2012年11月2日 星期五

個資法因應方案

個資法因應方案

個資法應該方案
新版個資法於10月1日開始正式實施,為落實保護個人資料之目的,該法第1條即開宗明義地揭示其目的是規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用。無論是公務機關或是非公務機關、私人企業、組織乃至每一個個人;也不管是紙本、電子形式乃至各種形式的個人資料現在都已納入個資法所規範的範圍中,其影響層面之廣,對於整個台灣來說,“如何善盡個資保護責任”無疑是個重大課題,也多所衝擊。但,換個角度想,若整個台灣社會對個資保護都能有正確的認知,且能落實個資法良善之立意,讓個人資料在整個個資生命週期中都能受到妥善的保護,且能促進個人資料之合理利用,這對整個台灣而言,未嘗不是一大福音。究竟企業組織如何因應個資法,且落實適當的安全維護措施呢?個資法施行細則第12條第2項明定了11項企業為保護個資得落實的安全維護措施;也就是說,對於尚未著手因應個資法的企業組織、機關團體來說,這可以是優先推動的項目。首先,我們得了解新版個人資料保護法所規範的重點:

新版個人資料保護法規範重點

個人資料的範圍


●基本資料:
姓名、出生年月日、國民身分證統一編號、護照號碼、聯絡方式
●人身資料:
特徵、指紋、病歷、醫療、基因、健康檢查
●生活資料:
婚姻、家庭、教育、職業、性生活、犯罪前科、財務情況、社會活動
●其他:
得以直接或間接方式識別該個人之資料

其中,敏感性特種個資「醫療、基因、性生活、健康檢查及犯罪前科」僅限於個資法法定例外下始得蒐集、處理或利用。所謂法定例外包括:
 1.法律明文規定
 2.履行法定義務
 3.當事人自行公開或其他合法公開
 4.基於醫療、衛生、或犯罪預防,而為統計或學術研究

個資蒐集、處理、利用注意事項

note-figure_13

個人資料管理生命週期

note-figure_14

「個人資料」在記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結、或內部傳送過程中,皆需受到完善的保護。

新版個資保護法適用範圍及刑罰

note-figure_15

新版個資法施行細則要求的11項個資安全維護措施

note-figure_20_1

企業因應措施及步驟

企業組織可依據其基本組織架構及日常管理和業務流程的有所不同定義出囊括內部、外部個人資料於「蒐集、處理、利用、銷毀」整個生命週期之所有控制點並納入風險評估。再依企業組織不同的需求參考(或導入)目前國際上廣為認可的四項國際標準(ISO27001、ISO20000、BS25999及BS10012)建立並執行適切的風險管理機制,再輔以國際標準ISO27005:2008作為技術性的支援為組織的資訊安全風險管理提供執行指南(Guideline)。除了訂定相關管理面的規範以符合法規要求外,妥善應用技術面的解決方案則可以有效率加強管理面規範的執行效果。

企業個資因應措施及步驟

透過持續性地Plan(規畫)、Do(執行)、Check(稽核)和Act(改善)循環流程使個資保護措施更趨完善。

note-figure_16


1、指派專人負責或成立個資因應小組並配置相當的資源
· 形成內部共識
· 制訂個資保護政策
· 訂定與檢視企業組織的個資防護訴訟策略

2、個資盤點及分級分類
· 盤點涵蓋業務流程中的所有內部、外部個資及其範圍
· 確實掌握個資類別並釐清個資權責和所有權
· 審視委外合約以確保符合‹個人資料保護法›的規定
· 持續性地做個資盤點

3、個資蒐集、處理、利用程序之業務流程分析
· 定義出所有的個資控制點
· 判斷優先順序後依續實施導入適當的管理政策與解決方案
· 對不適當的業務流程進行流程調整改造,以求對個資有良善的保護

4、風險/衝擊評估及風險處理規劃
· 依據個資外洩風險的高低程度分級 (可參考德國ITBPM風險調查表)
· 訂定緊急應變措施SOP及通報
· 提供詢問及申訴管道

5、採取有效的方法保護及管理個資
· 個人資料管理系統(PIMS)的導入
· 部署適切且有效的技術工具保護與監控個資,證明善盡保護個資之責
· 人員管理及持續的教育訓練
· 設備安全管理 (定期的維護與更新CMDB)
· 必要之使用紀錄、軌跡資料及證據之保存 (完整保留個資存取控制的記錄、日誌檔Log以為證據)

6、定期資料安全稽核機制(內稽&外稽)
· 透過內控稽核或是驗證單位來檢視個資保護制度是否完善
· 個資法第22條規定,行政監督的部分: 中央目的事業主管機關和地方政府可以隨時檢查,主管機關沒有足夠的人力時,還可以委外給外面的獨立機構稽核。

7、整體個資安全維護持續改善之建議和措施
· 內部稽核後的報告及矯正措施
· 符合法規修改/主管機關驗證單位的要求事項
· 因應企業組織改組/營運事項更動及其他重大變故作修正


定義出業務流程中個人資料生命週期中的控制點,並將所有的控制點皆納入風險評估

note-figure_17

個資外洩風險控管

從企業組織架構(人&設備&環境)面、流程管理制度面、技術面三管齊下做好個資外洩風險控管,才能有效地降低個資外洩的風險;做到符合個資法法規規範及要求的善盡個資保管之責任。

note-figure_18

四大國際標準 ISO27001 / BS10012/ BS25999/ ISO20000

note-figure_19

轉載自《Secward》

沒有留言:

張貼留言