2012年11月3日 星期六

iThome 2012年 個資法大調查 - 因應作法篇

iThome 2012年 個資法大調查 - 因應作法篇

僅42.4%企業完成內部個資盤點,其中以金融業和醫療業完成的企業比例最多。5.5%的企業將採用BS 10012英國個資保護認證來因應個資法的規範



過半企業未完成個資盤點,金融和醫療完成比例較高 
個資法已經上路,但企業想採取的因應措施卻還沒全數完成,界定出個人資料範圍是因應個資法法規要求的第一步,只有了解企業擁有那些個資,才知道要採取哪些因應措施 ,但只有42.4%的企業界完成個資盤點定出個資範圍。在個資法施行細則中列出企業可以採取的11項安全維護措施中,企業完成度較高的項目是「認知宣導及教育訓練」、「設備安全管理」以及「界定個人資料之範圍」,都有近4成企業已完成這三項。



過半企業視個資使用記錄與證據保存為難題

個資法施行細則中規定了11項企業保護個資可以採取的作法,其中企業認為最困難的項目是「使用記錄、軌跡資料及證據保存」,53.9%企業均認為要完成這項措施是困難的。除了這一項困難以外,不同產業因應個資法時遭遇的困難點皆有不同,醫療業和服務業的難題是「資料安全稽核機制」,而金融業則認為完成「個人資料的風險評估與管理機制」是困難的,而自評個資法衝擊較低的高科技製造業,則認為「界定個人資料之範圍」就是一大挑戰。 

政府機關和學校認為最大的挑戰是個資資料蒐集、處理、利用的內部管理程序,甚至高達81.3%的政府機關與學校認為這是一大挑戰。一般製造業也同樣認為不易建立相關的個資內部管理程序。在11項安全維護措施中,企業認為難度最低、較容易完成的項目則是「設備安全管理」和「認知宣導及教育訓練」。 


█各產業安全維護措施執行困難度排名
說明:黃色標示者是各產業認為最困難的2項作法,將此視為困難挑戰的企業比例最高的2項。

 
整體難度排名
整體
企業
一般
製造業
高科技製造業
服務業
金融業
醫療業
政府機關與學校
使用紀錄、軌跡資料及證據保存
1
53.9%
51.8% 
46.3%
58.8% 
58.8%
57.9%
56.3%
個人資料蒐集、處理、利用之內部管理程序
2
39.9
43.5
31.5
35
29.4
42.1
81.3
個人資料的風險評估及管理機制
3
38.7
42.4
38.9
35
41.2
42.1
31.3
界定個人資料之範圍
4
34.7
40
44.4
27.5
35.3
21.1
25
資料安全稽核機制
5
34.3
28.2
24.1
40
35.3
52.6
50
事故之預防、通報及應變機制
6
29.5
35.3
35.2
21.3
23.5
36.8
18.8
個人資料安全維護之整體持續改善
7
22.9
16.5
13
28.8
23.5
42.1
37.5
配置管理之人員及相當資源
8
19.6
20
24.1
15
11.8
15.8
37.5
資料安全管理及人員管理
9
18.5
12.9
18.5
20
29.4
10.5
37.5
認知宣導及教育訓練
10
10.3
8.2
13
12.5
11.8
10.5
0
設備安全管理
11
9.2
8.2
9.3
11.3
11.8 
0
12.5

基本資安防護是多數企業因應個資外洩的作法

為了因應個資法,在資料安全方案類型上,最多企業採用的作法是「資料備份」和「郵件稽核/備份」,另外特別的是也有36.9%企業打算導入資料庫防火牆來保護資料庫內的個人資料。而在網路安全因應方案上,防火牆和防毒軟體是最多企業採用的兩項,其次是導入VPN來加密資料傳輸的過程,避免企業內部的個人資料在加密過程中外洩。 

過半企業採用的個資因應方案有10項,包括了防毒軟體、防火牆、系統備份、存取控管、資料備份、身分認證、VPN、郵件稽核與備份、入侵防禦系統以及最後一項是上網行為管理,這10項方案是半數企業已經導入或認為可以用來因應個資法的方案,也因此可視為多數企業採用的個資法主流因應方案,企業要避免因應腳步落後於其他企業,則可考慮先採用這10項因應方案中還沒採用的項目。不過,這些大多仍是企業原本慣用的資安防護措施。 




5.5%企業擬導BS 10012個資保護認證

為了因應個資法,越來越多企業更加積極地導入相關的資安認證,來強化自身安全管理制度,也透過第三方驗證單位來證明企業卻有落實良善管理之責。有38%企業打算導入ISO 27001認證,也有5.5%企業打算導入英國個資保護認證BS 10012來因應。經濟部商業司訂定的臺灣個人資料保護與管理制度規範TPIPAS也有7.7%的企業打算導入。在端點保護上,個資法也帶動了桌面虛擬化的採用情形,有20.7%的企業打算採用桌面虛擬化,以全面控管使用者端的電腦使用環境。 




問卷調查說明 
iThome 2012年個資法大調查透過網路問卷和電子郵件問卷進行,針對iThome歷年CIO大調查樣本與中華徵信臺灣5千大企業或營收規模相當的企業IT主管進行調查,執行期間從10月1日到10月8日,共回收了321份問卷,扣除無效問卷後,有效問卷共計271份。 



轉載自《iThome》