2012年2月21日 星期二

個資盤點停看聽 要選人工還是系統?


個資盤點停看聽 要選人工還是系統?

企業面對新版個資法的第一步就是個資盤點,唯有透過個資盤點,清楚發掘個資的所在,才能識別個人資料的擁有者、資料流、影響程度以及相關牽涉部門,然後擬定對應的解決方案來減少個資外洩和官司纏身的風險(圖1)。

圖1、企業個資盤點與防護解決方案流程圖
 
 資料來源:本文作者整理。
 
盤點方式比一比  用人工?還是自動化工具?

目前多數企業採取人工盤點的方式,透過人工逐一找出個人資料產生的流程,界定出該保護資料的範圍與手段。人工盤點最大優點就是成本低,利用企業自身的員工進行盤點,不需要額外的花費,但也隱含了以下四個問題值得深思。
1. 人工盤點會忽略非正常流程下取得的個資,例如:員工在公司業績誘因下,透過其他方式取得的個資,就無法透過人工盤點找到;
2. 人工盤點依據作業流程進行盤點,而非根據系統層面,在組織作業流程與架構不斷變化的情況下,很可能將資料遺留在某個電子檔案(file)或是資料庫 (database)中無人查覺,這些資料都有可能包含個人資料;
3. 人工盤點要透過『人』來進行,牽扯到人就會有執行力的問題。要是員工雙手一攤說電腦裡沒有個資,那麼無論是多麼完整的個資盤點表、多麼厲害的顧問都無用武之處;
4. 人工盤點曠日廢時,越是大規模的企業就必須耗費更多時間,往往一耗就是1~2個月的時間。

而人工盤點的問題,恰巧就是自動化盤點工具的競爭優勢。自動化盤點工具指的是透過系統自動掃描企業內部所有檔案,並查出哪些檔案含有個人資料,其特色為快速,大約1~2天就可以完成個資盤點,而且還能跨越依據作業流程盤點個資的藩籬,清楚找出企業所擁有的個資、消除人為執行的不客觀因素,至於缺點則是成本較高,企業必須額外花錢採購系統。(作者:王銘賢)

引用自《資安人

沒有留言:

張貼留言