新版個資法自2010年4月通過以來,歷經長達2年半的時間終於正式上路,在這段期間內,企業的法規遵循究竟做到什麼程度?本文根據個資法施行細則所列的11項安全維護措施,加上第12點委外監督管理,檢視目前各個產業因應個資法的現況,並以分數作代表,舉例來說,如果該產業內20%的企業皆已完成個資盤點,則給予1分,如果40%企業已完成則給2分,依此類推。
根據個資法施行細則第十二條規範,本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
1、配置管理之人員及相當資源。
2、界定個人資料之範圍。
3、個人資料之風險評估及管理機制。
4、事故之預防、通報及應變機制。
5、個人資料蒐集、處理及利用之內部管理程序。
6、資料安全管理及人員管理。
7、認知宣導及教育訓練。
8、設備安全管理。
9、資料安全稽核機制。
10、使用紀錄、軌跡資料及證據保存。
11、個人資料安全維護之整體持續改善。
銀行業逾6成已個資盤點應注意業務自行管理的設備
以金融業來說,尤其是銀行業者。資誠企管顧問梁亦銘協理認為成立管理組織、個資盤點6成以上銀行業者都已進行,但如果是個資風險評鑑,有請外部顧問協助的比較積極在做,目前在百來家銀行中,有請顧問者目前約20家。某銀行業表示,請外部顧問主要是來建立制度,而不在於驗證取得證書。
許多項目如第4、6、9、10、12金融業已經都被要求要做,只是目前看來有特別因為個資而去加強的還不多,例如已經有(錯帳、資安)事故通報應變機制,但還沒有個資事故通報應變機制。或者已經有原本的稽核,但還沒有個資稽核。已經有監督委外廠商,但個資法後應強調委外結束後個資的銷毀。此外,第8.9.10項與IT相關的,銀行業者也多半比較有管理基礎。以設備管理來說,如果是由業務單位自行管理的設備如票據處理機,其使用過程中的個資目前看來就還暴露在風險中。
梁亦銘認為以整體金融業來看,因應成熟度為:銀行>壽險>證券>產險>資產管理>投信>保經保代等。中小型金融業者因IT人力不足,在進行存取權限的授權與管理時需要特別注意。
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
