作者：王慕民律師

編輯：陳品安律師

審閱：葉奇鑫律師

 

依照個資法第27條規定，維護個人資料的安全，是傳播事業的法定義務。進行遠距工作時的個資或資安保護，對大部分傳播事業來說可能都是一項新挑戰，建議傳播事業可先檢視既有的資訊安全政策有無包含「遠距工作」項目，再視情形調整或訂定。

 

本文謹依《個人資料保護法施行細則》第12條第2項規定的11種措施，並參考澳洲資訊委員辦公室（Office of the Australian Information Commissioner, OAIC）之意見提供建議如下：

 

• 組織治理

1. 組織內有無審查/許可遠距工作申請的管理程序？（細則§12Ⅱ(6)資安管理及人員管理）
2. 組織每隔多久會審查遠端工作政策，以確保仍然適合每個員工遵守？（細則§12Ⅱ(11)個人資料安全維護之整體持續改善）
3. 組織有無教育員工有關遠距工作的實體安全及個資保護？（細則§12Ⅱ(7)認知宣導及教育訓練）
4. 組織有無教育員工有關資通訊及網路安全的落實，例如識別網路釣魚（phishing）或魚叉式網路釣魚郵件（spear-phishing email）？（細則§12Ⅱ(7)認知宣導及教育訓練）
5. 組織有無建立包含員工遠距工作的資安政策？（細則§12Ⅱ(6)資安管理及人員管理）
6. 組織有無針對員工在遠距工作時使用終端裝置（員工自己的桌機、筆電、平板電腦、手機）訂定明確政策？（細則§12Ⅱ(8)設備安全管理）

 

• 資通訊安全

1. 所有裝置、虛擬私人網路（Virtual Private Networks, VPN）及防火牆是否都已取得更新及最新的安全修補（包含作業系統及防毒軟體），且設有高強度的密碼？（細則§12Ⅱ(6)資安管理及人員管理；(8)設備安全管理）
2. 組織有無考慮針對較高需求的遠端存取技術強化網路安全措施，並提前測試？（細則§12Ⅱ(6)資安管理及人員管理）
3. 組織有無針對員工存取組織網路與系統導入安全控管措施？（細則§12Ⅱ(6)資安管理及人員管理）
4. 組織有無針對遠端存取系統及其他資源（例如雲端服務）使用多因素驗證（multifactor authentication）？（細則§12Ⅱ(6)資安管理及人員管理）
5. 員工能夠使用私人裝置遠端存取系統嗎？組織針對這些私人裝置採取哪些技術上與程序上控管措施，以降低安全風險？（細則§12Ⅱ(6)資安管理及人員管理）
6. 組織有無針對正在使用的新科技（例如視訊會議軟體）評估隱私與安全控管？（細則§12Ⅱ(3) 個人資料之風險評估及管理機制）
7. 組織有無針對終端裝置要求足夠強度的最低標準（例如密碼保護、加密等）？（細則§12Ⅱ(8)設備安全管理）
8. 組織有無採取能夠阻擋或降低網路釣魚、魚叉式網路釣魚及社交工程攻擊的損害的技術措施（例如外部來信的電子郵件附檔可否在開啟前預先掃描）？（細則§12Ⅱ(6)資安管理及人員管理）

 

• 存取安全

1. 組織是否限制只有為營運業務所須的員工，才有權限存取該業務涉及的個人資料？（細則§12Ⅱ(6)資安管理及人員管理）
2. 組織有無考量在員工的終端裝置內安裝遠端刪除程式，以便在裝置遺失或遭竊時刪除個人資料？（細則§12Ⅱ(8)設備安全管理）
3. 組織有無要求密碼複雜度（例如大寫、小寫、標點、特殊符號、數字等混用）？有無定期變更密碼的機制？是否阻擋重複使用相同密碼？有最低密碼長度的限制嗎？有無禁止員工分享密碼？（細則§12Ⅱ(6)資安管理及人員管理）
4. 在重複幾次登入錯誤時，可否封鎖該員工（帳號）登入？（細則§12Ⅱ(6)資安管理及人員管理）
5. 組織採用什麼方式識別不當存取含有個人資料的檔案或資料庫？有無使用稽核紀錄（audit log）與稽核軌跡（audit trail）？內外部存取都受到監控嗎？有什麼方式可識別異常行為？組織有能力主動監控系統存取，以識別潛在的未獲授權存取或濫用資料嗎？組織有無考慮因應遠距工作的需求而增加主動監控機制的使用？（細則§12Ⅱ(9) 資料安全稽核機制；(10) 使用紀錄、軌跡資料及證據保存）
6. 這些措施屬於被動回應（例如紀錄審查、事故應變）還是也包含即時或接近即時對存取行為的監控？（細則§12Ⅱ6)資安管理及人員管理）
7. 如偵測到異常行為，組織將啟動什麼程序以立即阻擋或降低風險？如何評估該行為是不是未獲授權的存取嘗試？（細則§12Ⅱ6)資安管理及人員管理）

 

• 事故管理

1. 員工知悉組織的個資事故應變計畫嗎？員工遠距工作時也可輕易取得該計畫嗎？（細則§12Ⅱ(4)事故之預防、通報及應變機制；(7)認知宣導及教育訓練）
2. 因應遠距工作的安排，現有計畫中有關通知事故或可疑事故的方式需要調整嗎？（細則§12Ⅱ(11)個人資料安全維護之整體持續改善）
3. 個資事故應變小組針對員工遠距工作發生的個資事故或可疑事故，有適當能力處理嗎？該小組需要有什麼調整嗎？（細則§12Ⅱ(1) 配置管理之人員及相當資源）
4. 組織有無針對遠距工作模擬事故演練，檢視應變計畫有沒有需要強化之處？（細則§12Ⅱ(11)個人資料安全維護之整體持續改善）

 

• 實體安全

1. 組織是否評估哪些業務基於無法降低的隱私風險，不適宜遠距執行？（細則§12Ⅱ(3) 個人資料之風險評估及管理機制）
2. 組織有無考慮如何調整遠距工作的業務執行方式以降低個資外洩的風險（例如以電子郵件取代電話傳遞資訊，避免他人聽聞、將特定業務重新分配給有私人工作空間的員工、指定特定時段讓員工進入工作場所執行重要業務）？（細則§12Ⅱ(3) 個人資料之風險評估及管理機制）
3. 組織有無針對實體安全措施制定明確政策，要求所有遠距工作員工都須遵守？（細則§12Ⅱ(7)認知宣導及教育訓練）
4. 組織是否考慮主動採取措施以確保員工家中有適當的實體安全維護（例如考慮以現場或遠端方式持續抽查員工家中環境，檢視員工的遠距工作環境安全）？（細則§12Ⅱ(9) 資料安全稽核機制）
5. 如果員工在家中沒有私人工作區域，應考量可如何在家中打造暫時性的個人工作空間，或者組織應考量是否重新分配不需要處理個人資料的工作給該員工。（細則§12Ⅱ(3) 個人資料之風險評估及管理機制）

 

※ 歡迎註明出處後轉載。