個資法解決方案

新版個資法將舉證責任轉嫁至企業身上,企業必須證明自身已善盡「善良管理人」責任,但什麼樣的文件或資料才能呈上法庭作為證物?數聯資安副總經理張裕敏認為,法官想知道的是企業如何做防護,因此,舉凡員工參加相關研討會的記錄、ISMS驗證、資安政策、使用哪些資安設備等,都是證據的一種。

還有,資安設備所產出的Log也可以當作呈堂證物,但必須注意證據力的問題。由於台灣對電子證據沒有法令規範,法官在處理電子證據時,通常會視證據提供者的身份來做判斷,如果有公正第三者做仲裁/舉證,多半會採信,換句話說,企業內部資安設備所產出的Log,與使用雲端服務、要求雲端廠商提供的Log,兩者相比,後者比較容易取信於法官。

張裕敏進一步解釋,雲端服務供應商同時服務很多個客戶,Log產出多集中在同一台機器,造假可能性比較低,但企業若是自行採購設備、Log產出在內部,法官比較不容易採信,另一方面,企業主夥同內部員工竄改記錄是件很容易的事,但要命令其他公司的工程師並不容易,所以在多數情況下,法官通常會採信雲端廠商所提供的Log,就好像中華電信提供的通聯記錄,法官多半不會懷疑其真實性的道理一樣。

由此看來,為了滿足新版個資法的舉證要求,為了讓舉證具備效力,很可能促使企業採用雲端服務...


原文網址: 個資法舉證 雲端Log較易被採信,Information Security 資安人科技網 http://www.isecutech.com.tw/article/article_detail.aspx?tv=71&aid=6286#ixzz1XiR02Oir