全方位資安防護　為企業個資把關

關貿網路專案經理 鄭嘉豐。

知名企業網站遭駭客入侵、政府官方網站遭駭客攻擊等消息時有所聞，甚至已到了見怪不怪的地步，面對持續不斷的資安威脅，究竟該如何因應？對此，關貿網路專案經理鄭嘉豐表示，企業應從最基本的資安檢測做起，以了解當前資訊環境的弱點，並加以補強，做好基本功之後，才能更有效的執行其他安全防護機制。

落實弱點管理　建立縱深防禦概念

「弱點」是資安問題最基本的癥結，只要弱點存在，攻擊就會不請自來，因此，企業務必重視弱點生命週期管理，從評估、檢測、報告、修補到追蹤，各個環節都要落實，有了健康的資安體質，自然不易遭受惡意入侵。

其中，資安檢測項目包括：源碼測試(Code Review)、弱點掃描(Vulnerability Assessment；VA)、網站弱點掃描(Web VA)、滲透測試(Penetration Test；Pen Test)等，透過這些檢測，可協助企業了解當前存在的資訊安全弱點，以便即時修補，不讓駭客有可乘之機。

此外，企業也應該建立縱深防禦的概念。所謂縱深防禦(Defense in Depth)原是軍事術語，應用於資安領域，則是指部署一層層不同的保護措施，如此一來，就不必擔心一旦某防禦機制被突破，便讓入侵者長驅直入、直搗企業核心。

所以，無論管理、資料、網站、系統、網路，各個面向都應全部納入安全考量，而且入侵防護系統(Intrusion Prevention System；IPS)、入侵偵測系統(Intrusion Detection System；IDS)、防火牆、身分認證、網路存取控制(Network Access Control；NAC)……等安全防護機制，亦不可或缺。

從資料安全防護到個人資料保護

有了安全的資訊環境，才有能力談及資料保護，甚至進一步符合即將上路的新版個資法要求。

在企業當中，會涉及個資的檔案，不外乎交易資料以及客戶或員工個人資料，有鑒於台灣已經有不少企業導入資訊安全管理制度(ISMS)，因此鄭嘉豐建議，可採用ISMS搭配個人隱私衝擊分析(PIA)的方式，從業務流程開始，就將個人資料納入評鑑，以確保這些資料的安全。

欲保護個人資料，首先要了解個資保護體系的層級劃分，若以金字塔結構來看，頂端是個資法，接著依序為個資法施行細則、事業主管機關規範？業界標準，最下面一層則是公司管理辦法？規範，也就是說，建立企業個資保護的標準化作業流程(SOP)，是達成最終目標的重要基石。

鄭嘉豐指出，企業個資保護機制的建置流程有6大步驟，分別是：1.定義個資範圍、2.定義個資安全政策、3.進行風險評估、4.風險管理、5.選擇控制目標及方法、6.實行；而提升建置成功率的關鍵因素，在於人員、流程與產品(People、Process、Product；PPP)，畢竟任何資料由「人」利用、處理，因此，企業必須訂定相關的使用及處理流程，輔以成本合理的自動化資訊控管產品，才能更有效率的落實企業規範，達成資訊安全與個資保護的雙重目標。