實務解密:從檔案稽核到資安治理,ISO 27001 下的新安全觀
在數位化與資料共享迅速成長的今天,企業不僅要面對來自外部的資安威脅,內部員工不當取用、分享檔案造成的風險亦不可忽視。當各式機敏資料大量往來於企業內、外,若沒有適當的檔案分享與稽核管理機制,不僅增加資料外洩風險,也可能違反法規要求。本文將聚焦於檔案分享稽核管理的重要議題,探討與 ISO 27001 的關係,以及在不同產業中導入的實務案例。
企業資料外洩的三大原因及常見防範措施
近年來台灣及國際間企業資料外洩事件頻傳,企業應如何防止重要資料暴露在陽光下?根據網擎多年的資安經驗,資料外洩主要有以下三大因素:
- 系統與軟體的安全措施不足:無需授權即可取得內部檔案、資料未加密傳輸、系統漏洞未修補等,導致駭客更容易入侵。
- 人為疏失:企業員工缺乏資安意識,外部電腦登入後,未於使用完畢登出系統、設備更換或遺失時,未清除內部的企業機敏資料等。
- 未經許可攜出機敏資料:如未管控內部檔案,員工可能透過未受管控的方式將檔案外傳。如員工透過 LINE、或自己的雲端硬碟將檔案傳給外部合作廠商;甚至為了私利將內部重要檔案攜出。
針對這樣的情況,企業常見的防範措施包括以下幾點:首先,從架構面改善,如導入政府機關積極推動的零信任架構,旨在提升整體系統的安全性認證;其次,定期修補系統與軟體中發現的漏洞;第三,限制使用者的使用範圍,並制定設備遺失時的補救措施;此外,由企業主動提供檔案交換平台,亦可減少員工將檔案存放在個人平台的風險,再搭配管控內部檔案權限,加強對外分享的安全性,並對機敏資料的分享進行限制,從而達到多層次的防護。
值得注意的是,企業常見的儲存與資料交換機制,如 USB、網芳、NAS 及自建的開源分享平台(如NextCloud),大多無法完整滿足上述防護措施的要求。
| 防範方式 儲存與交換方式 | 符合企業 零信任架構 | 定期弱掃 滲透測試問題修復 | 限制 使用範圍 | 設備遺失 補救 | 降低公有雲 使用 | 權限管控 | 機敏資料 檢查 |
|---|---|---|---|---|---|---|---|
| USB | X | X | X | X | X | X | X |
| 員工的公有雲 / Line | X | X | X | 常有 MDM | X | X | X |
| 網芳 | ? | ? | O | 不包含這段 | 不包含外部共用情境 | O | X |
| 建 NAS | ? | ? | O | ? | 看是否開放對外 | O | X |
| Open source 平台 (以 NextCloud 為例) |
X | X | O | O 有 MDM | O | 部分 | X |
| SecuShare Pro | 可配合架構 界接 |
每版弱掃 協助修復 |
O | O 有 MDM | O | O | O |
檔案稽核分享管理與 ISO 27001 的關係
隨著 ISO27001 標準從 2013 年條文版本轉移至 2022 的條文版本,2013 年版將於 2025 到期失效,新版對企業的資訊安全合規及風險管理有更嚴格的要求。條文明確要求組織要有洩漏預防措施,以及敏感資料要有對應的加密機制避免直接揭露的風險。針對企業往來的檔案分享交換,Openfind SecuShare Pro提供符合國際標準組織(ISO)條款,確保客戶能防範及強化自身資安控管,其對應控制措施如下:
| 條文 | 控制措施功能說明 |
| 5.7 威脅情資 Threat intelligence |
SecuShare Pro 勒索病毒防護模組可降低勒索病毒擴散風險,並具備資料還原功能,協助企業迅速恢復運作。 |
| 8.10 資料刪除 Information Deletion |
具備定期刪除檔案功能,當檔案使用時間超過規範,系統將自動清除相應的空間,防止敏感資訊不必要暴露,同時遵守相關法規及契約要求,保障資料安全和合規性。 |
| 8.11 資料遮蔽 Data masking |
|
| 8.12 資料洩露預防 Data Leakage Prevention |
提供檔案全面監控,透過檔案的稽核與審查機制,能偵測並防止未經授權的資訊揭露,從而確保資料安全。 |
由此可見,安全機能完善的檔案儲存平台可說是企業落實 ISO 27001 控制措施、提升資安成熟度的重要環節。
強化資訊安全與效率的檔案分享稽核審查解決方案
網擎資訊 SecuShare Pro(以下簡稱 SSP)針對檔案分享可能會遇到的各式資安問題提供了全方位解決方案,能與企業內部架構無縫整合,並根據企業的具體情境給予合適建議。例如,針對政府機關近期推動的零信任架構,網擎與零信任廠商全景有實質合作,擁有豐富的整合經驗。當然,除了全景之外,市場上還有多家零信任廠商可供選擇,企業可以討論最佳的整合方式,以提升整體安全架構。
SSP 支援多種管理功能,包括登入範圍限制、分級允許 App 使用、裝置與連線管控(MDM),有效管理使用區域與裝置。關於 SSP 的檔案共享與交換,可分為以下兩個部分:
- 內部權限設定:限定員工存取適當的檔案,提供細膩的權限設定。例如:以群組方式設置權限,或讓新進員工無法存取部門機密檔案等,給特定員工特定權限,另也可由主管來授予員工合適的檔案權限。
- 外部檔案共享安全機制:共享連結必須強制加密、設置有效期限、限制僅能線上預覽。此外,系統還能檢查檔案是否包含個資及企業指定關鍵字,符合規則即禁止生成分享連結。
許多企業希望 SSP 能夠整合現有內部系統,搭配主管審查流程,實現更徹底的防護,確保企業資料安全無虞。
Openfind SecuShare Pro 產業導入檔案管理實例
銀行業檔案攜出審查
銀行業因應金管會要求,當員工希望將內部檔案提供給外部的廠商、客戶時,必須由主管確認內容沒有機敏資料,員工才能將檔案寄給廠商、客戶。原先流程中員工透過 USB 將檔案提供給主管,經主管確認內容 OK 後,檔案會上傳至內部的分享系統,產生連結後提供給員工。然而,金管會稽查後發現原先使用的分享系統已經終止支援,並且禁止內部使用 USB,因此,該銀行業的檔案攜出流程需要即刻改善。銀行業原先檔案攜出流程如下圖所示。
經過網擎團隊與客戶的討論,提出了如下解決方案:
在此方案中,網擎為客戶做到了以下重點:
- 整合客戶自行開發的帳號系統,包括帳號建立、同步、認證以及取得對應主管資訊,以獲取上述流程所需的必要資訊。
- 介接內部現有的 portal,通過 SSO 方式,讓使用者無需再次輸入帳密即可登入 SSP 系統。
- 根據原先流程提出進一步的改善方案,讓客戶能更便利地使用這套系統。
需與上下游廠商交換檔案的汽車零件製造公司
另一個案例,國內某汽車零件製造公司對檔案進行嚴格管控,所有提供給外部廠商的檔案(如訂貨單、零件規格等)都必須經主管確認後才能提供。這些檔案會由 IT 部門統一管理,透過外部雲端檔案空間生成分享連結後,再將連結提供給主管和員工。該汽車零件製造公司原先流程如下圖。
此流程存在以下幾個顯著問題:
- 流程過於冗長,員工申請後還需經過主管和 IT 人員的多層審核。
- IT 部門工作繁重,若能將連結工作自動化,將大幅提升工作效率。
- 雲端空間有限,IT 人員需花時間清理空間十分不便。
經網擎與企業內部討論發現,原先企業內已有部分作業是通過申請表單進行,並需由對應主管確認表單內容,由於該廠商具有研發能力,因此提議運用原內部表單系統來透過 API 連接 SSP,以取代原先流程。新的流程如下圖。
此方案具有以下優點:
- 運用原先員工已熟悉的表單系統,降低學習成本。
- IT 人員不再需要介入此流程,節省大量時間。
- 檔案統一在 SSP 上管理,並有完整紀錄。
- 可自動刪除已分享完畢的檔案,減少 IT 人員擴充硬碟或整理空間的困擾。
檔案稽核到資安治理,ISO 27001 下的新安全觀總結
在如今企業資料量劇增、檔案分享 / 交換頻繁、且供應鏈日益複雜的情境下,檔案稽核與分享管理可說是企業資安治理、流程制度化、法遵合規、風險控管的重要基礎。透過流程制度、平台控管、權限設置、外部分享機制、安全加密、稽核日誌、雲端服務評估等多重面向,企業可有效降低檔案外洩風險、符合法規與標準(如 ISO 27001)、提升營運效率與信任度。
