如何落實個資檔案安全維護計畫與安全維護事項

如何落實個資檔案安全維護計畫與安全維護事項

個資法對個資安全維護之要求

個人資料外洩是造成被害人受騙的禍首，因為歹徒掌握受害人的個人資料，要受害人懷疑都很難，因此被騙成功的機率就很高。新修正的「個人資料保護法」提出個資檔案安全維護計畫與安全維護事項的要求，目的就在凸顯企業、組織或團體對個資保護的責任。

個資法第27條提到：非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。也就是保有個人資料的企業、組織或團體，都須要針對個人資料提出檔案安全維護計畫，在這份計畫之中，除了說明個人資料的保護措施和管理方法之外，未來若發生個人資料外洩的事件，這份計畫以及實施的相關紀錄，就可作為組織善盡管理人義務的重要證據，可用來免除過失賠償責任。另外，施行細則修正草案第9條規定：本法所稱適當安全維護措施、安全維護事項或適當之安全措施，係指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之必要措施。

如何落實個資檔案安全維護計畫與安全維護事項

基本上我們可以先看看政府部門怎麼制訂相關的規定。舊法「電腦處理個人資料保護法」剛通過時，制定了「個人資料檔案安全維護計畫標準」，其主要項目有：

(1)指定專人管理；(2)建立稽核制度；(3)確保系統安全；(4)強化實體安全；(5)災害防護演練；(6)員工作業安全。根據ISO27001我們整理了相關做法，內容如下：

1.指定專人管理

針對組織所持有的個人資料檔案，規定由哪些人來負責辦理安全維護事項，各單位至少應指定專人來負責辦理個資安全維護事項以及與其他單位之溝通、協調。專人對於個資保護與資訊安全，無論在管理面、技術面、教育面等都要有一定的認知，最好選擇已接受過個資保護與資訊安全專業訓練並持有相關證照的人選為佳。

2.建立稽核制度

各單位應建立了個人資料檔案的稽核制度，像是稽核人員應具有哪些能力、依據何種稽核標準、多久實施一次內部稽核等；以及針對稽核結果定期召開管理審查會議，進行缺失的矯正和預防。

3.確保系統安全

對於存取個人資料檔案，應經授權或簽奉核定後為之，針對不同的職務角色，要依使用範圍與使用權責進行分級管理及權限控管；制定存取個人資料的相關作業標準，像是個人資料的新增、異動、刪除、傳輸，是否留有記錄(Log)；應用系統程式的開發與維護是否進行原始碼安全檢測，修補SQL Injection及XSS等弱點漏洞，上線前是否經過適當的安全審核程序等等。

4.強化實體安全

存放個人資料檔案的資訊設備或實體設備，應制定相關的門禁及管理辦法(如電腦機房管理辦法、文件庫房管理辦法等)，例如：針對主機和儲存媒體，是否有良好的安全防護措施，存放場所是否做好天然災害和意外災害的防護，存放個資媒體或文件資料的設備是否防火或上鎖，是否有備份且異地存放。

5.災害防護演練

萬一發生天然災害或個資損害事件，應有個資事件應變處理作業辦法，內容是否包括如何進行損害控制、系統備援、災害復原和通知當事人等，並定期實施模擬演練。若是人為惡意的損害，是否有保存證據以及當事人要求損害賠償的相關措施。

6.員工作業安全

明訂與個人資料有關的人員作業守則，規範短期契約性員工對個資之蒐集、處理及利用，要求簽署保密切結書。例如：對於個人資料的處理作業，是否已訂定相關的安全維護措施，在個資保護與資訊安全方面，是否定期實施宣導和教育訓練。

新版個資法施行細則中，詳細規範了11項安全維護事項，以作為個資檔案安全維護計畫的執行必要措施。經與舊法的「個人資料檔案安全維護計畫標準」相互比較，有6項是新增的項目，現將做法概述如下：

1.成立管理組織，配置相當資源

舊法對於負責辦理個資安全維護事項，只要求指定專人負責；而新版個資法施行細則明訂必須成立「管理組織」，包括公務與非公務機關都必須要有專人、專責組織負責個資保護相關事宜，且要配置相當資源，因為個資法有要求善良管理人的注意義務。

2.界定個人資料之範圍

企業在制訂個人資料檔案安全維護計畫之前，應先確定所要保護的個資範圍，畢竟組織的資源有限，不太可能一開始就投入龐大資源來實施全面性的個資安全防護。所以，企業要先了解個資使用的現況，定出所要保護的範圍，這也是管理系統導入的重要步驟。

3.個人資料之風險評估及管理機制

通常風險控制，重點會鎖定在高風險的業務流程與資訊系統，因此個資保護的重點會落在含有大量個資的資訊系統、涉有大量個資檔案人員以及涉有個資作業之短期性契約員工三者上面。通常風險評估，會先將個資進行分類，一般分成：員工、客戶、投資人、供應商及其他等五大類，再依據個資蒐集、處理及利用的作業流程去盤點所有個資資產，例如個資是透過哪些方式、哪些人來蒐集、處理及利用，分析其可能存在的安全風險，依照其風險高低進行排序，然後再選擇適當的控制措施來進行風險處理，將風險降低至可接受的程度。

4.個人資料蒐集、處理及利用之內部管理程序

應針對個資法第二條蒐集、處理及利用之定義，制定內部管理要點，以作為員工進行個資作業及稽核之依據。

5.必要之使用紀錄、軌跡資料及證據之保存。

個資法第三十條規定：損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。因此，進行個人資料之蒐集、處理或利用時，應保存軌跡資料或證據至少5年；如有訴訟，則應保存至訴訟終結為止。

6.個人資料安全維護之整體持續改善。

個人資料安全維護是個資防護的初步工作，重點還是在於能否依照這個計畫切實地來執行個資安全維護事項。個資法中所提到針對個資應採行適當的安全措施，我們不應只把它解讀為已採行相關的技術防護手段，或是添購資訊安全產品，就可在個資損害事件中證明自己沒有過失責任，而是必須要納入管理系統中，讓個資防護在完整的管理制度下實施運作，並且持續改善。

結語

綜上，要落實個資檔案安全維護計畫與安全維護事項，必須透過PDCA的精神，持續改善。資安專家曾提出，資訊安全管理制度(ISMS)可提供企業或組織在個人資料安全防護的重要基礎，並進行重點補強，相信在個資防護方面，將可達到事半功倍的效果。

轉載自《台糖通訊》