企业为何要实施邮件稽核:
新版个资法上路后,法规遵循与诉讼举证是企业所要面对的议题与挑战,企业佈署邮件稽核,可以有效避免个资因电邮管道不当外洩并可以事后提出举证资料,就个资法上除了恪尽『善良管理人之责』,并且落实企业端『具备举证的能力』,同时亦可证明「已採行适当之安全措施」,整体需求面可以分而两大类型:
- Regular compliance(做好法规遵循-企业责任准则)
如:个资法、SOX 、Basel、FRCP、PCI与HIPPA,皆是要求在商业营运中保护、追踪及控制或事后举证所有敏感的资讯 - 避免机敏资料或智财(Intellectual Property)外洩或因应相关诉讼举证所需
- 监控组织与外部客户与供应商间[通讯行为]与[机敏内容]
- 避免机敏资料或智财(Intellectual Property)透过邮件管道外洩
- 确保与客户/供应商/外包商间通讯符合竞业条款
- 特定通讯对象或内容信件自动加密
- 规范组织与单位符合整体通讯行为政策
- 避免不当言论外洩
- 特定单位或人员监控
完整的邮件稽核应分为『邮件前稽核』与『邮件后稽核』
- 邮件前稽核(Email Pre-Audit)
即时资料的稽核,确保内部机敏资料外洩与事前预警机制。系统可针对企业内送或外寄信件设定邮件稽核管理规则,而符合稽核条件的邮件,将触发规则而遭拦截留置在待审区或是进入相关审查流程,确保机敏资料或个资不外洩。
稽核处理动作需支援邮件审核,除依组织成立主管审核区外,同时提供符合条件滞留、退信、通知管理员、Bcc主管、间接或直接传送,上标籤,且相关信件可以做归档或监控通知寄送,以符合法规所规范的资料安全性准则。
- 邮件后稽核(Email Post-Audit)
针对归档邮件资料的稽核,提供日常稽查或事后追查可疑的事件及人员。提供完整归档企业邮件,包含外对内、内对外、内对内(IN-OUT、Local to Local)等流向的信件。并透过搜寻引擎技术提供巨量资料的快速搜寻调阅(Search over BIG DATA)与邮件生命週期管理(Email Life cycle management)的规划,以符合法规要求的长时间的稽核举证。 提供稽核人员快速进行的,包含邮件各种栏位与相关附件的内文全文检索,调阅符合稽核条件的信件,选择进行重送、下载、转寄、转寄为链结、转寄为附件或上标籤或稽核注记等工作。
如何评估与选择一套良好的邮件稽核系统
个人资料属于企业机敏资料一环,亦是企业宝贵资产。绿色运算长期于电邮资安与云端运算市场长期经营。在电邮稽核技术方面,除协助高科技产业邮件稽核的解决方案,亦协助电信业者相关邮件稽核云端的开发与建置,如近年来协助中华电信建立全台最大的邮件后稽核云端(Mail Archiving Cloud ),提供上万家企业组织云端归档与稽核的解决方案。
综观目前电邮稽核技术,根据辅导经验发现,有两大基本问题值得客户导入实 作切实地评估:
| 事前稽核 | 机敏资料含个资等,是否能有效侦测拦截 |
|---|---|
| 事后稽后 | 机敏资料含个资等,是否能有效探勘举证 |
技术的良莠与否,取决于该拦截的机敏资料是否可正确拦截? 有问题的机敏可疑信件是否于事后可以探勘举证出来? 例如,企业若导入archiving 系统于事后却无法调阅『含有个资的信件』,和『含有程式码的信件』,『[业务部门 ]外寄邮件含部门敏感关键字附件,没有知会主管,将信件寄往竞争对手们相关网域的信有哪些? 上述问题若非,那导入该系统在实务上的意义就大大减弱效益甚至毫无意义。
针对上述的客户实境,绿色运算除了开发regular compliance 的中文化个资扫描引擎,针对邮件流中的中文姓名识别、全国各县市地址,另外还支援身分证号码、信用卡号、护照号、市话、手机号码以及电子邮件位址或其他客製证号的个资侦测,确保各类个资组合都能精确扫描侦测!
个资或机敏资料侦测、支援杂讯、容错、模煳比对、部分比对等进阶比对功能 (如:陈兆宁与陈经理兆宁、陈组长兆宁、马英九与马总统英九、马主席英九)均可以辨别为中文姓名。
可依自定义规格定义相关个资风险资料侦测rule{系统有预设值,ID 可以是身分证、信用卡、护证照、病历或相关客製证号(保单号)}
- 姓名+地址 (Found n次,n可指定)
- 姓名+手机 (Found n次,n可指定)
- 手机+地址 (Found n次,n可指定)
- ID+手机 (Found n次,n可指定)
- ID+市话 (Found n次,n可指定)
- ID+地址 (Found n次,n可指定)
自订个资组合或证号pattern (Found n次,n可指定),如 超高风险个资:信件内含姓名、身分证号、信用卡、护照号、市话、手机号码以及电子邮件出现N种,各出现N笔 中度风险个资:ID证号+另一单一或多重个资(电话、手机、地址、email) 出现 n笔 (各类风险参数可自订,可类推自定义) 定义后可输出相关个资扫描与风险分析相关报表,以提供纠举、提报、改善、举证等相关用途
除个资外,在MDLP (Mail Data Leak Prevention),有别一般厂商关键字与正规表示式比对,绿色运算以卓越的大量资料集(辞典档)比对引擎技术 (MPM-Multi-Pattern-matching)提供优越的侦测探勘引擎比对技术,因篇幅关係。我们举例一些高科技稽核实际案例说明,这些案例若不具备MPM技术,则很难在实际应用案例上,在稽核政策定义上可能就会捉禁见肘(当然,无法下政策就无法事前侦测或事后探勘)。
如高科技产业一些案例,若一般只提供关键字或正规表示式比对的电邮稽核系统,则很难于实务上应用或无法下稽核政策,如以下高科技产业常见稽核管控政策。
| 收件者只能含单一客户网域,不能出现其他客户网域于同一封信 |
| 客户与供应商或外包商To/RCPT不能出现在同一封信 |
| RD 部门外寄信件到免费信箱网域一律拦截 |
| 信件外寄所有收信栏位的收信人须都符合公司公务通信清单成员 |
| 多个专案team(或业务),只能寄信给属于自己专案的客户对象(各有自己的公务通讯清单),不可寄给其他非自己专案的客户,可以寄信给不在上述,所有通讯清单的对象。这要做稽核管控与分析 (即各专案组织不能与非自己客户通信) |
| 除[处级主管]以上,外送信件一律先做[关键字组权重(3分)式辞典档检查],有含关键内容则拦截.不含关键字仍需检查[是否有附件],附件若cc给[主管]则放行,没给主管若是通信对象为[公务清单]者放行常会有专案组织,公务通讯清单,限发清单,拒绝清单,客户清单,厂商清单,BU客户清单,部门关键字典等Data set 设计 |
| 一般compliance侦测 (如个资法SOX,PCI,Basel,Hippa) |
绿色运算从Appliance-Package-Project-Cloud,提供一系列的邮件稽核解决方案,就电邮稽核技术上提供best of breed 与先进的侦测与探勘技术。
最后,提供经验上的分享-如何选择良好的电邮稽核产品?
| 只有关键字与正规表示式表比对的方法无法满足稽核实务(一般产品) |
| 资料集(大量关键字或多模式样pattern)如何比对? (如收件者符合公务清单如何比对? 符合部门关键字3个以上或分数6) |
| 是否具有资料集(辞典档权重)比对引擎技术(MPM-Multi-Pattern-Matching) |
| 最简单的方法是直接举稽核的政策(如:RD部门外寄信件到免费信箱网域一律拦截)做实际产品POC验测 |
| 产品是否提供最佳的稽核比对技术,效率与易于维运的稽核政策管理方式 |
| 归档产品是否提供自动化稽核或举证探勘的工具或引擎 |
评选上的建议:
随着法规修订的脚步,个资法议题与需求在资安市场的热度也持续上扬。对于企业而言,若要妥善管理与保护数量庞大且分散的个资,每天收发无数的电子邮件也是不容忽视的一大环节。要想做好个资保护与安全,邮件稽核管理便是第一步。 实务上,建议使用单位应以实际应用案例(real audit scenario)去定义一些Policy 做稽核结果验测,而非测试局部产品规格功能,会比较符合企业实务稽核上的需求。
作者:陈兆宁larry@green-computing.com
任职于绿色运算