文 / 精品科技 稽核副理 許樹龍
99年4月《個人資料保護法》在立法院三讀通過,對於個人資料的保護管理,從此跳脫出原本舊法規設定的電腦框架,也向世人昭告 個人資料是重要的、有價的,是必須受到保護的 ,再也不是幾句人人呼喊的口號,而是即將成為所有組織必須採取的行動!
保護行動即將展開
在法規通過後,經過一年多的時間;終於在去年的第四季,個人資料保護法的施行細則已進行預告,這一個動作象徵著《個人資料保護法》的實施已迫在眉睫,所有組織不分大小即將
進入這場跨越民國百年的個人資料保護大戰。—是的,所有組織,只要握有個人資料都在《個人資料保護法》規範的範圍之中,所以若是還沒進行應有之作為,就必須加快腳步了。
如何進行個資保護
在個資保護管理實務層面上,建議大家參考戴明循環P(Plan)→D(Do)→C(Check)→A(Act)」持續改善的循環方式,進行個資保護管理系統的建置。然而在進行系統建置之前,另外有一
件重要的事大家必須要了解—個資保護並非只是為了遵循法令的要求」。換句話說,當他人基於信任交付我們一個重要的東西時,我們應該要給予某種程度的尊重,如何表現出我們的
尊重呢?就是對這個重要的東西進行適當地保護,這是人與人之間相處的基本行為;也就是說,保護個人資料本來就是擁有個資的人或團體應該做的事。當大家都具備此基本共識前提
下,建置出的系統應該會是在所能承受的風險內,最適合大家的系統。
系統建置的參考步驟
重要的第一步:
建立共識、形成目標、給予承諾《個人資料保護法》正式公告實施後,將直接衝擊許多企業或組織,造成實質的影響;企業或組織內部必須建立相同的個人資料保護共識,進行形成正式的目標以及基礎的政策,乃是跨出因應個人資料保護最重要的第一步。
隨即應檢視公司內部組織架構,定義各個部門在個資保護管理之權責,並成立個資保護的管理組織。公開承諾給予必要之資源,授予負責人員執行相關業務的職權,展現進行個資保護的決心。
第二步:教育訓練
古語有云: 知己知彼,百戰百勝 。雖說個資保護本來就是應該要做的事,但是,既然已經有法令要求,在規劃的過程之中,就不可不了解法令規範,因此適時的教育訓練是絕對有必要的,方可在開始就規避可能的問題,畢竟 預防勝於治療 ,好的開始就等於成功了一半。除了開始建置統前的教育訓練,開始執行相關個資保護措施後,持續的教育訓練也是必要的考量項目,而針對不同權責的人員,也應規劃不同程度的教育訓練。
第三步:個資盤點
從上一個步驟延續下來, 內部應該已經做過初步的訓練,明確知道什麼是個人資料,現在接下來就要進行個資盤點,確定要被保護的資料到底散落在哪裡?
進行盤點前,公司或組織應該先確定盤點清冊的項目,也就是要點出與該項個人資料有關的項目是哪些?
例如下圖的參考項目:
國際傳輸 | 個資流程 | 個資數量 | 保管人員 | 使用期限 | 保存位置 | 保存方式 | 蒐集依據 | 使用目的 | 蒐集方式 | 個資內容 | 項目名稱 |
圖一:個資盤點清冊的項目
當初步確定盤點清冊項目後,就可以請各個相關部門進行個資盤點。對大多數的企業或組織而言,個人資料盤點是最耗費人力及時間的步驟,但是若是缺少了這一步,就很難有效地進行個人資料的保護與管理,因此就算困難也要堅持下去;不過,千萬也別為了要確認內部所有的個人資料都有盤點到,而一直耗在這裡而裹足不前。別忘了這一個持續改善的制度,沒有人一開始就做到100分,也沒有人敢說他執行的制度就是100分的制度。
第四步:建立管理制度
在完成內部第一份正式的個資清冊後,接下來就要進行保護管理相關措施的建立。首先,先就個資清冊之各項個資,建立個資流向(流程)圖,進行個資流程診斷。了解個人資料是如何取得、內部是如何處理、誰會用到這些資料、誰會保存這些資料、這些資料又是以何種形式被保存、誰可以修改這些資料、刪除、銷毀…等。
在完成個資流程診斷後,首先會知道是不是有些個資在其他部門有保存未被列入盤點清冊,重新更新正確的盤點清冊。接下來,可以利用初步的流程概念,規劃各個管制點的控制措施,進行資料管理控制、安全控制、環境控制、設備控制、人員控制、記錄控制、教育訓練管理、委外廠商的管理、風險管理、稽核機制、持續改善機制…等各項控制流程的建置,建立
起初步的個人資料保護管理系統。控制流程的建置,建立起初步的個人資料保護管理系統。
第五步:風險管理
在完成初步的管理系統建置,企業或組織應依據所選擇的風險評估方法, 進行首次的風險評估, 其考量內容可能包含:法規符合性評估、隱私權衝擊評估、資料敏感性評估、重大性評估、資料流向評估、資料生命週期…等,最後找出超過企業或組織風險胃納的項目,進行風險改善。或是結合營運衝擊分析,進行風險改善,之後再進行風險再評估,確定改善成效。利用此風險管理方法可以針對風險控管不當的項目,進行再次修改或調整。
第六步:持續改善
在運作個人資料保護管理系統的同時,應依據設定的稽核機制,進行系統運作的稽核作業,以合理確保系統有效率及有效果地運作。並依據查核的缺失、發生的事件/事故…等進行矯正預防作業,持續調整系統的運作。最後,定期的執行個人資料保護管理系統的審查機制,確認系統符合法令法規的要求以及企業或組織的政策,達到持續改善的目的。
輔助工具的選擇
在預告的個人資料保護法施行細則第九條明確說明「適當的安全維護措施包含組織上及技術上之必要措施」,在前段所敘述的幾乎都是組織上所採行的措施,對於要採行那些技術上的措施,幾乎毫無著墨,大家應該都很想知道到底要使用那些技術才能稱得上是適當的安全維護措施。但是很抱歉,這裡並沒有一個絕對的答案,因為我們不了解每個組織的規模以及所有擁有個人資料的內容,所以沒有辦法給一個絕對的答案。其實更重要的一個重點是,我們並不是法官。
然而在這個資訊技術發達的時代, 傳統的防火牆、病毒防護、以及簡單的網路保護…等,對於大多數的公司及組織來說是絕對不夠的,況且大多數的資訊安全事件、個資外洩事件都是由內部人所造成的,若是根據品管手法的80/20法則,是否該建立一些內部防護機制的資安軟體,答案已經非常明顯了。其中資安軟體簡易分類介紹如下:
1.防資料外洩系統(DLP):
可以防止公司內部人員,利用電腦週邊的管道,大量的將資料從公司內部帶走。功能強大的軟體,更可以記錄寫出的資料,以及限制開啟的環境…等。
2.文件控管軟體(DRM):
可將重要資料檔案, 進行加密與控管的軟體,讓無權限的使用者無法開啟檔案。設計優良的軟體,甚至可以限制檔案使用次數、使用時間及記錄使用者編輯、刪除、複製檔案的相關資訊。針對配合廠商也有唯讀或限制存取次數的設計。
3.監視軟體(Monitor):
如名稱所述,其主要功能就是記錄。記錄電腦行為的資訊,或者是如同一般的行車記錄器,記錄電腦執行的畫面。
不過,在評估上述相關資訊安全產品時, 該如何選擇呢? 我個人給的答案是「預防勝於治療」,建議優先選擇防護類型的產品。另外個人資料保護法施行細則也特別提到相關的使用記錄、軌跡資料及證據保存,因此資訊安全防護軟體的記錄能力也是重要一個重要的評選項目,記錄不只是保存數位化Log而已,而是中間很多的記錄軌跡都要能夠保留下來,重點在
於要能夠證明採用資訊安全防護的記錄軌跡,以及「還原」事件原本的面貌。
結語
目前國際上有ISO 27001(資訊安全管理系統)、英國的 BS 10012(英國個人資料保護標準),以及我國也有經濟部委託由資策會科法所擬定的 TPIPAS (台灣個人資料保護與管理制度),皆可做為大家建置個人資料保護管理系統的參考。然而,保護個人資料本來就是應該做的事。只要大家秉持著這樣的信念,絕對可以建置符合每個公司或組織的適當的安全維護措施。