【105缺失TOP10系列文章】A.9.2.6案例--方清宏老師分享

引言

2012年曾發生民眾購買二手硬碟後，發現內有金融機構資料的新聞事件，調查結果顯示因ＯＯ銀行進行電腦設備汰換，內部及交付外部廠商銷毀皆未落實內控程序，導致硬碟內資料因而流入二手市場。
　　日常工作中我們透過電腦處理儲存大量資料，類似前列新聞事件的情況並不少見，在汰換老舊資訊設備時，若其儲存媒體資料抹除或實體設備銷毀過程不夠確實，可能造成營業機密或個人資料外洩等潛在風險；另一方面，一般人在使用上遇到儲存媒體無法讀取或插入無反應時，容易認定儲存媒體損壞而回收丟棄，而未經毀壞性程序。不論是要抹除再利用，或物理性破壞廢棄，若其方式程序不夠嚴謹確實，具專業救援能力的人仍有存取相關資料的可能。而在教育機構稽核實務中，主導稽核員除了指出前述情形，更發現由於教職員生對於零件與設備的認知不同，往往容易忽略儲存媒體報廢程序而造成資安漏洞。

場景

1. 對於損壞之硬碟通常直接報廢攜出主機房（報廢動作及毀壞性破壞沒有做完全）。
2. 對於報廢之設備或硬碟資料之清除處理或是再利用處裡都無明確之程序。
3. 對於硬碟之認知為零件不是設備，所以不依照報廢程序。

條文要求

A.9.2.6　預防未經授權之移動
說明：施行單位所屬之設備、資訊或軟體未經授權禁止移動。

　　以此案例而言，主導稽核員是依據上列條文開立缺失，因條文內容使用文用詞為「設備」，一般人員對於儲存媒體認知為零件而非設備，或以經費預算、財產列管與否去判斷，未考量儲存媒體內之機密敏感資料應依此條文去實行控制。

建議作法

1. 對於損壞之硬碟之處裡程序需明確訂定。
2. 對於報廢設備之處裡程序需明確訂定，包含設備再利用或報廢硬碟之處理程序。
3. 對於各系統主機負責人員之教育訓練需確實。

　　除了從導入資安個資、加強人員訓練著手以提升整體素養，明確訂立相關配套流程並加以監督控管，才不致因個人認知差異而產生分歧。以Google來說，其對於資料的保護相當嚴謹，硬碟是無法完整攜出機房，防範資訊外洩的方式是進行物理性的破壞直接將硬碟粉碎，一般企業機關愛於經費預算無法效法Google的作法，但可參考國家發展委員會檔案管理局針對磁性媒體銷毀所設計的作業流程。