2013 年
2013-02-27
迎戰個資法 - 實踐企業郵件稽核的 6 大關鍵
Openfind 產品經理 郭欣羽
隨著 2012年10月1日個人資料保護法上路後,緊接著今年年初營業秘密法修正案也三讀通過,重要機密諸如企業機敏資料、營業秘密、產業情資、及個人資料等的保存與外寄防護,已成為企業及企業員工應共同正視的問題。個資法最高罰金有可能超過2億元、營業秘密法最高可處 5 年有期徒刑、再加上商譽損失與民眾信心低落等,資訊外洩所帶來的種種威脅,對組織影響甚鉅,尤其是在網路活動日益蓬勃發展的現代社會中,透過網路服務如發送電子報造成會員資料不慎外洩的事件時有所聞,若不投注心力徹底改善組織內電子郵件發送流程,極易造成負面社會觀感,建立完善郵件稽核制度之重要性與急迫性正式浮上檯面。
資安需求等級較高之產業如金融事業與政府單位存放廣大民眾的個人資料、金融帳號、保險訊息等多項機密資訊,必須實踐更高標準的郵件外洩防護機制,確保資訊安全,以做為其他企業標竿學習的對象。為了達成法規遵循及改善企業郵件發送流程以避免實質與無形的龐大成本損失,企業必須抱持著一次就做到最好的決心,完善實踐企業郵件稽核使命,降低個人資料、商業機密外洩之風險。
當企業已具備了實踐完善郵件稽核制度的認知後,接踵而來的郵件稽核管理規章制訂、組織流程檢討、稽核小組建立與第一線稽核情境定義等問題,常令人應接不暇,在組織內缺乏稽核制度建立經驗的情況下,承辦人員往往僅能憑己身直覺思考,再從而逐步學習調整,此點對於滿足郵件稽核制度的迫切性及準確性來說,明顯不足。在筆者實際拜訪多家完成郵件稽核的金融事業與其他產業單位後,歸納出以下實踐郵件稽核的常見問題:
- 建立郵件稽核制度的第一步棋?
誠如前述,截至目前為止對於許多企業,郵件稽核的議題來得令人措手不及,若缺乏組織內部郵件使用行為的觀察,而貿然地進行規劃,未經全盤考量,勢必有許多潛藏的細節魔鬼會在日後逐漸衍生許多問題,造成時間、人力、金錢等企業成本不必要的浪費。
- 成立稽核專案小組的必要性?
企業訂出郵件稽核目標後,皆會考量是否需於組織內部增設郵件稽核管理組織,由專業的稽核人員進行郵件審核的動作。其實,在實務考量上,組織內各部門皆擁有專業性質全然不同的業務職掌與部門氣氛。根據指派任務不同,每日各部門都會產生龐大的郵件傳輸量,而具有部門專業的郵件內容,若非事件相關人員,若僅組成獨立的稽核小組,無考量對各部門的了解,或是稽核小組與各部門間產生溝通不良的情況,也無法有效達成企業郵件稽核之成效。
- 如何顧及企業郵件內容保密性?
基於正常業務往來,存在著許多情況需要傳送機密資料至企業外部,且在希望僅相關人士讀取郵件內容的情況下,要如何保有企業郵件內容之隱私,避免在郵件稽核時,將員工或客戶隱私透漏給非相關人員。
- 實踐郵件稽核會影響正常工作效能?
組織本身業務繁忙,如果要達成理想的郵件稽核效果,是否意味著日常工作效能將受到影響,員工整體生產力是否會因而下降?該如何將郵件稽核融入於日常業務,並將影響降至最低值得企業一起思考。
【圖1 郵件稽核系統流程】
針對前述問題進行反思,歸納高標準資安等級產業,包含金融事業及政府單位實際導入郵件稽核系統之經驗,筆者整理出標準化郵件稽核流程模式,從制定稽核政策起,透過全面內容徹查、即時監控、加密傳輸至平時管理報表檢視等階段,全面考量,以期成為國內企業實作郵件稽核流程之參考模型。以下再就企業稽核流程之 6 大關鍵進行深入說明:
1. 抓出資料外洩源頭:
在規劃初期建議先了解郵件資料外洩的潛在 5 W 1 H ,
(1) Who:由哪個部門及人員外洩機率較大?
(2) Why:該單位常發生郵件外洩事件,應該調整組織溝通流程?
(3) When:業務最繁忙的時段較常發生異常狀況?
(4) Where:郵件外洩後多流向何處?。
(5) Which:懲罰輕重如何拿捏?
(6) How:外洩內容多出現於郵件內文或附檔之中?
(1) Who:由哪個部門及人員外洩機率較大?
(2) Why:該單位常發生郵件外洩事件,應該調整組織溝通流程?
(3) When:業務最繁忙的時段較常發生異常狀況?
(4) Where:郵件外洩後多流向何處?。
(5) Which:懲罰輕重如何拿捏?
(6) How:外洩內容多出現於郵件內文或附檔之中?
2. 定義階層式稽核政策:
定義稽核政策時,需保留企業整體及各部門政策設定之彈性空間,個人資料如中文姓名、生日、身分證字號、信用卡號與聯絡資訊 ( EMAIL、地址、電話)等是否可被系統自動稽核。從上一階段抓出資料外洩源頭後,可從中找出不應外洩的檔案內文關鍵字,並予以設定自動化稽核。為了避免有心人士蓄意外洩資料,自動化稽核系統應可偵測出加密檔案、遭竄改之附件檔案格式以及不相關的密件副本對象,即時確認郵件安全性。
3. 規劃即時監控與處置:
稽核郵件政策定義完畢後,仍需記得對組織內員工進行郵件寄送安全訓練,以降低外洩事件發生。若仍發生無預警之郵件重要資訊外洩狀況,系統可第一時間發出監控通知給管理人員,除了可將郵件即時攔截自動化退信或刪除外,亦可選擇由人工審理的方式,進行後續郵件處理。
4. 定期檢視企業郵件行為特徵:
保留完善稽核郵件記錄是相當重要的工作,郵件審核時間、審核者、郵件稽核原因及相關資料都應妥善保管,以便事後追查。系統更應定期發送報表,讓管理者了解今日異常企業郵件發送的頻率。進行人工審核信件的同時,應可留下審核備註,以便於事後檢視稽核郵件記錄時,可即時回憶當時郵件處理狀況。
5. 杜絕人為疏失:
在日常事務繁忙的情況下,無獨有偶的會發生非惡意的人為疏失資訊外洩事件,可分為使用者及管理者兩類。在管理者審核郵件方面,系統應主動提示被稽核的郵件有哪些部分為異常內容,除了降低管理者不慎誤放信的機率外,更可提高審核效率。而在使用者方面,系統應保留寄送郵件的緩衝時間,一旦不慎將資料外寄給錯誤的收件人時,可即時取消送信,並在外寄多人的情況下,自動轉為密件副本發送,避免收件人資訊外洩。
6. 確保機密資料傳輸:
基於組織間合作往來需求,必須外寄契約條款、招商名冊、產品規格或報價資訊等重要資料時,務求收件人之正確性及排他性。在此類郵件遞送時,可先進行郵件簽章,確認郵件發信來源之真實性。此外,郵件稽核系統應提供符合政府單位與金融事業高標準資安等級之加密機制,為每封重要郵件上鎖加密,非收件人本人無從開啟信件檔案,徹底根除重要資訊對外曝光的威脅。
實踐郵件稽核系統,不僅是為了符合法規需求,更可以協助組織避免機密資訊外洩困擾所帶來的各式影響,若能在設計規劃企業郵件稽核流程之前,透過本文提出的四大問題進行初步企業郵件稽核體制檢視,先通盤了解企業內郵件寄送行為後,定義出符合組織的稽核政策,掌握六大郵件稽核關鍵。由上往下通盤考量,更能提高郵件政策設定效率,從此消除機密郵件外洩所帶來的成本浪費與風險威脅。