從日本經驗看個資管理 存取控制是最主要問題
新版個資法通過以來,經常聽到企業表示不知道該怎麼做才好,鄰近台灣的日本早在2005年便已實施個人情報保護法,累積不少法規遵循經驗,也成為台灣企業借鏡學習的對象。網屋株式會社ISO資深顧問柴崎正道表示,企業應依照PDCA管理循環,在組織內部建立一個符合法規的個資保護管理制度。
在PDCA循環中,每一個階段都有不同的重點工作(如表1所示)。首先,在Plan階段,最花時間的工作就是個資盤點,企業必須清楚擁有哪些個人資料、在哪些員工身上,才會知道該如何做好保護,另外,建立事故應變處理程序,則是這個階段最重要的工作。
第二個Do階段,最重要的就是資料外洩事件模擬演練,重點在於,一旦發生個資事件,內部高層該如何應對,有了事前的模擬演練,事發後才知道該怎麼做,不致於一團混亂,以日本來說,雖然法規通過至今將近8年之久,但還是持續發生資料外洩事件,所以企業在平常就要做好模擬演練,而且要避免再犯同樣的錯誤。
至於C與A往往是企業最不知道該如何執行的階段,柴崎正道建議個資業務的承辦人,可以對企業內部比較有認知或決定權的人(如:董事會成員、業務行銷人員…等),一直不斷進行洗腦工作、強調遵循個資法規的重要性,尤其在外界發生個資事件時更要加強提醒,因為此時效果最好。
最後,柴崎正道提出企業個資管理上最常遇到的問題就是,取得個資後的權限控管問題,大多數員工都能存取個人資料,但企業卻沒有機制去掌握是誰在哪一個時間點進行存取,因此,如何制定與落實個資的存取控制政策(policy),對企業來說是非常重要的一件事。
企業必須依據部門別、職務別、業務與責任範圍,以「Need To Know」為基本原則,賦予員工最低程度的存取權限,並使用工具記錄下日常的個資存取行為,定期檢視Log,確認這些存取行為是遵循內部政策,以及是否有不當、非法的存取,如此才能降低個資管理的內部風險。
表1、PDCA各階段的個資保護工作
階段
|
重 點 工 作
|
Plan
|
1. 建置個人資訊規劃小組
2. 成立與法規相關的說明會,讓員工有被步了解
3. 差異分析
4. 個人資訊的盤點清查
5. 確認特定個人資訊利用目的
6. 風險分析
7. 建立完善方針與規定
8. 製作相關手冊,如:個人資訊運用管理手冊、事故處理手冊
|
Do
|
1. 風險處理
2. 建立管理措施及流程運作
3. 教育訓練,如資料外洩事件的模擬演練
4. 導入監視機制,定期檢討個資利用狀況
|
Check
|
1. 事故偵測、警示及檢討
(1) 定期檢視資料存取Log
(2) 根據個人資料利用週期,檢查運用狀況
2. 實施內部監查
(1) 評估企業內部個資相關的規定、手則…等運用狀況
(2) 確認內部是否進行定期稽核
(3) 測試員工對個資保護的認知
(4) 檢查使用者帳戶的申請書內容和實際運用情況的差異
(5) 根據委外廠商合約,檢查個人資訊的利用狀況
|
Act
|
1. 日常改善
(1) 在日常檢查中發現的問題,特別是針對存在高風險的問題,須採行防範措施以免再次發生
(2) 針對相同的錯誤進行重點檢查(是否再次發生)
(3) 重新審視存取控制策略
(4) 重新修改手冊
2. 定期改善:實施企業內部控制時所發現的問題,特別是針對
存在高風險的問題,須採取改善防範措施
|
資料來源:中華數位
轉載自《資安人科技網》
沒有留言:
張貼留言