個資法

評估個資保護機制與現況

2010-11-05
上一期為大家說明個資法中,對於蒐集、處理、利用個人資料的規範與要求,這部份主要著重在個人隱私的維護,例如在蒐集個人資料時要對當事人盡到告知的義務,說明蒐集的特定目的為何,將會使用在哪些用途上;處理時則是要確保眾多的個人資料,經過內部新增、編輯、傳遞、儲存時的安全,避免受到未經授權的竄改,同時還要尊重當事人對於個人資料的自主權利,提供查詢、複製本和更正的服務;在利用時則是要符合當初蒐集時的特定目的,若要做其他目的的使用,除了有適當的法源依據或符合個資法的要件外,否則都必須要重新再取得當事人的書面同意才行。
所以,接下來就要說明個資法要求的另一項重點,也就是對於透過各種管道所蒐集的個人資料,如何盡到善良管理責任,並實施適當的安全措施。當然,對非公務機關而言,所謂的適當的安全措施,未來將由目的事業主管機關來加以認定,也就是要依照主管機關所提出的個人資料保護指引準則,擬定個人資料檔案安全維護計畫,並且能夠舉證才行。在這份個人資料保護指引尚未完備之前,我們可以提早準備的,就是思考對於個人資料應實施哪些安全機制,並且評估個人資料的安全現況,以便先打好基礎,再針對不足的地方加以改進,以避免法律實施時措手不及的情況發生。

思考個資保護安全機制

組織若想要建立個人資料的保護機制,建議可以從三方面來著手。首先是「人員」,請思考一下,目前組織中的個人資料,大多是由誰蒐集而來,經由誰進行處理,再由誰進行利用,相信你會發現,這些都和人員脫離不了關係。

根據統計,大部份的資料外洩事件,都是來自於內部人員的作業疏失或刻意的偷竊行為。因此,針對人員的安全機制,主要都會落在教育訓練之上,透過加強人員對於個資保護的認知,了解其應盡的責任與守法義務,並且熟悉內部的個人資料蒐集、處理和利用的作業規範,來避免違反個資法的事件發生。

一般而言,教育訓練區分為兩種,一種是對於個資法的認知訓練,另一種則是資訊安全的防護宣導。在個資認知訓練方面,必須要確保和個資蒐集、處理、利用有關的人員,都要熟知個資法的要求,例如蒐集個人資料必須要有特定目的,並且要盡到告知的義務。在資訊安全宣導方面,則是要讓人員了解常見的資料外洩管道與攻擊手法,像是如何避免掉入社交工程的陷阱,避免透過私人郵件寄送個人資料檔案,以及避免使用USB隨身碟下載個人資料並攜出工作場所等。

其次是「流程」,我們必須檢視現行的資料作業流程,其中是否會涉及到個人資料的處理,如果是的話,那麼配套的安全措施是什麼?作業流程中,安全防護的強度到底夠不夠?舉例來說,像是員工在業務工作上,是否可以任意影印含有個人資料的文件,是否有經過主管的授權,影印時是否使用浮水印的註記,廢棄時是否有適當的資料銷毀方式?另外,含有個人資料的文件傳遞,是否指定專人處理,文件本身是否有保護措施,傳遞過程中是否有留下紀錄。如果有員工對於這些流程的安全控管要求不清楚的話,那麼最好開始建立相關可實行的標準作業程序(SOP)。

最後是「技術」,在各項與個資有關的作業流程中,需要去思考是否有相對應的資安防護技術,例如對於個人資料的存取方面,人員需申請並賦予唯一的識別帳號,並要求使用一定長度與複雜度的密碼;依據業務性質和單位屬性的不同,進行網段區隔與存取控制;網路安全方面,是否部署適合的防火牆、入侵偵測系統,對於主機是否進行系統防毒與更新修補;當然,對於敏感的個資檔案,也要實施一定強度的加密機制。

評估個人資料安全現況

對於組織目前的個人資料保護現況,如果本身已導入的資訊安全管理系統(ISMS),最好的方式就是利用ISO 27001標準所要求的11項領域、133項控制措施,來進行個人資料的安全評估。

如果對於標準不是那麼地熟悉,也尚未建立個人資料管理制度,建議可以先從以下四大層面來著手,一一檢視重要的控制措施是否已經落實。

實體環境安全

評估辦公區域、資訊機房和資訊設備,是否已受到良好的安全防護,重點項目包括:

1.是否已確保辦公室與機房的環境安全?例如使用不易受到破壞的門與鎖;在重要的區域進行門禁管制或安裝監視系統,訪客要求須配載識別證,並且僅限於在特定處所活動;定期檢查消防設施和人員的逃生設備是否足夠。

2.是否可預防有人從外部可以窺探辦公處所的電腦設備或螢幕資訊?有些組織在機房、會議室,喜歡採用透明玻璃,因此需要評估人員在操作資訊設備或進行會議時,是否會造成不當的資訊外洩。

3.含有個人資料的資訊設備與文件,是否存放於安全地點?例如筆記型電腦等可攜式的設備,還有包括硬碟、磁帶、光碟、USB隨耳碟等儲存媒體,採取適當的安全防護以避免遺失;紙本文件存放在管制或上鎖的區域,使用碎紙機、大量文件水銷等方式確保廢棄的文件不會再被還原。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!