企業機密外洩或個資違法曝光的新聞層出不窮,相關的法律罰則也接連推出,令許多不熟悉郵件機密資料防護議題的企業 IT 人員,相當的不知所措,常會期望在導入郵件稽核系統的同時,也能有專業顧問諮詢。
實踐郵件稽核,不僅是為了符合法規需求,更可以協助組織避免機密資訊外洩困擾所帶來的各式影響,若企業能在規劃企業郵件稽核流程之前,初步檢視郵件稽核體制,先通盤了解企業內郵件寄送行為,確實了解「什麼樣的情況該稽核?」「有哪些檔案該稽核?」等問題,並據此定義出符合組織的稽核政策,掌握郵件稽核關鍵。由上往下通盤考量,更能提高郵件政策設定效率,從此消除機密郵件外洩所帶來的成本浪費與風險威脅。
其實,身處不同產業的企業,對於郵件稽核的重點各有不同,以下節錄部分產業的稽核重點:
一、 金融業 稽核重點與常見問題
顧客個人資料、金融資訊及交易紀錄 | 承辦人員往往不知從何著手 |
金管會檢測重點及缺失回應 | 需要可參考稽核流程範本 |
避免日常機敏性資料外洩 | 實際導入前須經多次顧問諮詢 |
二、 製造業 稽核重點與常見問題
外寄郵件流向是否正常 | 如何規劃防止研發機密外洩至競爭者 |
依部門不同量身打造郵件稽核條件 | 如何避免郵件誤寄給國內外合作廠商 |
商業機密與研發資訊嚴密稽核 | 如何有效驗證郵件來源,避免詐騙 |
三、 一般企業 稽核重點與常見問題
人資:履歷薪資、人力資料庫 | 業務:如何保存客戶聯繫及訂單 |
行銷:顧客關係與聯繫資訊 | 全體使用者:防偽冒詐騙議題 |
會計:財務獎金審核流程 | 全體使用者:個資法規遵循 |
一般來說,可將企業郵件稽核分為以下六大階段,以追本溯源為起點、經過設定政策、監控處置、杜絕疏失、機密傳輸及定期檢視。以下定義各階段內容:
1. 追本溯源:了解企業內各單位分別含有哪些類別的機密文件
2. 設定政策:針對各單位業務職掌制定相關政策
3. 監控處置:郵件外洩事件發生時,管理者需要即時被通知,並給予處置
4. 杜絕疏失:使用者在忙亂中,勢必有所疏漏,管理者須提供誤寄防護
5. 機密傳輸:夾帶機密資訊的外寄郵件,若不退信,則必須以加密方式傳輸
6. 定期檢視:管理者可根據稽核郵件紀錄或統計報表,隨時掌握外洩狀況
必須要注意的是,這些階段是循環不息的,一旦企業在定期檢視的階段發現有新的異常郵件外寄現象發生時,則須立即定義相關郵件稽核政策,避免有心人士鑽漏洞,有效攔阻機密外洩!
其中,「設定政策」可視為郵件稽核流程最應花心思研究的階段之一。怎樣的郵件該被稽核,被稽核到之後又該進行怎樣的處置?是否由系統直接退信,還是需要管理人員人工檢視?種種問題,都必須仔細思考。以下列出設定政策的相關重要議題:
防止個資外洩須搭配有效個資偵測技術,不應有過多個資誤判狀況發生,更應該將個資出現次數設立稽核門檻,並不是只出現一筆個資就該稽核。此外,相同個資應可去重複計數,避免被簽名檔等資訊混淆。
附檔也是一個常見的機密外洩的管道,像是具有特殊規格的圖檔或是研發中的新功能等,都是左右公司勝敗的關鍵資料。不僅一般的 Office 文件、 DWG 檔案、PDF 檔案及 ZIP 壓縮檔案等資料類型,都應被有效稽核。「檔案加密時」、「副檔名遭變更時」及「多層次機密壓縮檔案內容」也應被攔阻審核。台灣及日本都有相關營業機密保護法令,避免機密外洩,甚至將機密外洩至外國公司的情況視為降低國家競爭力的潛在風險,將洩密者給予更重的處罰。
企業審核單位在設定政策時,應可針對不同部門職掌內容設定不同稽核條件,而針對高階經理人士,為避免重要郵件時效性被延遲,可考慮機密資料外寄,郵件直接放行的同時,也可在 MailAudit 留下完整郵件稽核紀錄。為加速郵件審核效率及避免機密跨部門曝光,部分企業採用中央單位設定條件,交由基層單位審核郵件。
除了傳遞大檔之外,可將附檔轉為連結的「附檔追蹤」功能更可應用在會議邀約、產品功能諮詢、價格詢問以及上下游廠商聯絡事項確認。利用附檔下載通知,滿足寄件者欲掌握收件者信件讀取的時機需求,有效降低額外的聯絡工時,大幅提升工作效率。利用完整的連結傳送紀錄,當發生傳錯檔案的情況,寄件人可自行終止此連結。結合加密功能,滿足防止誤寄與郵件安全傳輸之需求。
企業導入郵件稽核系統已成為不可避免之趨勢,該如何兼顧機敏資料防護以及使用效率成為相當重要的議題。郵件進入審核區時,除了可通知管理者外,也應通知寄件人,若為緊急郵件,寄件人收到通知時,可主動請管理者協助審核。當系統已分門別類建立出多個郵件審核區時,更應於審核區列表顯示各審核區的待審核郵件數,管理者即可依照提示前往仍有待處理郵件的審核區進行管理。為方便管理者彙整稽核郵件紀錄,系統應定期寄出日/週報表,藉此二度審視是否有異常行為發生。
企業實踐郵件稽核流程,最大的好處不僅在於第一時間避免重要資訊外洩,更可降低外洩事件發生後,企業面對合作廠商、顧客及員工的善後溝通成本以及無以計數的經濟及商譽損失。只要先投資一些時間習得郵件稽核相關經驗,並完成導入作業,貴單位將可無後顧之憂地專注在企業營運的重要課題!