個資法上路後,許多企業為了做好法規遵循,選擇導入個資保護相關管理制度,然而每多引進一項制度就會多一份維運工作,如何將個資管理制度與現有制度整併,降低維運成本,成為企業最關心的課題。
日前資策會資安所整合ISO 20000、ISO 27001與BS 10012三種制度,並取得驗證,將這3種制度的管理流程、程序文件、組織、內部稽核制度、風險評鑑方式作整合,降低內部維運管理制度的時間與人力。
簡單來說,資安所3種制度的整併可以分為以下兩個大面向:
1、管理制度整合
(1) 檢視管理制度與個資法的符合性;
(2) 合併管理審查會議(審查項目與內容);
(3) 合併重疊的管理制度文件(如:文件記錄與發行管理等)。
(4) 檢視內部稽核與查檢表。
2、資產盤點方法與風險管理方法論的整合。
資策會資安所副所長劉培文指出,在整合3種管理制度過程中,首先從盤點業務流程(ISO 20000)開始,並思考每一個業務流程該怎麼做,才能遵循資安(ISO 27001)與個資保護(BS 10012)的規範。
舉例來說,資安所負責維運技服中心,而在技服中心通報應變網站中含有個人資料,站在ISO 27001的角度,要考量的就是提供網站運作的IT資產是否符合規範,而ISO 20000看的則是服務水準(即SLA),BS 10012則是從個資保護的角度出發,這3個管理制度雖然考量的不同面向,但彼此必須做整合,否則可能3個不同的人分別處理這3件事,造成人力與時間的資源浪費。