2013年5月16日 星期四

掌握郵件稽核6大關鍵


通盤規劃 免除機密郵件外洩風險
掌握郵件稽核6大關鍵

隨著 2012年10月1日個人資料保護法上路,緊接著今年年初營業秘密法修正案也三讀通過,重要機密諸如企業營業秘密、產業情資以及個人資料等的保存與外寄防護,已成為企業及員工應共同正視的問題。

當企業認知到應該實施郵件稽核制度後,接踵而來的郵件稽核管理規章制訂、組織流程檢討、稽核小組建立與第一線稽核情境定義等問題,常令人應接不暇。由於缺乏建立稽核制度的經驗,承辦人員往往僅能憑一己思考逐步學習調整,明顯難以滿足郵件稽核制度的迫切性及準確性。

在筆者實際拜訪許多單位以後,發現企業組織對於郵件稽核往往有以下常見的問題:建立郵件稽核制度的第一步為何?成立稽核專案小組的必要性?如何顧及企業郵件內容保密性?實踐郵件稽核是否會影響正常工作效能?

針對前述問題進行反思,筆者融合國內企業導入郵件稽核系統之經驗,歸納出標準化郵件稽核流程模式,從制定稽核政策起,透過全面內容徹查、即時監控、加密傳輸至平時管理報表檢視等階段,全面考量,以期成為國內企業實作郵件稽核流程之參考模型。

以下再就企業稽核流程之6大關鍵進行深入說明:

1. 抓出資料外洩源頭:在規劃初期,建議先了解郵件資料外洩的潛在 5 W 1 H ,包括:
 ● Who(由哪個部門及人員外洩機率較大?)
 ● Why(該單位常發生郵件外洩事件,應該調整組織溝通流程?)
 ● When(業務最繁忙的時段較常發生異常狀況?)
 ● Where(郵件外洩後多流向何處?)
 ● Which(懲罰輕重如何拿捏?)
 ● How(外洩內容多出現於郵件內文或附檔之中?)

2. 定義階層式稽核政策:除了整體稽核政策,更應考量各部門業務職掌定義出適當的部門政策。也應重視資料攔截的精準度,個人資料如中文姓名、身分證字號、信用卡號與聯絡資訊等須準確偵測。為了避免有心人士蓄意外洩,稽核系統應可即時偵測加密檔案、遭竄改之附件檔案格式以及無關的密件副本收件人。

3. 規劃即時監控與處置:發生資訊外洩狀況時,系統可第一時間發出監控通知給管理人員,採取即時自動化或人工審理以對郵件進行攔截。

4. 定期檢視企業郵件行為特徵:保留完善記錄相當重要,郵件審核時間、審核者、郵件稽核原因及相關資料都應妥善保管,以便事後追查,並應定期發送報表以掌握異常事件的頻率。

5. 杜絕人為疏失:系統應保留寄送郵件的緩衝時間,一旦發現收件人有誤時可立即取消送信。同時在外寄多人的情況下,自動轉為密件副本發送,避免收件人資訊外洩。

6. 確保機密資料傳輸:外寄契約條款、招商名冊、產品規格或報價資訊等重要資料時,務求收件人之正確性及排他性。郵件稽核系統應提供符合政府單位與金融事業高標準資安等級之加密機制,為每封重要郵件上鎖加密,非收件人本人無從開啟信件檔案,徹底根除重要資訊對外曝光的威脅。

原文作者:現任Openfind 產品經理
轉載自《網管人》