News

企業為何必須認清 GDPR 的重要性 ?

號稱有史以來舉世最嚴格的資料保護令  —  歐盟通用資料保護規則 (General Data Protection Regulation；GDPR)，預定在 2018年 5月 25日施行，距今已迫在眉睫；深究此法最讓企業畏懼之處，在於罰鍰相當重，最高可處以 2,000萬歐元、或年度全球總營業額的 4%金額，且取兩者當中較高值，足見違規的代價十分慘重。

儘管對 GDPR 有所顧忌，但不少台灣企業仍存疑惑，甚至認定此事與自身未必相關。當您未考慮到 GDPR 所帶來的變化，並將準備工作拖到最後一刻，實在令人擔憂。

對此一向專注發展企業基礎架構軟體解決方案的 Micro Focus，其資深技術顧問李柏厚分析，企業究竟是否適用 GDPR，可從境內、境外不同角度檢視，所謂境內，意謂企業在歐洲地區設有營運據點，涉及當地顧客資料的蒐集運用，勢必受到 GDPR 規範。

至於境外，意指雖未在歐洲地區設點，但基於業務拓展，因而與當地經銷商建立合作關係者，一樣受到 GDPR 制約。舉例來說，論及 GDPR 法遵的入門條件，首先需在內部成立個資管理的權責單位，因應個資料的蒐集、處理、使用、傳輸及銷毀等生命週期環節，制定相關作業流程與表單，其次則更重要，任何蒐集到資料欲挪作他用，都必須取得當事人同意，假設某公司 A 產品部門擬將銷售商資料提供予B產品部門，即視同為用途變更，若未事先獲取經銷商首肯，便等於違反GDPR。

 Micro Focus 業務總監黃成弘補充，導入 GDPR 猶如早先導入個資法，企業皆需盡力防止個資遭到竊取、竄改或銷毀，為達此目標，都會設立必要的管理制度、人員組織與作業流程，此外亦須部署對應的技術工具，藉融合人 (People)、流程 (Process) 與產品 (Product) 等 3P 元素，確保箇中所有環節彼此緊扣，避免出現讓內外賊趁虛而入的破口。為此 Micro Focus 三管齊下，從資訊安全、身分認證及識別、資料歸檔及還原等不同角度提出完整方案，使個資不論流動轉換到哪個環節，皆持續保有安全性，若出現外洩疑慮，也將即時通知管理單位介入處理。

原碼檢測加滲透測試，主動挖掘程式漏洞

李柏厚指出，針對資訊安全，該公司提供諸多偏向應用系統面的保護方案，用戶可利用 Fortify 執行原始碼掃瞄，確認程式面是否涉及個資處理，若有，則進一步檢測其間是否存在安全漏洞，以利開發者及早修正；爾後進入網站架設過程，Fortify還可發揮滲透測試功能，檢測各個資料攔位上，是否出現可能遭致 SQL Injection 等各類網站攻擊的弱點。

另值得一提，應用程式往往需要透過電子郵件管道，將發送重要訊息給個人，信中亦可能夾帶個資，同樣存在機密洩露風險；惟只要利用 Micro Focus SecureMail，便能針對此類郵件進行端對端加密，即使有不宵人士從中攔截，也無法看出信件內容。

資訊安全的另一重點，即是資料存取的稽核機制。Micro Focus 資安產品資深技術經理邱裕翔表示，該公司的 ArcSight，在資安事件平台業界向來位居翹楚，其強項之一即是完整蒐集資料使用的軌跡記錄，便於企業管理者作為查詢調閱、事後追蹤及呈堂證供之用；依據 GDPR 規定，企業只要得知有個資外洩情事產生，必須要在 72 小時內通報資料保護主管機關，並提出處置方法，遵循壓力甚大，一經善用 ArcSight 平台，輔以啟動 ESM (Enterprise Security Manager) 關聯性基礎架構，便可即時分析整起事件的來龍去脈，快速取得相關跡證，不致延誤 72 小時黃金週期。

此外 ArcSight 亦支援大數據安全分析功能，協助用戶提升威脅偵測的速度。具體來說，ArcSight 可協助將蒐集到的軌跡資料透過分散式訊息通道系統 (ArcSight Event Broker) 傳遞到第三方分析系統應用，據以營造一個開放式分析環境，裨益用戶運用 ArcSight 或第三方分析工具，加速鑑別是否出現個資外洩事件、以及事件影響範圍；相關應用情境包含有工業 4.0 網路服務產業 (The Internet of Services in Industry 4.0) 的威脅分析與即時事件告警，用戶可借助 ArcSight ESM 當中 Investigate 工具，結合底層的 Vertica 叢集運算技術，大幅提升提高事件分析效率，讓企業更篤定能在 72 小時內提出完整調查報告。

身分認證方案如守門員，嚴防宵小覬覦個資

至於 Micro Focus 身分認證及識別方案，黃成弘表示，係以 Identity Manager 為基礎元素，旨在針對所有帳號產生、調整、權限設定、銷毀 (如離職員工) 的完整生命週期進行治理，確保任何帳號與密碼，皆是在符合既定管理制度、作業流程的前提下，才准予放行登入系統；接著下一步由 Access Manager 登場，針對各個帳號的實際存取行為，完整加以側錄與日誌保存，以利稽核管理之用，確使任何合法使用者都僅利用最小權限，存取足夠資訊，避免出現異常的逾矩行徑。

黃成弘坦言，近年來隨著駭客技能不斷提升，導致原有密碼保護機制出現鬆動，即使長達 16 位數的密碼，據聞駭客已有能力在 4 小時內破解；因應這般風險，Micro Focus 另提供兩大保護方案，一是 Advanced Authentication，藉以滿足多因素認證需求，另一則是 Privileged Account Manager，意在嚴加管控特權帳號，慎防特權帳號旁落駭客之手，釀成重大危害。

某種程度上，Micro Focus 身分認證及識別方案的角色猶如守門員，任何人想存取應用系統或資料，都必須拿到合法的鑰匙並通過守門員查核，否則都不得其門而入。

在 GDPR 之下另一個重大變更是，要求設置資料保護專員 (Data Protection Officer，簡稱 DPO)：對許多企業來說，這是一個新職能，將隸屬於 GDPR 範圍內。

如果您的企業會定期且有系統地處理人們的資料，或是您會處理「特殊類別的資料」，例如個人性向、健康狀況、犯罪記錄或類似資訊等，幾乎可以確定您必須有 DPO。

DPO 該由誰擔任的定義不是那麼明確：職位可以是承包商或員工，但最重要的是，此人必須同時是顧問 (足以勝任) 和獨立的監督者。

DPO要能就實現合規提出相關建議、熟悉您企業的 IT 和安全基礎架構，還必須掌握足以完成工作的資源：這並非普通員工所能勝任。

做好因應 GDPR 的準備是一項大工程，時間越來越緊迫。路線圖的規劃始於 瞭解您現有的流程有哪些，您與哪些人有交易往來，瞭解可以注意到必須完成的工作量有多少。Attorney First 律師事務所 Judith Vieberink 建議找出您的資料流。 別靠工具來引導 — 請先瞭解您有什麼，為引導方向。」

資料歸檔及備份還原

論及資料歸檔及備份還原部份，Micro Focus IM&G 資深業務經理 鍾仁傑指出，該部門分為資料歸檔及備份還原兩大部分，資料歸檔主力產品為 Secure Content Management Suite ，內含 ControlPoint、Structured Data Manager (SDM)、Content Manager 等三大關鍵元件，總體來說，不論結構性或非結構性等任何型式的資料被創建、訪問讀取、保存的資料生命週期，已領先業界的archiving技術，提供跨品牌、跨平台的歸檔需求及符合法規的資料管理與治理，尤其可借助IDOL核心引擎，從大量郵件、文字、語音等非結構化資料中識別涉及個資的關鍵字或這些資料可能違反那些法律，完整的 report工具能讓法務人員充分掌握資料的合法性；此外針對機敏個資，在被讀取、歸檔的過程中，任何應該實施加密或遮罩保護的環節，都能確保徹底執行。

鍾仁傑接著說，針對備份還原部份，Micro Focus 提供 Adaptive Backup and Recovery Suite，整合了 Data Protector、Storage Optimizer、Backup Navigator 等三大關鍵元件，Data Protector 提供全面性的資料保護，建立自適應備份與復原環境。搭配 Storage Optimizer 可減少儲存及管理大量非結構化資料的成本，不會影響終端使用者的日常使用習慣，並能識別冗餘、過時或瑣碎資料並予適當清除及歸檔，由 Tier1 主儲存設備移轉至 Tier2 儲存設備，大幅減少資料總量，提升線上儲存設備效能，加速備份時間。再由 Backup Navigator 提供即時的互動式儀表板和 report、儲存資源預測及衝突發生時的根本原因分析能力。

從 GDPR 換位思考，你的單位還缺少甚麼 ?

GDPR 不是只有影響 IT 層面，也間接地擴及安全、市場、業務、C-level 各單位的發展，及彼此合作關係。

Micro Focus 與 CIO 組織合作 #gdprandbeyond 概念，整理出四大方向整理 － 資料安全、資料隱私權限、災難還原、資料歸檔。

如何讓 GDPR 成為您企業的競爭力 ?

無論是從資料和軟體管理到培養客戶忠誠度，或是開闢新的收入來源，GDPR 也是難得的商機。

GDPR 將取代歐盟 1995 年的資料保護指令，公司採取行動以遵循新法規時，需要對自己的資料進行「大掃除」，公司可能需要汰換舊有系統，採用有潛力提升企業敏捷性的彈性雲端服務，經營效率因此提高，成為企業的策略驅動力和加速器。

Burberry 前任集團風險與資訊安全主管 John Meakin 認為「如果您意識到自己收集了兩次資料而不是一次，那麼客戶體驗將會得到改善。」藉由縮小其資料湖泊 (Data Lake)，讓資訊更容易找到，將這個潛在的複雜合規領域轉化為企業的助力，讓公司立即降低了成本。

總體而論，企業邁向 GDPR 合規過程，舉凡應用面、稽核面、資料保護面，乃至資料存取的權限控管，一直到備份與還原議題，每一段落都可能存在個資外洩的罩門，端看企業如何盤點己身最脆弱環節，從而著手補強；而 Micro Focus 已備齊完整方案，隨時為用戶提供奧援。

( 此文章 12月 12日刊登於電子時報網站及日報 )

距離 GDPR 實行日只剩兩個半月，如果您還沒著手進行，請現在立刻開始!

如您需要更多資訊，可以選擇下方任一方式與我們聯繫

致電 (02) 2376-0036

填寫線上提問