赛门铁克企业数据保护达标准者少

    虽然台湾目前没有如欧美般严谨的法规遵循政策，不过赛门铁克大中华区资深首席顾问曹如玮指出，将安全防护技术结合企业安全政策控管（policy control），是最正确的方法。

　　近日个人资料外泄事件频传，也因此政府积极推动个资法修法，希望提高罚责及扩大规范范围。而赛门铁克日前发布的全球研究也显示，企业间在数据保护及法规遵循的表现上有很大的关联，显示法令规范对于企业在个资保护的做法有很大效果。

　　赛门铁克今天发表IT Policy Compliance Group最新标竿研究报告，指出在欧、美、亚洲地区的研究范围内，只有十分之一的企业拥有符合国际规范的资料安全保护政策。这样的比例明显偏低，显示出不只是台湾，全球企业在数据保护的做法上都应加强。

　　另外研究中也发现，在数据保护上表现优良的公司，在法规遵循稽核也有很好的成绩。目前欧美都有法规遵循的政策，例如欧洲在1995年通过欧盟数据保护指令，美国则在2002年制定沙宾法案。

　　而台湾目前的计算机处理个人数据保护法，则只限于公务机关、金融、电信等特定八大行业，近半年来频传数据外泄的电视及网络购物业者都不在个资法的规范范围之内。

　　赛门铁克则认为，受到法令规范的行业，在数据保护上就会做较严密的控管。以台湾来说，较重视数据保护的产业包括政府机关、金融业、电信业等等。这是由于政府受到行政机关信息安全管理要点规范，金融业通常会签定数据保护契约，而电信业则是受个资法约束，因此在数据保护上都有较明确的政策。

　　不过现有的个资法由于罚金只有2至4万的上限，因此仍然无法成为强大约束力量，因此政府现在也推动修改新版个资法，将罚金提高至最高五千万。

　　企业应重视安全政策控管

　　虽然台湾目前没有如欧美般严谨的法规遵循政策，不过赛门铁克大中华区资深首席顾问曹如玮指出，将安全防护技术结合企业安全政策控管（policy control），是最正确的方法。

　　他说：「企业现在需要的是全方位的IT风险管理。」从储存、备份到电子邮件、实时通讯软件（IM）控管，到网关端（gateway）、端点防护（endpoint）及防火墙，除了使用安全厂商的产品外，企业本身也要制定安全政策。因为以黑客现有的多元攻击手法看来，只要漏掉了任何一块，都会成为数据外泄的管道。

　　赛门铁克今年也将端点防护视为资料防护的关键，今年更将新版企业端防毒软件更名为Symantec Endpoint Protection（SEP）11.0，强调加强端点安全防护，并搭配安全政策控管软件Symantec Network Access Control（NAC）11.0，希望结合防毒和政策控管强化企业端点安全。

　　另外数据遗失防护（Data Loss Prevention，DLP）技术也是各家厂商关注的焦点，包括McAfee、趋势科技、赛门铁克等三家安全厂商都已并购DLP厂商，要将其技术在既有产品内补强。

　　除了McAfee较早在去年就已买下Onigma之外，趋势科技在今年10月底买下DLP厂商Provilla，赛门铁克则是在本月（11）初并购Vontu。目前McAfee已将DLP技术整并进其整合管控平台ePO 4.0；趋势科技则打算在明年Q2将DLP整合进企业端防毒产品OfficeScan中。

　　【责任编辑 赵显第】