Official Blog
合規性已成企業營運關鍵,Synology 歸納達成資安規範六大準則
Tony Lin - Product Marketing
2023-12-12

合規性已成企業營運關鍵,Synology 歸納達成資安規範六大準則

在今日數位時代,資訊安全已成企業不可忽視的關鍵議題。不論勒索軟體攻擊頻率倍增、跨國資料流動導致管理難度增加或地緣政治因素等,都讓企業面臨更多資料管理和保護的挑戰。同時,這樣的現象更加速了各國政府或相關組織設立相應的法令或規範。

像是台灣就通過《資通安全法》,要求企業必須建立資訊安全管理制度,採取適當的技術和措施;或不少公司都需要取得的 ISO27001 認證,去年也加入更多與資安相關的控制措施。這都意味著企業不再是可視需求,自行評估導入與否,而是一旦沒有符合法規需求,就有高機率遭受限制或罰責,甚至遭排除在上下游產業供應鏈之外。

因此,Synology 已經預見資訊安全的「合規性」,將成為企業營運中日益重要的關鍵,關係到一間公司的商譽和客戶關係。

法規大多未訂明確實施辦法,導致企業無所適從

近年協助客戶規劃合規性資訊服務時,我們發現企業初期評估如何滿足合規性的實作計畫時,經常面臨一個瓶頸:儘管各種資料安全指引的共同目標,都是要「保護資料」,多數規範僅會提供大方向,並要求證明企業如何滿足合規性,卻不會詳細說明實作建議。以下引述一些常見的案例,說明了合規性條款通常會如何陳述:

  • Sarbanes-Oxley Act(SOX):主要規範美國上市公司,需保護財務資料和報告的完整性,同時該法案還要求公司制定災害復原計劃,以保護企業蒐集的所有敏感資訊。
  • HIPAA:專門為醫療行業設計的美國法規,旨在確保患者醫療資訊保密性的條文,除此之外還規定患者資訊需保存多長時間,以及必須落實備份和災難復原計畫等措施來保護重要資料。
  • General Data Protection Regulation(GDPR):前幾年討論度最高的法規,為歐盟要求企業應保護個人資料的隱私和安全,並能允許個人請求企業刪除與他們相關的資料。同時,關於這些機密資料的備份和復原計劃,須符合上述提及的個人權利。

然而,當眾多繁複的法令與規範放在企業眼前,加上又沒有明確的遵循 「方式」,相當容易讓企業權責單位十分混亂,甚至不知從何下手或補強。

從 ISO 27001 著手,能順帶滿足其餘安全規範

面對這樣的困境,Synology 建議可優先依循 ISO27001 的制度開始規劃。ISO 27001 是一個國際標準,專注於引導組織建立資訊安全管理系統(Information Security Management System, ISMS),且相符於許多國際標準所要求的項目,像是前述的 HIPAA 與 GDPR 規範,其實在資訊安全方面的要求,就與 ISO27001 有不少重疊的項目,資料保護的條文更是幾乎相同。以資料保護規範為例,ISO 27001 和 HIPPA 之間就能看到許多雷同之處(詳見下圖)。

這代表滿足 ISO27001 的同時,也會符合其餘大部份的資訊安全需求,後續只需根據特定產業的要求,再微調或客製化一些細項,即可確保組織落實資訊安全的合規性,ISO27001 正是最適合企業作為導入資安制度的標竿。

Synology 總結六大查核要點,企業安心做足資料保護措施

Synology 希望讓所有規模的組織,都能夠輕鬆滿足資料保護的合規性。為此我們替企業歸納出 6 項查核要點,當組織在以下問題中都能回答「是、可以」時,那基本上就符合多數規範在資料保護的合規性:

  1. 完整備份:資料可否有效率且定期備份,並確保還原至特定時間版本?

  2. 備份驗證:備份後的資料真的萬無一失、可以還原?

  3. 資料不可竄改:是否擁有一份無法被隨意竄改或刪除的資料副本?

  4. 還原演練:組織有沒有定期模擬意外事件發生時的應對策略和流程?

  5. 異地二次備份:備份資料是否有存放於不同地點和不同媒介當中?

  6. 即時還原:是否可以在企業可容忍的時間內,迅速還原資料並重啟服務?

假設現階段無法全部做到也不用太擔心,其實透過選擇合適的現代化解決方案,便能自動化滿足上述查核要點。Synology 備份解決方案 Active Backup Suite 就可協助 IT 人員輕鬆佈署多版本、多目的地的資料備份計畫,同時確保備份資料的安全性與可還原性,並以免授權費用的形式,為企業建構完整的資料保護策略,滿足上述的六大查核要點:

註:本表格規範以 ISO27001 control 8.13 為例

Synology Active Backup Suite 助企業更輕鬆實現資料保護

資料保護的「合規性」對於企業營運至關重要,若未能確實遵守,甚至會直接對公司造成負面影響。以 HIPPA 為例,如果醫療機構或相關組織沒有遵守 HIPAA 要求,包括未能保護患者的醫療資訊或未能採取適當的安全措施,每項違規事項的罰款最高可達 150 萬美元(約新台幣 4800 萬),同時還會嚴重損害企業的信譽。

同時,根據 Synology 調查企業用戶當前的資安措施,發現已有超過 80% 的企業,具備明確的資料保護意識,卻缺少一套功能完整、適用多種生產環境的資料安全保護解決方案。Synology Active Backup Suite 就能協助 IT 人員將想法落地,化為可輕鬆執行與管理的行動,確保企業資料的安全性、可用性以及可還原性,協助企業滿足合規的標準。

延伸了解 | Synology 如何為國賓大飯店落實資料安全、達成營運不中斷?