Dforum0314
活動+

個人資料保護法即將上路 資通電腦深入瞭解法規 提供企業最完整的解決方案

  • 黃書瑋
資通電腦專業顧問團隊,提供企業個資法最完整的解決方案與服務。

隨著個人資料保護法施行細則於2011年底正式公布後,許多公司的法務與資訊人員便開始研究相關條文的涵蓋範圍,畢竟相較於以往個人電腦資料保護法,其涵蓋範圍不但更廣,罰則也更為嚴峻,企業只要一不小心,就可能遭受到鉅額的罰款。根據目前公布的條文顯示,一旦發生個資外洩的情形,企業必須舉證已善盡保護責任,否則求償金額最高將可達新台幣2億元。有鑑於此,許多資安廠商與管理顧問公司都號稱能夠提供相關解決方案,可以協助資訊部門解決其所面臨的困擾,但是深入瞭解其所提供的方案後,卻發現事實上並無法滿足法規上的要求。

綜觀目前各廠商所提供的解決方案,資安廠商多半著重在資安防護技術的應用,無法與企業流程實際結合,而顧問管理公司則注重在條文解釋與流程改造,無法掌握目前最新的資安科技,以致於根本無法協助企業改善目前的環境。相較之下,在資訊整合與服務領域擁有超過30年經驗的資通電腦,不光擁有極為傑出資安防護技術與產品外,更實際深入瞭解個資法施行細則條文的影響層面,所以設計了一套完整的解決方案,能協助企業改善資訊系統。

資通電腦資安產品經理廖婉孜表示:「雖然個人資料保護法的範圍,從個人電腦延伸到紙本文件,但其目的在於促進個人資料之合理使用與保護。所以一套個資法的解決方案,應該從政策、程序、技術等3個面向著手,才能達到真正有效的資安防護。」資通電腦將導入個資法的流程分成6階段,分別是門診(就單位或系統進行個資法適法性調查)、檢驗(建立個人資料檔案清查)、住院(擬定個資保護策略、政策與程序)、手術(技術工具整合與導入)、復健(軌跡資料留存規劃)、養生階段(訂定營運持續計畫)。

在每個階段中,資通電腦都有相對應的產品可以選擇,從資料庫加密及去識別化技術(Cyrpto Server/uPKI)、身份識別技術(ARES uIAM)、DRM、資料庫稽核等等,能夠滿足企業不同環境下的需求。

避免資料外洩 uPKI工具不可少

仔細回顧各種市面上各種機密資料外洩案例,其實有超過80%是由企業內部員工的疏失所造成,例如沒有針對檔案或資料做好的權限控管,以致於文件被有心人事竊取,或者機密資料缺乏妥善的加密機制,導致文件在傳送的過程中,因為人為的疏忽而洩漏出去。所以必須在經過使用者同意與收集的階段開始,就導入電子簽章的機制,如資通電腦設計的ARES uPKI,確保資料收集的不可否認性。

ARES uPKI是資通電腦累積多年經驗所研發的產品,這套產品採用了標準連接介面,即便開發人員完全不瞭解相關技術,也可以很輕鬆的整合至現有的應用程式中。資通電腦研發經理孫介人指出:「相較企業自行開發,採用uPKI元件至少可以縮短20倍以上的時間,尤其當需要結合企業內識別證使用時,甚至可以節省5倍的開發及維護成本。」

雖然市面上也有其他數位電子簽章的解決方案,但是ARES uPKI的執行速度,硬是比其他品牌快約2-5倍以上,並且可以廣泛地使用在Windows、Linux、Solaris、Unix等作業平台及各種應用系統中,完全不用擔心相容性的問題。正因為如此,在政府單位中有超過70%的部門,使用資通電腦ARES uPKI建立電子簽章的服務平台。

但企業要自行建置PKI防護機制並不容易,所以資通電腦研發多年的ARES uPKI系列產品,便是從降低以PKI建置資安防護機制的門檻出發,只要利用透過uPKI Kits元件,就可以輕鬆部署完善的防護機制,對抗駭客入侵與保護內部資訊安全,達到避免機密資料外洩的目的。

資料加解密與去識別化 ARES Crypto Server一手包

在整個個資法資料的蒐集、處理與利用的流程中,最重要環節便是針對資料進行加密、解密及去識別化技術,但是目前一般市面上的產品,多半是使用「資料加解密」與「遮罩(去識別化技術)」兩套伺服器,不但導入成本相當高,而且由於資料傳遞過程會有時間差,很可能成為被駭客竊取資料的漏洞。

相較之下,資通電腦推出ARES Crypto Server,同時支援資料加解密及遮罩,可以依據資料屬性,將資料進行加密再儲存至資料庫,存取時可同時解密並遮罩提供應用系統顯示,使資料無從識別特定當事人,或無法推論原告與被告之損害因果關係,以符合個資法的規範。

「在員工取用必要資料的過程中,只要一套ARES Crypto Server,就可以完成資料加解密及遮罩的工作。」廖婉孜解釋:「除了資料擷取速度更快之外,也能夠與其他現有的資安防護軟體介接,達到提升企業資安防護等級的目的,讓有限的IT預算獲得最大利用。」這套軟體可同時支援資料庫、電子檔案、應用系統等不同類型檔案的加密及去識別化,並且支援對稱式密碼演算法,包括AES128、AES256、DES 、3DES等,以及非對稱式密碼演算法-RSA,可以有效保護資料的安全。

值得一提之處,在於這套解決方案採用硬體加密模組(HSM),通過FIPS140-2安全認證,將加密金鑰儲存於硬體密碼模組內,並具防止盜取資料之金鑰自動銷毀功能,能建立完整應用系統與Key的授權機制,並配合金鑰管理機制的Key Matrix授權機制,以因應不同型態可設定不同金鑰。

隨著個人資料保護法即將實施在即,資訊部門必須加快改善資訊流程的腳步,而資通電腦培養許多專業的顧問團隊,可以提供從事先前的分析與規劃,到後續個資防護流程的建立,協助企業建立符合法令規範的營運環境。

更多關鍵字報導: 資通電腦(ARES) 個人資料保護法