2012年12月13日 星期四

先建立制度,還是先導入產品?


先建立制度,還是先導入產品?

10月1日個資法上路,這個日期終於讓許多企業開始動起來了。難怪最近要找一些資安顧問老是行程滿檔,要邀稿更是困難。

不過在這段時間,最常聽到資安人員抱怨的,不是找不到人。而是個資保護要做的工作這麼多,舉凡會員資料重整、員工教育訓練、廠商委外管理、制定流程政策…,每一項都很重要,但人力、資源有限,究竟哪一項要先做?這個問題其實不打緊,個資小組中各個部門可以各司其職。業務行銷部門重整會員資料所需欄位、HR負責教育訓練、法務管理部門重新審視廠商合約。

但是出現另一個問題,在IT預算有限下,是要先找顧問來導入制度流程,還是要先找SI廠商建置解決方案?這是一個大哉問!顧問公司說要先風險評鑑、建立好制度,才知道哪裡風險高要加強甚麼控制措施。但SI廠商說,光是建立起表單制度,也不能保證個資不會被外洩。沒有穩固的基礎防禦建設,做制度也沒用。

公說公有理,婆說婆有理。其實這個問題當然沒有唯一答案。要視每家企業不同的狀況,不同的資安準備度,以及所面臨的不同風險而定。對一個線上交易流量大的電子商務網站業者來說,需要時時推出各種網路行銷方案,各種動態網頁的設計、更換也十分頻繁。網路外在的攻擊、駭客入侵的威脅顯然非常大,如果原先只僅有一道防火牆是不夠的,對網頁應用防火牆的需求顯然較為急迫。如果說WAF是可以止瀉的正露丸,這時管理制度的建立則可視為強身保健的維他命。我們在去年企畫資安地圖,正是希望提供企業在有限預算下,可以根據風險來做對事、用對方法、找對夥伴。

轉載自《資安人科技網》

沒有留言:

張貼留言