個資法上路後,許多企業為了做好法規遵循,選擇導入個資保護相關管理制度,然而每多引進一項制度就會多一份維運工作,如何將個資管理制度與現有制度整併,降低維運成本,成為企業最關心的課題。
日前資策會資安所整合ISO 20000、ISO 27001與BS 10012三種制度,並取得驗證,將這3種制度的管理流程、程序文件、組織、內部稽核制度、風險評鑑方式作整合,降低內部維運管理制度的時間與人力。
簡單來說,資安所3種制度的整併可以分為以下兩個大面向:
1、管理制度整合
(1) 檢視管理制度與個資法的符合性;
(2) 合併管理審查會議(審查項目與內容);
(3) 合併重疊的管理制度文件(如:文件記錄與發行管理等)。
(4) 檢視內部稽核與查檢表。
2、資產盤點方法與風險管理方法論的整合
資策會資安所副所長劉培文指出,在整合3種管理制度過程中,首先從盤點業務流程(ISO 20000)開始,並思考每一個業務流程該怎麼做,才能遵循資安(ISO 27001)與個資保護(BS 10012)的規範。
舉例來說,資安所負責維運技服中心,而在技服中心通報應變網站中含有個人資料,站在ISO 27001的角度,要考量的就是提供網站運作的IT資產是否符合規範,而ISO 20000看的則是服務水準(即SLA),BS 10012則是從個資保護的角度出發,這3個管理制度雖然考量的不同面向,但彼此必須做整合,否則可能3個不同的人分別處理這3件事,造成人力與時間的資源浪費。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7322
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
