2013年5月22日 星期三

從日本經驗看個資管理 存取控制是最主要問題


從日本經驗看個資管理 存取控制是最主要問題

新版個資法通過以來,經常聽到企業表示不知道該怎麼做才好,鄰近台灣的日本早在2005年便已實施個人情報保護法,累積不少法規遵循經驗,也成為台灣企業借鏡學習的對象。網屋株式會社ISO資深顧問柴崎正道表示,企業應依照PDCA管理循環,在組織內部建立一個符合法規的個資保護管理制度。


在PDCA循環中,每一個階段都有不同的重點工作(如表1所示)。首先,在Plan階段,最花時間的工作就是個資盤點,企業必須清楚擁有哪些個人資料、在哪些員工身上,才會知道該如何做好保護,另外,建立事故應變處理程序,則是這個階段最重要的工作。

第二個Do階段,最重要的就是資料外洩事件模擬演練,重點在於,一旦發生個資事件,內部高層該如何應對,有了事前的模擬演練,事發後才知道該怎麼做,不致於一團混亂,以日本來說,雖然法規通過至今將近8年之久,但還是持續發生資料外洩事件,所以企業在平常就要做好模擬演練,而且要避免再犯同樣的錯誤。

至於C與A往往是企業最不知道該如何執行的階段,柴崎正道建議個資業務的承辦人,可以對企業內部比較有認知或決定權的人(如:董事會成員、業務行銷人員…等),一直不斷進行洗腦工作、強調遵循個資法規的重要性,尤其在外界發生個資事件時更要加強提醒,因為此時效果最好。

最後,柴崎正道提出企業個資管理上最常遇到的問題就是,取得個資後的權限控管問題,大多數員工都能存取個人資料,但企業卻沒有機制去掌握是誰在哪一個時間點進行存取,因此,如何制定與落實個資的存取控制政策(policy),對企業來說是非常重要的一件事。

企業必須依據部門別、職務別、業務與責任範圍,以「Need To Know」為基本原則,賦予員工最低程度的存取權限,並使用工具記錄下日常的個資存取行為,定期檢視Log,確認這些存取行為是遵循內部政策,以及是否有不當、非法的存取,如此才能降低個資管理的內部風險。

表1、PDCA各階段的個資保護工作
階段
           
Plan

1.     建置個人資訊規劃小組
2.     成立與法規相關的說明會,讓員工有被步了解
3.     差異分析
4.     個人資訊的盤點清查
5.     確認特定個人資訊利用目的
6.     風險分析
7.     建立完善方針與規定
8.     製作相關手冊,如:個人資訊運用管理手冊、事故處理手冊
Do

1.     風險處理
2.     建立管理措施及流程運作
3.     教育訓練,如資料外洩事件的模擬演練
4.     導入監視機制,定期檢討個資利用狀況
Check

1.     事故偵測、警示及檢討
(1)   定期檢視資料存取Log
(2)   根據個人資料利用週期,檢查運用狀況
2.     實施內部監查
(1)   評估企業內部個資相關的規定、手則等運用狀況
(2)   確認內部是否進行定期稽核
(3)   測試員工對個資保護的認知
(4)   檢查使用者帳戶的申請書內容和實際運用情況的差異
(5)   根據委外廠商合約,檢查個人資訊的利用狀況
Act

1.     日常改善
(1)   在日常檢查中發現的問題,特別是針對存在高風險的問題,須採行防範措施以免再次發生
(2)   針對相同的錯誤進行重點檢查(是否再次發生)
(3)   重新審視存取控制策略
(4)   重新修改手冊
2.     定期改善:實施企業內部控制時所發現的問題,特別是針對
存在高風險的問題,須採取改善防範措施

資料來源:中華數位

轉載自《資安人科技網》

沒有留言:

張貼留言