成立個資專責組織　推動後續保護措施

創始於2000年的亞太電信，由原母公司亞太固網寬頻，於2007合併旗下子公司亞太行動寬頻，以及於2011年合併亞太線上，因而達成了整合寬頻固網、寬頻行動通信與寬頻網際網路之目標。亞太電信資訊中心協理黃從訓指出，要想完整描述該公司資安管理平台的導入與建置，可從ISMS專案開始說起。在ISMS前置期時，一如其他IT專案，勢必都面臨「老闆的支持」、「資源的取得」等兩大挑戰，後來資訊中心提出兩項強而有力的理由，終至說服老闆，並如願獲致足夠資源。首先是「法規的遵循」，除需因應新版個人資料保護法的頒布與實施外，亦需一併呼應主管機關(NCC)的行政命令要求，並為未來的上市上櫃預做準備。其次則是「市場的競爭需求」，同業(主要指3大電信公司)已取得ISO 27001認證，亞太電信當然輸人不輸陣，再者，導入ISMS，也有助於提高品牌聲譽，增強用戶的信任度。行政管理與系統安全，雙軌並進因應ISMS的導入與建置，亞太電信做的第一個動作，即是強化資通安全組織，除了既有的資通安全委員會(註：為任務編組性質)外，另設立常態性專責組織－「資通安全組」，它隸屬於資訊中心，用以執行資通安全之相關作業，並協助資通安全委員會、資通安全秘書處推動全公司之資通安全政策。接下來，即必須確定專案目標。黃從訓表示，其目標共計4大項，一是建立資通安全管理制度，提升資通安全管理水準；二是以ISO 27001/27011之標準規範，執行建立健全之資通安全管理機制，並通過ISO 27001/27011認證；三是以有效之資通安全教育訓練，強化同仁資通安全之共同意識；四是訂定資訊作業相關程序說明，以降低因人為疏失產生之作業風險。至於ISMS建置的施展方向，黃從訓解釋，主要涵蓋了兩大面向，一是「行政管理面」，舉凡建立資訊安全相關的作業準則與細則(BP/SOP)、員工保密協議、教育訓練、政令宣導、內部稽核、委外廠商保密協議、委外廠商稽核…等眾多項目，全都含括於其中。另一則是「系統安全機制面」，規劃建置或強化的標的物，包含了防火牆、防毒軟體、垃圾郵件過濾(Anti-Spam)、強制密碼更換並增加密碼複雜度、系統日誌管理(Log Management)、弱點掃描、入侵防禦系統(IPS)、防止資料外洩(DLP)…等等項目。透過具體手段，逐步落實資通安全在行政管理面方面，亞太電信最重要的里程碑，即是頒布實施「亞太電信個人資料檔案安全維護管理作業準則」，並依此為BP，而在BP之下，又訂定了32項SOP，譬如「資訊系統帳號權限申請異動標準作業細則」、「資訊單位電腦機房管理標準作業細則」或「網路連線及安全作業流程管理辦法」等項目，都算是SOP。此外，全體員工皆需簽訂「保密協議書」，倘若洩漏客戶基本資料，每筆需負擔2萬元之懲罰性賠償金；另依據公司訂定之「機密文件管理作業準則」，凡9職等(經理級)以上主管，尚需加簽「保密聲明書」。全體員工每年須接受資訊安全的教育訓練(不同職能的受訓時數，按NCC規範辦理)，並通過考試，未達80分即視為不及格，必須重考。另一方面，公司內固定每半年舉辦1次個資施行狀況稽核，連同委外廠商的委外催收、帳單印製等作業流程，也在接受稽核的範疇之內；除了內部稽核外，也會配合PWC會計師事務所、NCC電信主管機關等外部查核。雙道雙品牌，增加防堵的緊密度在系統安全機制面部分，亞太電信最讓人深刻之處，即是透過「雙道雙品牌」部署策略，來增加防堵的緊密度，不僅防火牆如此，閘道端及用戶端的防毒軟體，也分別採用不同品牌。黃從訓指出，資訊中心規定，每週防毒軟體「強制」全面性掃毒，但為了顧及員工的作業需求，所以可容許有5次暫停，每次暫停以180分鐘為限，不過到了最後1次，則無法暫停，非得跑完掃毒程序不可。另外，全體員工每季必須更換1次密碼且不得重複使用，密碼設定至少8碼以上，而且需採用英文數字混合，包含阿拉伯數字、特殊字元符號、大寫英文、小寫英文，至少得採用3種以上。面對即將到來的新版個資法，黃從訓認為，它與ISMS肯定有所交集，並非兩回事，但也不完全一樣，特別是在執行單位方面，現行ISMS由資通安全組負責日常作業，然而進入個資法，究竟要設立另外1個獨立執行的單位？與目前資通安全委員會整併？種種問題，仍有待審慎考量，惟不管以何種型式呈現，亞太電信成立個資之專責組織，以推動後續個人資料保護法規定之相關措施，已是相當明確的方向。