個人資料保護法通過後,引起各界一陣嘩然,高達新台幣二億元的賠償上限,讓許多企業不得不關注這部法案,並重視資訊安全。儘管母法已經制定,然而企業究竟該如何遵循?該優先採取哪些因應措施?
目前個資法施行細則修正重點包含:
1.兼顧個資保護與合理利用
2.明訂委託人對受託人適當的監督
3.界定醫療、基因、健康檢查的概念定義
4.界定當事人自行公開的定義
5.告知方式
6.適當安全維護措施定義。
其中,最受資安從業人員關注的就是-何謂適當安全維護措施。
法務部法律事務司科長黃荷婷指出,在施行細則將規定非公務機關的善良管理人注意義務,以及明訂安全維護事項,包括:
(1) 成立管理組織,配置相當資源。
(2) 界定個人資料之範圍。
(3) 個人資料之風險評估及管理機制。
(4) 事故之預防、通報及應變機制。
(5) 個人資料蒐集、處理及利用之內部管理程序。
(6) 資料安全管理及人員管理。
(7) 認知宣導及教育訓練。
(8) 設備安全管理。
(9) 資料安全稽核機制。
(10) 必要之使用記錄、軌跡資料及證據之保存。
(11) 個人資料安全維護之整體持續改善。
其中的第1、2、5、6、7、8項,及部分第9、10、11項,在ISMS的範疇內都有涵蓋到,不過ISMS仍然只是一個基礎,針對第3、4或法條的其他部分遵循,企業仍然有許多工作要作。因此若企業當初在建置資訊安全管理系統(ISMS)時,涵蓋到個人資料的系統範疇,可能不需要從頭來過。跟ISMS的範圍來比,由於安全維護措施對於個資範圍有直接的界定,因此我們可了解到,只要有個資存放的系統、設備便可被視為高風險區域。
另外除了針對前述11點內容做比較詳細的規範,針對母法中有關個資的蒐集/處理/利用的規定,以及委外管理的要求,企業也應做為法規遵循及個資保護的參考。
草案雖已明確列出安全管理措施的大方向,但並又不強制要求執行方式,就像規定要做帳號、密碼管理,但並不限制管理方式,以提供企業兼顧現行資安作業的彈性。舉例來說,上述第6點與第8點談到,企業應該建立資料安全管理、人員管理、設備安全管理的機制,在「個人資料檔案安全維護計畫」標準草案中,除了這3點之外,還增列了作業管理項目,並逐一列出這幾點該有的安全管理措施。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6749
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
