冊。

對應資料保護，資料通常被歸類為「資訊資產」，電子資料包含檔案或資料庫、訓練教材或紀錄、使用者手冊、業務持續計畫等；書面文件資料包括合約、手冊、組織文件等。※若屬於個人資料，以PIMS個資保護管理制度(BS 10012, ISO 29100, ISO 27701)範疇，會建議建立個人資料檔案清冊

資料盤點(Data Discovery)首先需要對於公司重要業務流程有一定的了解，以及對於業務流程相關利害關係人(e.g., 客戶/使用者、組織內部人員、供應商、委外廠商)都需要識別出來。接著對於業務流程會產生的資料與保存位置做初步識別與定義(e.g., 交易資料存在於系統資料庫、營業秘密保存在公司檔案伺服器、行銷研討會搜集的個資會透過Google表單回傳到公司的Google雲端硬碟…)

最終可再以業務重要性(Importance of Business)，定義公司有需要保密之資訊，包含公司各種技術性或商業性的資訊，例如公司自行研發技術機密、產品配方、製作方法、他人授權或受讓之機密、公司新品開發、投資決策、行銷計畫、客戶資訊等，並釐清權利歸屬。

▸企業可依照以下資料盤點表格範例，發想與盤點企業組織中的現存資料管理情境。

二、資料分類分級與標示 Data Classification and Labeling

一般來說可依該資訊如外洩將對公司造成何種影響、現階段或潛在經濟價值、技術發展先進程度等而為分級。

思考方向可依公司規模、產業特性等，予以適當分類，例如區分為「商業性」或「技術性」機密檔案，或更細膩區分，如依產品生產過程，區分為「研發方向、製程順序、配方比例、溫度濕度控管、材料進貨來源、成本分析、客戶名單」等類型，將相關檔案資訊分門存放，並依機密等級做分級管理。

如公司規模小，可分為非機密及機密資訊等 2 種；但公司略有規模，應至少區分為「極機密、機密、非機密」3級:

極機密：公司最重要的資訊，外洩將對公司有存亡危險。
機密：公司次重要資訊，外洩將對公司造成損害。
非機密：外洩不會對公司造成危害

對於不同機密等級的資訊都需搭配應有相對應的標示，紙本文件及電子檔案都要明定標示方式，例如標註限閱或機密等級。

紙本文件：通常搭配印章標註文件機密等級、檔案為正本或副本，或是區分歸檔位置(e.g., 保險櫃)，也可以指定專責管理人員，建立機密紙本檔案編號造冊機制
電子文件：可在檔案主旨、頁首頁尾標註機密等級，或是搭配DRM（Digital Rights Management；數位版權管理）進行資料標註，或是使用浮水印標明。

※註：若資料有包含特種個資，例如：病例、醫療與健檢紀錄、犯罪前科紀錄、基因、性生活…等，則通常會被歸類為最高級別的機密資訊，要搭配最嚴謹的管控措施

三、資料存取權限制定與控制 Data Access Permission and Control

依不同機密等級設定須相關保管、接觸、使用的權限規定，明定不具有該等級機密資訊接觸權限的人員，不應取得該資訊。

並落實「不知道的人就不該知道，該知道的人就讓他在該知道的範圍內知道(need to know)」原則，例如總經理僅需知悉管理資訊之商業性秘密，研發人員以知悉所負責專案之技術資訊為主，並禁止不必要的跨專案討論或交流資訊。

對於愈高等級的機密，採取愈高密度的管理機制，以及投入更多的人力或成本加以保護。除了檔案本身之外，也可以明確劃出管制區，與公司一般的區域空間加以區隔，管制進出人員、攜帶物品等；並針對公司電腦、網路、內部資料庫、電子郵件信箱等訂定管理措施，從資料本身延伸到資料媒介。

以下為常見資料管理控制措施：

定期檢視符合銷毀條件之機密紙本檔案，並確保銷毀文件無法被復原。
對於不同機密等級之電子檔案，設置密碼控管。
規範員工電子郵件寄送之信件內容與附件檔案，均要加密處理，並加註警語，例如：「本郵件涉及機密資料，禁止擅自轉傳使用」。
對存有電子機密檔案的內部資料庫、系統等，規範員工須以帳密登入與搭配多因素驗證；針對高度機密檔案，除非獲主管事先授權，不得開放員工閱覽或使用權限。
針對涉及極機密資訊，在經費可允許前提下，其保管場所可加裝高科技設備，例如虹膜辨識、金屬探測等設備，以實體控制措施強化。
管制員工於公司內使用 USB 或外接式硬碟等。
員工須以個人帳號密碼，登入公司電腦設備或網路伺服器，密碼要有一定的設定強度及定期更新，並禁止員工將自己的帳密提供他人使用。

而一般常談到的資料外洩防護(Data Loss Prevention, DLP)會是落在這個範疇內，會需要搭配前置的資料盤點、類別分類定義，以便針對組織來說的敏感機密資料，進行對應資料外傳防護，其作法也類似上述提到的管理控制措施，關鍵是要能夠針對資料流向進行識別與執行對應行動。(e.g., 鎖USB、信件內文包含身分證字號就不能外寄到組織外部)

四、資料保存、備份 Data Retention and Backup

依照ISO 27001 ISMS管理系統內的通訊與作業管理領域，有提及作業面需滿足的控制措施。

資訊備份：依據所議定的備份政策，定期進行資訊與軟體的備份與測試。
資訊處置程序：建立資訊的處置及儲存程序，以保護此資訊免於未經授權的揭露或誤用。

故平時要為資料建立備份機制，建議搭配3-2-1原則 (「至少備份3份；使用2種不同的備份方法(如光碟備份、外接硬碟備份、磁帶備份)，其中1份要存放異地」)，可確保資料的完整性。

延伸觀念為，因為這些資料通常與公司重要業務流程相關，若資料完整性受到損害，可能會影響到公司整體運作，故建議可搭配企業營運持續計畫(Business Continuity Plan, BCP)一起規劃。

以及，提到資料備份，組織也需要考慮這些資料最長要保留多久，因為組織存在越多資料，可能會產生更多風險與儲存成本。主要的考量點如下：

法遵需求：這個最為常見，機構需要滿足特定法規要求。(e.g., 依個人資料保護法第30條規定，損害賠償追溯期最多五年，代表機關之個人資料在無其他法律要求下，最短需保留五年。)
管理成本：對於資料盤點、資料識別定義、例行性檢查…等，這些管理工作都需要指派專責人員來進行與維護，故會產生一定人力投入成本。
資料儲存成本：資料存放的設備、儲存空間或是異地雲端空間，這些都會有直接成本產生。

企業可以依照上述面向，考量各類資料的保存時間，更應該藉由前述資料分級，將資料區分成個別用途(e.g., 常見是定義冷資料與熱資料，將一般不常存取的資料放到冷資料，以便節省儲存空間成本)。

五、資料記錄流程稽核與事件通報 Data Auditing and Incident Reporting

對於資料從產生、使用、刪除，在資料生命週期間的紀錄(Log)，都需要妥善被保存，以及應妥善定義紀錄(Log)的保存天數，以便比對、查證資料存取的適當性。

需要被紀錄的內容建議包含(但不限於)：資料存取人之代號、存取時間、使用設備代號、網路位址(IP)、經過之網路路徑...等。

資料記錄稽核制度建立，有助於資安事件發生時的追查與通報。如有發生資訊安全事故或是個人資料外洩時，事件處理與應變可依循以下建議流程：

(1) 進行內部損害控管

確認資料外洩管道：了解侵害發生之源頭，以利後續對於侵害相關之人、事、地及物等釐清，並了解侵害之方式，如 USB 存取、電子郵件夾帶或拍照等，亦有助管理策略之修正。
釐清事件相關人員：釐清接觸之人員(e.g., 離職員工、退休員工、駭客)，以利後續蒐證、防範資料外洩擴大，並可提供司法人員明確其偵辦方向及對象。
防堵或尋求專業協助：針對外洩管道進行防堵，或遏止持續向外擴散之處理。必要時，可仰賴專業外部顧問或廠商進入協助。

(2) 搜集、保全事證

相關電腦紀錄保存：確保證據完整性，降低未來舉證之困難。(e.g., 對涉嫌竊密之離職員工使用的電腦搜證，但發現電腦硬碟已被重新格式化，所有證據都未被保存下來)
調閱監視畫面：實體面的資料竊取手段，CCTV監視畫面會是一項重要的實體安全控制措施，以便用於舉證和追查。
追蹤電子資料軌跡記錄與文件流向：常見手法為資訊檔案經重製後，以外接式媒體或電子郵件寄出，另外也有以列印書面文件攜出進行，因此，追踨重要資料之重製軌跡與文件流向，必須包括電子檔案與書面文件。

(3) 確定事故通報程序

事故分析：應建立事故應變小組，因應內部通報事件進行分析，事故分析應包含確認事故之種類、事故嚴重程度、影響的範圍以及發生原因。
通報與處理：應必要性通報相關單位、主管機關或司法單位，接著應研擬事故應變處理措施避免事故擴大，並採取證據保全措施，避免異動或改變原始磁碟及證據。
復原及預防：可依照事故分析結果，研擬後續改善作法與經驗傳承，也可考慮重新進行風險評估及檢視資料管理機制之設計。

六、人力資源安全管理 Human Resource Security Management

人力資源安全管理會建議從整段員工生命週期 - 人員面試、入職、在職與離職的角度來做管理。

ISO 27001 ISMS管理系統於人力資源安全控制領域中要求組織於聘僱人員之前，應對所有聘僱之應徵者、承包者及第三方使用者的背景查證檢核。依據標準所建議之最佳實作，包括以下幾項:

是否有合格的品格推薦信。
應徵者的學經歷檢核。
確認應徵者所宣稱之學歷與專業資格。
獨立的身分檢核(護照等)。
更詳細地核對，如信用核對或犯罪紀錄檢核。

雖上述資料會適用於前期背景調查的關鍵資料，但以上資料都是個人資料，有些甚至是個資法限定不得蒐集的個人資料。故要評估背景審查的要求，對於法遵性的檢視，建議可搭配人資顧問與法務進行討論。

接著，以下為建議可對公司員工入職後到離職實施的資訊安全保護措施，可參考並進行動態管理：

新進員工：要求員工到職時簽訂保密協議，約定職務上接觸的營業資料皆須負有保密義務；要由部門主管或指定人員給予新進員工資訊安全相關辦法之簽名、說明相關資料管理方式與義務。
在職員工：若在職員工有職務異動，需簽署調職切結，保證先前自行保存之機密檔案，已全數交還原任職部門，複本並已刪除。並維持保密協議與資安辦法之遵守。
離職員工：與員工進行離職面談，詢問員工離職原因及未來規劃，提醒員工遵守保密義務，且要刪除或歸還所持有的機密資料，不得留存備份，並作成離職切結；後續，從員工提出離職申請至實際離開公司之期間內，公司可啟動稽核，如發現員工有異常存取、下載公司機密檔案紀錄，應進行調查並保存相關證據資料，最終須確保關閉員工的帳號權限與保留員工資料。