從BS7799到ISO27001，我們看到了什么？信息安全管理系統(tǒng)涵蓋的范圍愈來愈全面，企業(yè)從風險評鑒的過程當中看到了資安危機，所以這些年來，幾乎是全員皆動，資安政策的不適應也變成自然遵守，靠的就是員工使用習慣的改善。

而計算機處理個人資料保護法到個人資料保護法，我們又看到了什么？原來個人資料這么值錢!!這是很多客戶看到個人信息法的罰則后第一個提到的問題，而且已不再是純計算機里的個人資料，舉凡電子及實體記錄的個人資料皆在本法保護范圍內(nèi)，但企業(yè)最擔心的還是電子數(shù)據(jù)的個人信息在哪？該如何保護？該如何確保已盡善良管理人責任？企業(yè)即將面臨的種種挑戰(zhàn)，我們首先想到的解決方案，就是目前最熱門的DLP (Data Loss Prevention)。

重點1：資料外泄問題的三個面向

然在導入DLP解決方案前，必須了解一個觀念：DLP不是個人信息保護的唯一工具，也不是一勞永逸的工具，雖然，DLP的確是一套管理外泄風險的有效工具，但我們所面臨的外泄問題，必須從以下三個面向來探討：

1、管理風險與確保政府法規(guī)遵循：

在布滿個人信息的企業(yè)環(huán)境里，必須先要了解這些個人信息所存在的風險因素，因為每份個人信息都有其價值性，依據(jù)每種價值度的高低，及外泄后對企業(yè)的影響力，訂定風險值，再者，對于個人信息法的相關(guān)要求（例如：利用、傳輸），是否有相關(guān)記錄進行存查，以確保外泄事件發(fā)生后能提供完善保護責任之證據(jù)。

2、數(shù)據(jù)在哪里？

電子數(shù)據(jù)無時無刻都在流動，不管這些個人信息目前存在主機、數(shù)據(jù)庫、個人計算機上、甚至是儲存媒體內(nèi)，都必須進行清查作業(yè)，以避免是否有個人信息曝露在高風險的設備上。

3、審視作業(yè)流程：

企業(yè)對于個人信息存取流程是否有誤，這在DLP導入時是很重要的一個環(huán)節(jié)，否則員工都可以存取個人信息（員工、客戶、廠商），那就不知誰才是屬于違法存取的員工了。

重點2：個人信息法要求 組織應正視數(shù)據(jù)防護的問題

個人信息無所不在，然最重要卻不是一套最完善的DLP，而是人，個人信息防護最重要的不是導入一個多嚴密的防護系統(tǒng)，而是避免人為操作失當、疏忽、惡意所造成的外泄風險，當然組織也不能因為個人信息法的緣故，讓員工恢復以前的紙本作業(yè)，這就等于為了節(jié)能都不準用電的意思一樣，所以除了透過科技手法外，也要使用獎懲方式來規(guī)范員工行為。

當然，在導入DLP前，企業(yè)需先思考，外泄管道為何？如果企業(yè)的對外網(wǎng)絡服務皆為自建自管(Web、Mail、DNS……等)，就要考慮外部防護解決方案(Web AP Firewall、 IPS……等)，如果為員工外泄就必須要限制使用者行為。

問題在于管理使用者是一門大學問，處理的好相安無事，處理不好，造成對公司反感，甚至故意破壞及盜取數(shù)據(jù)，所以，針對用戶就要試想哪種管理方式比較好，如：封鎖使用設備或網(wǎng)絡服務(USB/Web/FTP/IM)，還是監(jiān)控網(wǎng)絡使用內(nèi)容。

重點3：我該如何選擇DLP？

市場上已有很多廠商提供了很好的DLP解決方案，組織該如何選擇，并沒有對或錯，但在功能選擇上還是可以多加留意，包括了：

1、軟/硬件的差別：

目前市面上大部份的DLP解決方案都是以軟件為主，但開始有廠商提供了專屬設備，主要是因為DLP需要監(jiān)控網(wǎng)絡封包，這時硬件的效能就很重要了，所以專屬設備對于軟件優(yōu)化來說就非常好，但如遇到組織成員擴增時，專屬設備就顯得沒有彈性了，而軟件沒有專屬設備，所以可以依據(jù)組織成員規(guī)模布署適合的設備，當然也可以預留升級的空間，但因不是專屬設備，所以并未對軟件進行優(yōu)化，所以設備效能各方面都必須考慮(CPU、RAM、I/O、Network)。

2、保護標的物：

舉凡存放個人信息的所有主機與數(shù)據(jù)庫，或是用戶的個人計算機與移動設備，甚至儲存媒體與組織對外的所有網(wǎng)絡服務，都應納入保護的重要標的物，當然DLP并非一勞永逸的工具，所以搭配防火墻進行對外網(wǎng)絡服務的封鎖，是比較適當?shù)淖鞣?。以下為企業(yè)可以監(jiān)看的檔案類形：

A、于網(wǎng)絡端可以監(jiān)控的類型：像是HTTP(S)、WebMail、社群、Web HD、FTP、IM及組織使用之郵件系統(tǒng)等

B、于使用者端可以監(jiān)控的類型：像是個人信息檔案移動、檔案內(nèi)容拷貝、媒體復制、打印機、上網(wǎng)行為甚至透過SmartPhone同步數(shù)據(jù)。

3、內(nèi)建范本：

從BS10012、PCI、HIPPA、或是各國個人信息法令要求規(guī)范，這些都是與我國個人信息法都有涵蓋的范圍，所以為了有效設定正確的DLP防范政策，這些都是可以參考調(diào)整的政策模板，當然有些業(yè)者甚至還有提供我國個人信息法的政策范本，值得讓需要導入的讀者參考，最后要提的是，評估政策模板不在于數(shù)量多寡，而是能否自行調(diào)整政策，讓我們設計與組織最適合的政策并符合個人信息法，這才是我們所需要的。

4、用戶許可證與整合性：

臺灣很多都是中小企業(yè)起家，甚至網(wǎng)絡商店業(yè)者，但員工數(shù)量卻是屈指可數(shù)，幾乎很多都是微型企業(yè)，不過這些企業(yè)手上都擁有大量可觀的個人資料，但在導入DLP的第一步，可能就會遇到用戶許可證的難題，有些業(yè)者的DLP最少是50或100人為一個基數(shù)，但網(wǎng)絡商店業(yè)者的員工人數(shù)可能只有5人，卻要買100人授權(quán)，這個問題就需要業(yè)者思考對于基數(shù)的調(diào)整了。#p#

另外就是整合性的問題，無論保護標的物是主機或是個人端設備，一定都已安裝防病毒軟件，也已行之有年了，若能讓Endpoint端監(jiān)控程序與防病毒軟件整合在一起，除了管理容易外，對于端點設備的資源負載也減輕不少。

重點4：為何導入DLP會失敗？

前面提過DLP不是一勞永逸的工具，并非一帖見效保證成功的藥材，所以在導入前，整個組織在個人信息的安全維護計劃一定要夠周延，否則DLP充其量只是個空殼子，終究無法發(fā)揮最大的效果，以下簡單列出導入DLP的成功關(guān)鍵。

1、訂定個人信息的相關(guān)政策與程序

清查與明白個人信息存放位置與個人信息訪問控制列表的建立是非常重要的，這悠關(guān)對于DLP的特征比對政策是否有效，另外對于個人信息搜集處理利用及傳輸之使用限制，也必須明訂清楚，有了這些使用限制，管理者也就可以依規(guī)定來制定DLP個人信息政策。

2、倡導與訓練

從以往信息安全訓練就已是組織內(nèi)基礎(chǔ)知識的一環(huán)，所以對于個人信息安全的倡導并不會有太多阻力，只是，在明確定義個人信息與適用法規(guī)時，是有對員工加強倡導的必要性，另外每個員工都有保護個人信息的相關(guān)責任與權(quán)力義務，也都必須讓員工清楚，避免造成作業(yè)疏失個人信息外泄。

3、應配合相關(guān)端點管理

除了DLP防范個人信息外泄外，對于端點的軟件安裝、系統(tǒng)設定的權(quán)限限制等，也必須多方考慮，因為使用者的行為往往讓人意想不到，所以對于網(wǎng)絡服務限制、加密硬盤與USB、甚至OTP都必須考慮，務必做到個人信息防范滴水不漏。

4、誰該看？

從以前有關(guān)員工行為管理解決方案的記錄里，就一直在討論這個問題，當然DLP也不例外，主要也是這些被攔截的任何個人信息，在DLP上都看的清清楚楚，不管是信件內(nèi)容、網(wǎng)頁內(nèi)容、甚至傳送出去的任何檔案，都可以開啟，如果DLP的管理人員都可以看，是否又是另一條外泄管道？所以DLP的權(quán)責分工與權(quán)限最小化，是相當重要的議題，另外DLP記錄稽核作業(yè)，也是要注意的部份，本文最后答案并不會左右管理者誰該看，而是讓組織內(nèi)的相關(guān)人員可以思考這個問題。

結(jié)論

DLP雖然是這幾年才有的解決方案，但我們?nèi)绻堰@些相關(guān)功能拆解開來，各位讀者是否也有似曾相識的感覺呢？個人信息外泄這個議題，除了有效的科技手法外，制度面與人員的倡導也是缺一不可，否則企業(yè)買到的工具永遠只是一個空殼、無法發(fā)揮效益。 

【編輯推薦】

1. Websense推出Cloud DLP擴展云端安全防護能力
2. 移動設備的普及給信息安全管理帶來全新的挑戰(zhàn)
3. 八個問題帶你認識一個成熟的數(shù)據(jù)泄露防護（DLP）解決方案
4. Websense推出全球首例移動DLP