新版個資法預估將在明年中上路,但眾多企業卻仍然缺乏明確因應作為;這種現象一方面肇因於不了解新法影響範圍,更有相當比重是想做卻不知從何下手。銜接個資新法的關鍵在於是否有能力掌握所有保護資料的流向和狀態,資訊事件記錄管理是所有規畫和責任追的基礎,未來必將成為資安核心作業之一,企業應該優先投入。
的確,新版個資法涵蓋層面太廣、要做的事情太多,責任追究和刑罰量度都提高了,企業對個人資料的保管和運用全程都必須負責,很難在短時間內釐清並完備所有資料流程中的保護行為;但是時間不等人,還是得在有限時間與資源下,有計畫並且有效率地進行資料保護管理。在動手之前,有必要先了解個資保護的本質。
多數企業第一個想到的是強化網路安全,或對使用者調用資料的管制。事實上,個資外洩的原因很多,可能來自網路駭客、系統漏洞、內外部資料竊取,每一個資料處理環節都可能發生問題。進行個資保護,絕對需要有系統地分析作業,這就是資訊事件記錄管理的價值所在。
資訊事件記錄是一項專業技術,倘若不夠完整,便不能發揮分析管理的參考價值,而詳實記錄又有資料傳輸量和儲存空間的挑戰,所以過去能提供有效解決方案的業者非常有限。為了加快導入速度、降低導入成本,同時兼顧管理和安全需求,企業在選擇資訊事件記錄管理方案時,必須將幾項重點列為優先選擇。
首先當然是記錄功能的完整性。因為系統網路化,透過由網路記錄資料流向是最有效率的作法,不必在個別設計或應用系統上安裝代理程式,同時又兼顧系統規模變動的彈性。其次是資料處理和管理的技術。龐大資料量必須能即時並行分析,再加以認證、壓縮、加密完整儲存,才能發揮記錄管理的即時效益,並且維持整體資訊系統效能。在這個過程中,若配合先進的儲存技術,將能讓管理作業事半功倍。
當資訊事件記錄管理達成上述完整性、有效性後,面對新版個資法要求,企業便能以同時兼顧內、外部資訊流的掌握度,有效運用預算強化資料保護建置,並隨時因應需求調整其他資安措施,或配合提出安全稽核記錄。
具備可昭公信的資訊流程記錄,才能當作資安事件發生的責任歸屬。資訊事件記錄是所有個資保護的基礎,也唯有完善的資訊事件記錄管理,才能彰顯企業對客戶的道德擔當。