善用工具 因應個資法挑戰

2010年1月初Google遭受襲擊近幾年來規模最大、最複雜、以特定公司爲目標的網路攻擊，名為「極光行動(Operation Aurora)」，駭客在行動中運用最新的技術來欺騙使用者點擊網站連結，使用了十幾種惡意代碼和多層次的加密，深深地挖掘進了公司網絡內部，並巧妙掩蓋自己的活動。McAfee公司威脅研究副總裁DmitriAlperovitch表示：「我們從未見過這種水準的加密，非常高超。在掩飾攻擊和防範常規偵測方法上，他們的加密非常成功。在國防工業之外，我們從未見過商業行業的公司遭受過如此複雜程度的攻擊」。

「個人資料保護法」CIO 最關切

眼光聚焦到國內，不時傳出某大網站遭受入侵，導致客戶資料外流的問題，叡揚於多年前即注 意資安領域重要性，因而從資安顧問服務著手，於2005年榮獲資策會MIS Best Choice—資訊安全顧問服務第一名的肯定。2006年起代理 Gartner 評鑑第一、美國國家安全局指定使用的 Fortify Software，持續於資安領域耕耘，2010年有感於日趨重要的資安問題之重要及專業性，成立專責的資安事業處，為客戶訂出全方位的安全計畫。

「個人資料保護法」於2010年5月三讀通過後，即成為許多CIO最關切的議題，此牽涉廣泛之大，從金控、銀行、保險、零售到電子商務業都在研擬調整因應策略，而衝擊最大的莫過於金融業。有感於為客戶需利用「個人資料保護法施行細則」公告前，利用最短的時間將組織調整、了解個資法實質內容，以提出因應辦法；叡揚便從個資法參考法源 - 英國標準協會(BSI, British Standards Institution) 推動的BS 10012國際認證(個人資訊管理系統) 出發，於去年底舉辦『GSS InfoSecurity 金融CIO 高峰會』， 議題專為金融CIO設計，特邀BSI英國標準協會副總經理暨IRCA國際註冊主導稽核蒲樹盛先生，從全球觀點探討銀行業對於個資暨隱私的法規遵循，及落實方法；叡揚也由客戶觀點出發，替客戶尋找適合解決方案，並針對現行個資規範，提出遵循之因應對策。

金融業者面臨多種國際個資法規的遵循要求

於會議中，BSI蒲樹盛副總經理除了專就現行個資立法精神說明、分析其內容外，並從國際宏觀角度出發，提出建議的部署個資保護環境、及具體推動方案。由於許多金融業除了台灣外，漸漸將業務觸角延伸到海外市場，面對國際環境，金融業者即須面臨多種國際個資及資安法規的遵循要求；藉由本次會議內容，讓與會貴賓除了掌握國內個資法外，同時了解相關的具體國際規範，並藉由資安工具來遵循國際法規規範例如FIPS(Federal Information Processing Standards)、PCI DSS(Payment Card Industry Data Security Standards)… 等資安工具，以協助組織快速、準確地擬訂資安政策。