個資盤點第一次的計畫案經歷

        以下是我第一次執行計畫案的經歷，整個過程很忙也蠻混亂，我想記錄下來以後再有相同案子執行還可以做為借鏡，然後不要再犯了 哈哈。 

       大概是九月中時收到一封廠商寄來的mail，也讓十一月成了我今年最忙的一個月。信上的大意是之前我的同事有和他詢問個資盤點的報價，現在這件案子有沒要執行。沒錯，個資盤點，這是一個軟體會在每一台電腦安裝然後去掃描電腦的檔案有多少個資，就像做資安有帳號的盤點，每台主機有建立多少帳號網管人員要清楚的紀錄，財管有財產的盤點，單位內有多少財產價值多少保管人要清楚的掌握，而個資盤點也是手上有多少筆的個資，業務負責人也是要了解的。因為同事已經請了育嬰假而我是第一代理人，這項業務當然就由我承辦了，從這裡為期三個多月挑戰正式開始。

        首先這是一項要和廠商買東西的案子，我之前都在內部寫程式完全沒有相關執行或採購經驗，要怎麼開始還真是個難題。我先查了一下單位內確實有編這項經費，然後跟廠商聯絡要買這項產品，光這段就拖了快一個禮拜，因為剛好遇到我出差去上ISO27001的資安課程，我只能用下課時間連絡人。出差回去後直接做請購過兩三天後被退回來，後來才知道請購前要先上簽呈，上面長官同意後才能請購，這下可以證明我真的沒有買過東西了(苦笑)，好吧又過了一個禮拜進度打回零。

        好不容易簽呈和請購都通過了，已經來到九月底了。這期間廠商幾乎是每天打來問進度和細節，對方似乎很想要在月底前結案，但我對採購到驗收的流程沒有概念，根本沒辦法保證哪個確定時間能夠開始買設備開始執行然後結案，一直打去問採購單位那邊人應該也被我問到想掛我電話了吧，我能感覺到他的不耐煩 呵呵

         還有感謝我的同事回來和廠商溝通和之前有執行過這案子的學長很有耐心地回答我的問題，讓情況比較好一點。再來首先要先確認要接受盤點的單位和人員名單，整理好就花了快半天，看的我眼睛超酸。國慶連假後廠商的工程師透過電話和我說明軟體如何執行作業和整套系統的操作方式。

        簡單來說我有一台伺服器會發送mail給名單上的人，當收到信後會有一組帳號密碼和個資盤點的軟體，使用者開啟軟體輸入帳號密碼後軟體會開始掃描電腦的硬碟，依照規則去檢查文件檔的內容有沒有個資，然後將個資的數據回傳回伺服器，這邊的數據是像是身分證有10筆這樣的數據，存個資的檔案並不會傳給伺服器，因為我的伺服器也沒那麼多閒空間可以放這些東西啊 哈哈

          這流程應該是沒什麼問題的，但壞就壞在這個軟體有一個和伺服器溝通的port和衛福部所開發的健保卡元件port用一樣的!! 這會發生什麼情形呢? 安裝在使用者電腦的軟體會因為無法和伺服器溝通直接卡住無法進行掃描 = =

         這期間很多人問我，他的電腦怎麼會有這個，可能大家都忘了每年五月報稅用線上報稅時會用到健保卡讀取資料，那個時候就需要安裝健保卡元件操作。

        但這時我心中的OS是為什麼總共有65535個port撇除掉被官方註冊後的也應該也還有一兩萬個port可以用阿~

                這裡補充一個應該沒什麼人會用到的小知識，健保卡元件的port是7777，這是我查了一個小時資料測試出來的，可以google一下健保卡元件的程式名稱，然後開啟工作管理員的詳細資料就可以找到了。若是要找port可以下netstat -ano這個指令就會列出電腦所有的port然後去對工作管理員的清單就可以找到了。

         還好廠商已經有這個經驗了，在測試時我的電腦就有這個狀況，他馬上幫我在軟體下載時多一個批次檔能夠把這個軟體暫時關閉，下次電腦重開機又會恢復。但這個措施並沒有幫到我太多，因為還是有電腦因為這個而無法執行掃描，這也是為什麼我會這麼忙的原因之一。

         十月份算是比較平靜的一個月，而整個採購流程要一直到十月中才算是完成，這個時候人員名單已經底定，系統也到位了，再來還需要做教育訓練讓相關的人熟悉操作，至於相關的人是那些呢? 上一次是請個資小組的成員上課，那這次也一樣請這些人來，原則上個資小組就是各單位派一個人擔任，和個資有關的法規也是這些人開會決議。那這次個資盤點若有人操作有問題也可以直接請這個單位的小組成員排除，由於人員有異動加上之前單位有調整，也花了點時間做了確認。和廠商這邊聯絡要上課的講師確認了地點和日期，然後mail通知個資小組成員有這項作業要在十一月執行要請他們來教育訓練，系統的設定和測試也已完成，前置作業到這邊算是告一段落了。

         10月27日 教育訓練前一天，我到教室去準備螢幕錄影軟體，要把當天的內容錄下來做教學影片讓人可以邊看邊操作，悲劇的來了，麥克風收不到音!! 測了一個小時都收不到音，好吧。只能先連絡我學長明天幫我處理，因為大家都下班了~

         由於上課時間在下午，早上我先發mail通知所有人要十一月每個人都要執行個資盤點的作業，會收到一封通知信，同時附上了一份操作手冊。麥克風的部分終於在下午上課前20分鐘可以收音，軟體我也裝好可以開始上課了，但就是有人愛遲到等了快20分鐘人來的差不多才開始上課，還是有人去叫來的，還有人乾脆不來的都有，反正能讓大家熟悉操作比較重要。

        10月28日表定開始執行個資盤點的第一天，我的電話就接不完了，不是問要怎麼操作就是問個資檔案掃出來太多會怎樣，這天我的電話應該和搶五月天演唱會的門票一樣熱門吧。這之後的每天平均我都會接到至少3通的電話一直持續到11月底為止，都是軟體無法執行的問題，都要一個一個處理，因為電話操作的話我請他們開控制台或工作管理員後，我就放棄了，很多人看到電腦比較後端一點的介面就不知道要怎麼操作了，所以我只好每個人都去拜訪一下囉。而每個禮拜的禮拜一電話都會特別多，因為禮拜一會統整還沒完成的單位人數mail給所有人，還沒做的人都會打來問，我當天就特別忙，這整個月內還有兩個重要會議的資料要準備，以及內部稽核的事情要處理，我都有點忘了是怎麼做完的了 哈哈。

        這次的案子從開始到結束都蠻混亂的，尤其是剛開始規劃和採購的時候，還好執行的過程是還算順利，軟體方面的問題廠商的工程師回答的時間都蠻快的，而我的技術面對小問題還hold的住，只是臨場的應對我就沒那麼好了，都只能先跟他們說我回去問看看或我去查一下，然後趕快回來找答案在跟使用者解釋，還蠻花時間的。

        統整一下這次執行的缺點，比較糟糕的部分我想就是前期的規劃沒有做得很好，甚至連執行的日期都是匆忙定下來的，一直是在被動的狀態下進行，發現缺什麼資料還是文件才補，等審核和聯絡這些完成後，時程耽誤了兩個禮拜，有些細節的問題沒有完全的了解，也是拖慢進度的原因，因為有些問題當下無法回答，又回來找答案，然後再回覆，一來一往也耗掉了不少時間，這些對這次工作進度還蠻傷的。執行方面剛開始其實我對整個軟體也只會基本的操作，後來去仔細讀了操作手冊後才比較明白還有什麼功能，在說明的時候也有比較多東西可以講，新的問題出來也能比較快做排除，所以事前的功課沒有做好，也是我蠻大的問題。總之，十一月整個月都在跑來跑去處理軟體問題外偏偏還有其他的會議資料和資安的業務要做，每件事都是下禮拜要完成的那種，很刺激也是很特別的經驗。

         至於這次執行的個資盤點有沒有用，目的是什麼? 到各單位排除軟體問題時有很多人對執行這個的態度也是有點保留，因為只知道法規上有要求或是上面有要求他們照做，可能前面在宣導上的力度不夠。個資盤點目的就是要知道自己保管的電腦存在哪些類型的個資，有可能是身分證、住家地址等等，能夠從資料中辨識出這個人的資料就是個資，若是業務上已不需要當然就是建議清除，不過我也只能建議，因為我也不是長官而法規上也沒有相關規定所以無法幫其他單位的組員做資料處理的決定，這種情況提到建議你可以這樣做這點很重要，萬一資料如果還有需要沒做備份又會怪到我這邊，我就麻煩了阿。

         目的的話，當然是盤點出有哪些個資檔案讓使用者能夠有哪些個資，個資盤點執行完後都會有一份個資數據和存有個資檔案的清冊讓使用者看，然後可以對清冊內的檔案做處理，看是要加密、刪除還是移到其他硬碟作保存，我知道有些人可能只是看一下就關掉了，但我覺得至少起了一個警惕的作用，至少心態應該會有所不同。拿復仇者聯盟終局之戰中鋼鐵人對他女兒所說的話，我愛你三千次，為什麼成為一個流行語，因為三千次是一個可以量化的數字，讓人有感覺到一個愛的重量。相對的如果每個人只知道我的電腦有個資要保護，力道可能不夠，但今天是說我電腦裡面有十萬筆個資要保護，那我想在執行業務時心態就會不一樣了，對於個資的保護也是好事。

        這篇文章我把這次經歷整理記錄下來，主要是我印象深刻和覺得比較糟糕的部分，比較細節的部分都是我在幹醮的不好寫出來，但我覺得這是我第一次執行計畫案有很多東西可以放上來和大家分享，有些不好的做法寫在上面，乖寶寶不要學!!