作者：张士龙（台湾）

新版个资法直接冲击的对象，是企业主以及企业内部的IT人员。对企业而言，防止数据外泄(Data Loss Prevention, DLP)的目的，不只是单纯的预防重要的数字信息外泄、避免财务损失，更是为了保有市场竞争力和维护宝贵的企业声誉。

唯数据外泄的管道很多，是有心或无意的外部或内部威胁，都是企业要防范的重点。有心的不外乎有种种的网络威胁、内部员工泄露重要信息，更有甚者，是离职员工将重要信息透过个人电子邮件或如USB等行动装置，将企业重要或机密信息携出。无意的则是如终端行动装置使用不当，或信息未能妥善保管遭致遗失或失窃等。因此，企业在因应个资法与检视自身环境时最重要的3大关键要素包括了：数据在端点使用情形是否够透明化；是否有确保数据防护标准的法规；以及防数据外泄涵盖的范围是否足够。

而所谓的防数据外泄，又并非单纯的导入相关解决方案，而是应该从检视整体基础架构、机密数据定义开始。以信息安全的角度分析，企业可采取以下5个步骤，自行或与专业资安顾问讨论，如何部署既符合法规又可满足企业所需的防资料外泄方案，此5个步骤为：

1.) 定义属于公司的机密数据为何，包括营运和公司数据、客户以及属公司知识产权的数据等

2.) 管理可使用、检视和审查机密数据的单位、人员；定义出机密数据的负责人或单位，并依据实际的状况，监控数据管理者使用数据的行为

3.) 找出机密数据的流向，以及高风险的外泄管道－针对此加强控管。针对每一种高风险的管道需提供相对应的控制措施。

4.) 从系统日志及管理平台来检视，目前的防护机制与措施是否足够。如有不足之处，则需在进行管控或调整

5.) 订定出个别政策发生机密数据外泄时的应对机制及处理方法。 而这5个步骤应透过内部组织，以自动化的流程进行管理，参与的人员应包含有：法务、稽核以及IT人员的参与，针对公司信息保管及使用政策、审核评鉴、IT 实务等环节交互确认是否皆能满足法规标准及企业需求。

另一方面，完整的防数据外泄解决方案，应可针对非结构性及结构性两种型式数据，进行正确侦测、辨视，以及妥善保管。透过智能鉴识、防数据外泄、端点管理和智慧储存等先进技术，精密且审慎地检视每一笔数据流通及使用的情形。而DLP解决方案除了可以协助企业控管数据外，更可透过各项检查、告知以及通报机制协助修正人为疏失，降低因人为疏失造成的敏感数据外泄事件，同时藉由搜索方式，查出曝露在不安全的地方且未受保护的资料，找到无人管理或可以被删除的多余数据，进而协助改善静置数据的安全及使用效率。

此外，因应因特网而起便利的新型沟管道，如电子邮件、实时通讯及社群网络等新世代的沟通模式和工具，更已成为防止数据外泄的潜在威胁。企业必需兼顾客户对信息的需求，以及如何在信息公开透明化、社群网络应用，以及信息共享服务的趋势中，维护来自四面八方的数据之安全性，并让信息安全随着科技应用的变迁，随时保持高安全状态的挑战。

导入技术并非难事，面对新版个资法防止数据外泄与信息公开议题，企业必要先站稳脚步，确实的检视企业信息安全及IT基础建设蓝图，并定义机密及敏感数据的层级及权限、设定各项机制和做好人员训练，必能从容面对个资法所带来的冲击及变化。

关于作者：

任职于资安产业资深技术顾问，主要负责端点安全防护、讯息安全管理及数据外泄的管控等相关技术。更早之前，曾负责网络应用与信息安全整合之服务，在信息安全相关领域有多年之经验。