Eileen Shen根據本刊日前所進行的2008資安大調查結果顯示,目前仍有高達74%的企業尚未尋求企業風險管理顧問的協助,換句話說,仍有一半以上的企業並未正視企業風險所可能引發的危機,尤其新版個資法即將通過在即,風險管理以及政策防禦顯得更加重要,你,還在讓你的企業暴露在風險當中嗎?
某公司具有環保意識地將列印紙張單面回收重複列印使用,一天,該公司總經理卻在某客戶那裡赫然發現,客戶正在看的資料文件背面是該公司另外一家客戶的交易資料,好在客戶沒發現,趕緊回收,總經理回公司之後第一件事情就是規定從此不能使用單面回收紙張列印…;某商務人士搭乘飛機出差途中使用筆電處理公務,卻不知道臨座湊巧是競爭對手公司內部員工,於是對方用「眼睛」跟「記憶」輕易地把筆電裡頭重要機密資料給竊取走了…。
以上案例不是不可能,而是隨時在發生,資訊安全防禦已經不再僅限於電腦設備的範疇,包括個人行為以及公司政策、作業流程等環節,都是企業必須留意的部份,尤其在新版個人資料保護法(簡稱個資法)即將通過的同時,企業更必須瞭解自己應該要遵循的法規內容有哪些、以及應該如何因應,才能夠在關鍵時刻保護好企業與個人。
新版個資法的衝擊
即將通過的新版個資法,與過去不同的地方在於,不再侷限現行的學校、銀行、醫療等 8 大行業,適用主體擴大到所有自然人以及法人,而保護的客體也不再僅限於電腦處理過的個人資料,包括手寫紙張甚至是口耳相傳都算在內,而求償金額也從單一事件 2,000 萬提高到 5,000 萬,換句話說,保護範圍越大、求償金額越高,企業越該瞭解其中所可能帶來的衝擊以及因應策略。
資誠企業管理顧問協理暨國際電腦稽核師蔡興樺表示,企業面對的是法規與便利/福利的兩難,企業必須先瞭解自己所應遵循的法規有哪些、內容為何、盤點出應該受到保護的資料,另外,企業主也必須瞭解企業內部目前的現況如何,「像是個人資料現存於哪裡?哪些被讀取或列印的可能性會發生?還有什麼樣的情況可能導致個人資料的外洩?這些都是企業主容易忽略的問題環節。」
……未完(更多內容請參閱網路資訊雜誌 2009 年 1 、 2 月號 206 、 207 期)