第三方磁帶銷毀 強調公信力

這份報告分析了自2012年1月到8月期間的資料外洩案件，而調查也顯示，駭客攻擊日益猖獗，因為駭客攻擊而造成資料外洩的比例提升到了四成，但在此同時，因為內部人為疏失而造成的資料外洩案件也高達四成八。這項數據也突顯了資訊安全防護不再只是對外的防範，更應成為全面性的管理作為。

怡敏信總經理林嘉祥指出，企業或組織原本就有義務負起保護客戶或員工個人資料的責任，在個資新法施行之後，這項責任不變，但同時新增了法律上的強制性與損害賠償舉證責任，也因此，企業應該審視目前資安防護的機制，特別是以往較常忽視的資料銷毀也應該有更具信任的作為。

消磁才能杜絕風險

長期以來，磁帶便具有低單位容量成本以及容易搬移的優勢，因此不少企業透過磁帶來進行離線備份或歸檔的作業，但幾年之後，企業累積磁帶量愈來愈多，不少因為年限已到或是報廢的磁帶需要銷毀，然而現今企業執行磁帶銷毀的過程中也存在許多問題。

▲怡敏信總經理林嘉祥指出，企業將磁帶銷毀委由第三方具有公信力的業者來服務，將可以取得雙重保障。

林嘉祥解釋，隨著磁帶的儲存密度愈來愈高，單位面積下的資料愈來愈多，在IT技術演進下，即使是一小段磁帶片段都可能有數MB的資料存在，因此，最好的方式是透過消磁的作法，以超出磁帶原本磁力強度的磁性，讓磁區呈現完全空白，無法再次進行讀寫的動作。

銷毀服務提供公信力

除了思維之外，流程的公信力也是一大問題。不少企業自行銷毀磁帶，除了技術面無法確認已銷毀的磁帶是否真的復原之外，由執行人員自行驗證成果的信任度，以及欠缺稽核機制來確保流程的公信力也常是風險所在。「雖然，企業主是以信任的原則下來看待資料銷毀的作業，但是管理階層往往也不熟悉技術，當執行人員展示無法讀取磁帶時，管理階層往往無法在第一時間判斷磁帶上的資料已確實銷毀了？還是執行人員的刻意作為而讀不出來？另外不少企業設計的銷毀流程也往往少了稽核的機制，萬一遇到舉證需求時，企業也會面臨不少質疑。」林嘉祥說。

▲怡敏信已設計出一套完善的銷毀流桯，並且在執行過程中，全程都能錄影、拍照，甚至協同稽核人員參與，而事後也可讓使用單位將已消磁的磁帶抽樣，帶回資訊室驗證，並且提供銷毀證明書。（圖片來源：怡敏信官網）

針對這些需求，怡敏信很早便投入磁帶銷毀服務，「其實個資法還沒確立之前，一些大型企業或是外商機構就已經具備先進國家的觀念，因此委由怡敏信來提供磁帶銷毀服務，這是因為他們深知資訊安全的重要性，不管是個人資料還是企業資料，如果流入競爭對手或不當人員的手中將影響公司營運安全。」

他同時表示，企業將磁帶銷毀委由第三方具有公信力的業者來服務，將可以取得雙重保障。首先企業得以採用消磁技術來確保資料已經銷毀無法復原，其次業者已設計出一套完善的銷毀流桯，並且在執行過程中，全程都能錄影、拍照，甚至協同稽核人員參與，而事後也可讓使用單位將已消磁的磁帶抽樣，帶回資訊室驗證，並且提供銷毀證明書，這些舉措都能為企業提供另一項保障。

「怡敏信身為全球儲存媒體的研發、製造與銷售業者，長期以來都朝著守護重要數位資產而努力，磁帶是怡敏信企業端的主力產品之一，不論磁帶經過幾個世代交替，怡敏信都還保有完全相容的磁帶機，因此企業在驗證時，無須擔心磁帶過於老舊無法驗證的問題。」林嘉祥強調，當一家業者長期關注在儲存媒體的技術時，對企業客戶來說就是一項保障，否則任何一家公司買上一台消磁機都能提供資料銷毀服務，萬一效果不確實而發生商業行為的災難，被罰的金額相當可觀。

磁帶資料安全須全面

隨著個資新法施行，愈來愈多的企業開始重視資料銷毀的重要性，但一如前文提到，資訊安全防護是一項全面性的管理，包括資安政策教育也要面面俱到。林嘉祥分析，台灣企業長期以來都依靠成本的掌控來提升競爭力，但是這並不全然是好事，以磁帶為例，台灣企業多數會重複使用舊磁帶，但這與國外是迥然不同的作法，在國外，磁帶的使用只有一次，一直存放到銷毀，反觀國內，將舊磁帶重複使用雖然可以節省成本，但同時也產生資料外洩的疑慮。

「當這些舊磁帶被重新使用時，到底有多少舊資料被閱讀過？這些資料機密嗎？儲存著新資料的舊磁帶重要嗎？這些都存在問號。」他重申，個資保全必須環環兼顧，不只是後端的銷毀作業，前端的掌控也是企業必須留意的地方，否則顧此失彼，企業資料外洩的風險也就無法有效掌控。