2012年5月14日 星期一

結合訴訟與風險鑑識 個資管理制度正夯

結合訴訟與風險鑑識 個資管理制度正夯

新版個資法為企業帶來不小衝擊,為了做好個資保護,以及因應新法中的舉證需求,許多企業不約而同地選擇導入個資管理制度。看好這塊市場,日前,微軟與SGS合作推出高強度隱私保護驗證,由微軟負責導入服務,SGS負責稽核驗證,強調從訴訟、鑑識角度出發,與一般管理制度的出發點不同。

微軟全球技術支援中心亞太區總經理柯文達表示,高強度隱私保護驗證主要針對個資法及各國法規所設計,驗證方法論參考了多種國際標準規範,並從訴訟風險角度出發,從不同面向驗證企業可能面臨的個資外洩風險?倘若個資真的外洩,企業在面臨訴訟時,需要準備哪些證據?而舉證又能如何與資訊系統作結合,最後產出報告供企業參考。

SGS東亞區營運長暨台灣區總裁楊崑山則指出,目前該制度以個資的搜集、處理、利用完整流程為驗證範圍,驗證時間約莫6~8個月,但仍應視驗證範圍大小而不同,通過後,企業將可取得兩張證書:BS 10012及微軟高強度隱私保護符合性證明書,效期為3年,且每年必須接受稽核,確保制度持續維運中。

回到目前市場現況來看,除了上述微軟所推強調訴訟、鑑識的驗證制度外,還有不少與個資法相關的管理制度且各有不同特色,像經濟部商業司推出的TPIPAS,雖然現今仍在試辦階段,主要針對電子商務產業,強調是一個完全針對新版個資法而設計的管理制度;而BS 10012獲許多金融業者青睞,市場知名度高又可驗證,且台灣有很多企業導入ISMS,兩套制度系出同門、銜接也比較容易,惟因其乃依據英國個資法而設計,難免會有一些與新版個資法不符之處;至於ISO 29100則是國際標準,惟其內容比較偏重在個資安全維護的行為規範,比較缺乏個資搜集/處理/利用的管理規範。

其實,企業在因應新版個資法,導入管理制度並不是惟一選擇,最重要的是找出自身個資管理現況與法條規範間的差異,思考如何填補差異,再配合自身作業流程規劃出個資管理程序(或方法),如此才是因應新法的最佳解決方案。

轉載自《資安人科技網