2012年8月28日 星期二

面對個資風暴 善設資訊管理機制

面對個資風暴 善設資訊管理機制

主要從事顧客紅利積點業務的鼎鼎聯合行銷公司,由於必須維護與管理大量會員資料庫,因此對於新版個資法戒慎恐懼,早在2年多前多數企業還在觀望之際,便開始著手導入相關管理系統,迄今已累計相對深厚的實務經驗。
鼎鼎聯合行銷技術管理部協理梁家榮表示,該公司踏出的第一步,先是認真檢視ISO 27001,看它能否滿足個資要求,接著再與台灣個人資料保護與管理制度(TPIPAS)、BS 10012個人資訊管理標準進行比對,以分析不同規範之間的異同。

參酌不同規範之異同,訂定管理目標

為何如此大費周章進行比較?主因在於,要設立管理目標,一定得先落實標準及規範之選擇與遵循。經過比較,ISO 27001的規範完整度,與TPIPAS有所差異,至於BS 10012,基本上與個資施行細則看來相容,但程序性的要求較少,不過在資料比對、穩私權公告等事項,卻規範得更加深入。


鼎鼎聯合行銷(Happy Go) 技術管理部協理 梁家榮

梁家榮補充,TPIPAS與BS 10012之間的差異其實不少,比較顯著的地方在於「當事人自主原則」部分,BS 10012僅規範蒐集目的,TPIPAS則側重於有效蒐集程序。在「責任原則」部分,BS 10012規範轉包處理,TPIPAS卻擴及委外監督義務;在「告知原則」部分,BS 10012規範穩私權聲明,TPIPAS則定調在告知義務及相關程序要求;在「安全管理原則」部分,BS 10012規範安控及程序,TPIPAS以安全措施要項為基準

至於ISMS(ISO 27001)與TPIPAS等制度規範的差異性比較,ISMS主要人員、參與人員,全部都是IT同仁,TPIPAS主要人員為業務相關同仁,參與人員則涵蓋法務、業務、後勤及資訊;ISMS對象為企業核心系統,其範圍可以是局部,由企業自訂,TPIPAS對象是企業所有個資相關系統及流程,但範圍為企業全體、不可分割

此外,ISMS管理責任在於各企業滿足合約要求,TPIPAS由個資蒐集單位負全責,當然也包含委任及複委任;ISMS資訊來源基礎為資訊資產盤點,TPIPAS範圍則更大,除了資訊資產盤點外,還有業務特定目的、個資盤點及作業流程;ISMS的軌跡資料在於紀錄完整性,TPIPAS係在於法律有效性

藉由一次專案,同時推動ISMS與TPIPAS

在進行諸多規範的異同比較後,鼎鼎聯合行銷開始推動個資專案,同一專案ISO 27001、TPIPAS兩者皆做,前者主要是滿足技術面需求,著重在基礎架構的管理,後者則是滿足程序管理面需求,重點在於法律遵循。

梁家榮指出,論及所有管理,幾乎都會談到PDCA,ISMS如此,TPIPAS好像也不例外,但其實個資必須「一次做到好」,也就是第一動即需力求完整,要做到最深,否則一些觸犯法律的行為,即有可能出現在這個空窗期,法官並不會接受所謂的PDCA解釋

而在制度導入策略部分,在2012年1月1 日以前,當時風險評估機制猶未建立,責任及分工不明確,且多由業務執行人員負擔風險;從此時一直到10月1日個資法施行,鼎鼎聯合行銷定義為「作業轉換期」,這段時期的重點包括建立風險檢核機制、以遵循企業合約為基礎、風險係數及決策為業務裁量。

預期從個資法施行後,便將進入第二階段作業規劃,重點在於建立風險管制單位、以遵循法律及合約為基礎、將法規風險轉為企業決策、將由企業負擔管理責任,乃至於部分風險項目,可能轉變為違法行為

依律依循性,取決完整作業模型

梁家榮分享其制度導入專案實務,他認為有1點相當重要,雖然大家都在談「業務流程框架(BIF)」,但其實談的深度都不夠,因為BIF與合約、業務流之間的介接關係,務必需要釐清,倘若忽略此一動作,就很難為BIF做清楚說明。

總而言之,意欲建立依律依循性,取決於正確完整的作業模型。若以隱私權衝擊分析(Privacy Impact Assessment;PIA)的構圖為例,理頭不管是B2C服務協議書、個人可識別資訊、業務資訊流、B2B合約、佐證與日誌…等各個環節,要想通通做到一致性,其實並不容易,但所謂的個資清冊,仍必須有效連結至所有環節,而且不只是點線面之串聯,針對箇中的每個點,一旦發生任何變化,也需要能深入掌握。

談到個人資料保護,如何整合法律與管理之要項,梁家榮認為,首先即是評估個資外洩風險,一方面審視內部保有之個人資料,二方面確認涉及個人資料之業務流程與相關人員;其次是建立符合需求企業之個人資料保護架構,而此一架構必須同時涵蓋制度面、管理制及技術面;接著取得符合國際規範之隱私權標章認證,提供信賴之服務;最後則是為個人資料投保,確保公司意外發生時損害之控制

轉載自《DIGITIMES中文網》