用較少做較多 資安投資回歸基本面

個資 法上路一個月，以個資法因應為主題的活動在這個月當中如火如荼地展開。然而多數人所關注談論的是電子資料的個資保護，如防制資料外洩、加密等解決方案，卻 忽略紙本資料或報廢儲存媒體的控管，甚至在個資法施行細則當中對於紙本資料的管理也較少著墨。的確，現今企業大部份的個資都是存在資料庫系統，或以電子檔 案型式儲存，電子資訊容易被傳送，也因此企業會優先建立控管機制。然而對特定型態的產業來說，紙本蒐集來的客戶個資卻是每天、每周不斷地持續新增，例如金 融業、電信業的客戶開戶資料。一旦沒有管理機制，這些蒐集來的紙本個資就不斷地成為將來可能的外洩風險，即使它只是成堆成疊地躺在儲藏室。

因此 顧問認為流程機制的建立是重要的，不管是紙本資料、報廢硬碟的處理到整個個資生命周期的管理，都應循序建立起處理流程，讓個資保護工作可以真正融入企業的 實務作業面，讓員工可以自然做到。然而也有些企業先以法規遵循的角度，以滿足法規要求為目的來展開相關工作。這樣一來在準備因應的深度與落實上也就會產生 差別。

法規上路後，現在有各方個資保護專家以不同的角度詮釋如何因應個資法，不管是管理制度、法規制度的建立，或資安系統設備的導入等，企業應先回到基本面來思考自己的最大問題為何。

本期雜誌有篇地方政府資訊人員分享推動資安工作的心得，他們練就一身扎實的基本功，把資安設備蒐集來的log好好做深入分析，從中獲得資安管理上的重要資訊，用以改善機關內的使用環境。其實，許多時候企業不需做太多重複性的投資，只要好好鑽研現有工具，也許就可以提升設備的ROI並發揮到極限。在不景氣的時候，用較少做較多，正是大家可以學習的目標。

友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7171