企业电子邮件与个资保护 智能应用 影音
MongoDB
ST Microsite

企业电子邮件与个资保护

  • DIGITIMES企划

企业建置电子邮件管理系统,需顾大容量及低成本的目标。DIGITIMES摄
企业建置电子邮件管理系统,需顾大容量及低成本的目标。DIGITIMES摄

电子邮件早已取代纸本邮件或传真,成为许多企业传送重要文件或信息的通讯工具,不但可能让不肖员工易利用电子邮件泄露公司机密,散播不实谣言来损害企业利益,许多重要客户数据往往也隐含其中,尤其在个资法的规定下,如何一方面确保公司机密不会外泄,却又不会侵犯客户或员工重要个资,也成为企业电子邮件的管理重点。

事实上,不仅是国内已经实施的个资法,包括沙宾法案、日本个人情报保护法、BSI7799法规等,许多国家也都已针对企业电子邮件的信息安全,订定相关法规,对跨国企业而言,由于电子邮件的流通性极强,就算没有违反本国的法规,一不小心仍有可能触犯其他国家的法律规定,不可不慎。

电子邮件保护要做到全自动化

台湾微软指出,企业对于电子邮件的内部管理稽核需求,主要是稽核管理,包括平常对邮件的稽核要求,或是企业面临诉讼案件时,能够在期限内迅速的查找调阅出相关的邮件等,对象通常是企业内部的稽核人员。

员工个人邮件管理查找,也是企业电子邮件管理的重点。企业可以透过邮件归档稽核方案的建置,将员工个人的信件予以储存备份,除了可免去个人管理邮件的不便与风险外,藉由查找引擎更可协助员工迅速地找到需要的邮件。

由于电子邮件数量庞大,电子邮件的自动化管理机制非常重要。企业IT可以透过传输规则动作的设定,套用RMS(Rights Management Services)范本到到电子邮件中,如微软就提出过Windows Rights Management Services,可让重要的信息不会因为误用,或是刻意的偷窃造成企业莫大的损失,但这个方案只能保护微软本家的产品档案,像是Word或Excel。

因此,如何让电子邮件在传送之后,就能自动受到保护,包括针对电子邮件附件档案的查找及保护,或是透过禁止转寄的原则套用,让机密信息不会流向网际网络,也是电子邮件非常重要的权限规则管理重点。更重要的是,由于移动化趋势使然,电子邮件的权限规则管理,一定要做到跨越PC、Web Mail及移动设备等多平台环境。

事前及事后管理都很重要

如果依时间点区分,电子邮件的稽核管理则可分为事前(Pre-Audit)及事后(Post-Audit)两种。前者主要是针对实时数据稽核,以确保内部数据的安全性与正确性,后者则是针对封存数据稽核,以发觉或追查可疑的事件及人员。

如事前管理方面,可透过邮件提示(MailTips)功能,针对用户端可透过早期预警系统,提示用户寄送对象可能有问题,或是提示不能执行的作为,如发送大量使用者或受限制的通讯群组,邮件过大或信箱已满等问题。对系统而言,邮件提示功能可避免不必要的服务器负载,还可避免违反行政规定。

而在事后的归档及封存方面,企业电子邮件的保留原则,应可做到自动和时间的基准方式,同时要将规则套用至文件夹或项目方式,并在邮件上呈现文件过期日期,以免让电子邮件因为过期,而影响保留价值。至于合法保存方面,除了保存、删除和编辑的基本功能外,管理系统也应提供警示功能,提醒使用者特定邮件不能删除(如处于诉讼保留状态)。

至于查找功能方面,除了应提供简易的Web邮件查找界面,让使用者可以在跨平台设备执行外,也应让使用者可以在在线封存信件,或是复原删除邮件项目,以强化查找后的管理功能。

需兼顾大容量及低成本的建置目标

由于依据个资法第30条规定,损害赔偿请求权,自请求权人知有损害及赔偿义务人时起,因二年间不行使而消灭;自损害发生时起,逾五年者,亦同。因此,电子邮件的保留年限,至少两年,最多五年,也让企业电子邮件系统的增需求不断扩大,容易形成管理负担。

因此,企业在建置电子邮件管理系统时,一方面要兼顾大容量需求,但同时也要考虑成本,更要考虑持续可用性,如让管理人员可以在一般营运的时间下,进行信箱的移转与维护作业,以免在信箱进行维护时,发生使用者存取中断的现象,不但可能会影响电子邮件的使用,更可能错失保留重要电子邮件的可能。