去年 (2012) 10 月新版「個資法」正式上路,對所有公司都帶來非常大的影響,如果沒有妥善的處理這些資料,經營者或是負責人員都可能必須負起民事、刑事和行政責任,罰鍰也不再是輕如鴻毛,因此不論你企業內主管還是員工,都不能忽視「個資法」所帶來的影響。
硬是要學在新版個資法上路不久後,便已經與大家分享新版個資法的實行後對企業所帶來的衝擊,而在這篇文章中,我們則要針對稽核紀錄 (Log) 來和大家分享一些實務上的做法。
個資防護第一步:落實 PDCA
個資的防護非一蹴可成,必須要經過一連串的規劃並執行以後,才能確保在個資的防護上到達一定的水準。因此,便有品管機構建立了 PDCA 機制,即規劃 (Plan)、執行 (Do)、查核 (Check)、行動及改進 (Action)。在個資法的適用上,臺灣 BSI 總經理蒲樹盛則更進一步的解釋,讓企業可以引用做為部屬個資保護的入門 SOP :
- 規劃
在公司內部進行制訂保護政策及設立專門組織、訂定各種個資存取的管控程序以及方法 - 執行
進行個資分類、落實個資保護宣傳以及教育訓練 - 查核、行動及改進
包含加強個資安全的監控以及管制、提高個資外洩事件反應能力、重新檢視與相關委外廠商之權利義務並落實內部稽核機制等四項作業。
在這篇文章中,我們就針對「查核」這個議題做進一步的探討,並且分享一些適合個人或中小企業使用的方法,替企業提供基本的防護。
為什麼需要查核紀錄?
在從前可能許多人都認為留存稽核紀錄是非常浪費空間的事情,只有銀行、政府等對資料異動比較敏感的機構才需要存這些稽核紀錄。但在個資法上路以後,當面臨個資疑慮時,企業必須要有辦法舉出各種的證據來替自己「解圍」,因此若平日就保有這些資料,在發生事情的時候,就可以透過這些資料來幫助企業處理問題。
對於大企業來說,由於經費相對充裕,因此在面臨個資問題的時候,可以很容易的透過外部廠商所提供的解決方案 (產品) 來解決問題。但是對於資源相對比較緊繃的中小企業來說,諮詢、顧問再加上內部相關人員的配合,其實也可以達到相當程度的保護。
稽核紀錄的種類
因為資訊系統的設備非常多,稽核紀錄的種類也不勝枚舉,因此我們就以資料庫型的系統作為範例,若要達到基本的保護等級,這些種類的稽核紀錄都是必須要的。
1. 資料異動紀錄
資料異動記錄主要的目的就是保留所有資料的修改異動軌跡,記錄的資料包含了 WHO (異動者)、WHEN (異動時間)、WHAT (做了什麼異動) 以及該列資料的完整紀錄。這種類型的稽核紀錄可以完整的紀錄資料所有的異動軌跡以及作為問題查詢用途,除此之外,當資料發生錯亂的時候也可透過此種稽核紀錄來追蹤並還原資料。
2. 查詢紀錄
由於企業內部的系統非常多,操作的人也很多,為了防止公司內部的資料遭到居心不良的人員外洩而導致公司損失,企業除了需要嚴格限制人員在不同的系統所擁有的操作權限以外,當人員查詢資料時,也必須要將查詢的行為予以紀錄,以達到監視的效果。未來若有需要,可以透過各種設定的條件進行紀錄的查詢,對特定的事件進行稽核及調查。
3. 操作行為紀錄
除了前一點所提到的查詢紀錄以外,針對有敏感性的系統,系統也必須要同時記錄使用者的操作行為,這種紀錄除了可以用於追蹤及釐清問題外,甚至可以透過一些分析方式,及時發現特定事件並且早期發出警報進行處理,以防止問題擴大。
除了治標,也別忘了治本
留存稽核紀錄是為了便於「事後」查詢並釐清責任使用,但因為事情都已經發生,這些方法都是亡羊補牢,因此除了追蹤以外,在「事前」更應該做好嚴密的控管措施,例如可藉由帳號權限、存取範圍 (地理位置)、存取時間等等的限制,確保資料不會在未經過任何許可、監控的狀況之下被取出。