觀點

管理制度二合一 ISMS整合個資保護

2012 / 05 / 16
廖珮君 (2012資安趨勢論壇-換個腦袋做資安專刊,2011.12月)
管理制度二合一  ISMS整合個資保護

個資法公佈後,其中包括需制定安全維護措施,許多企業產生疑問,何謂「適當安全維護措施」,已經建置資訊安全管理系統(ISMS)並取得ISO 27001驗證通過,算是安全維護措施嗎?

在大型企業尤其在政府機關裡,很多單位皆已取得ISO 27001驗證,這是推動個資保護工作的良好基礎,將個資保護融入現行資訊安全管理系統(ISMS)中,不僅避免管理制度上的多頭馬車,還能藉由PDCA循環強化個資保護工作。

第一步、擴大ISMS認證或實作範圍

將個資保護整併至ISMS的第一步,就是檢視現行ISMS驗證或實作範圍,確認其是否涵蓋組織內的個資相關流程。KPMG資訊科技諮詢服務部協理謝昀澤指出,目前ISMS導入範圍多以資訊部門為主,但個資相關的作業或流程與很多部門有關,像是業務部、人資部、客服部、行銷部等,因此,整併第一步就是進行業務流程普查,將握有個資的部門或相關作業流程納入ISMS範圍內。

然而,對於大型企業或金控集團來說,直接普查業務流程的做法非常耗時費力,與其如此,不如先找出各個子公司或事業處的個資熱點,再往下進行業務普查,是比較有效率的做法,尤其金控集團子公司數量多、行業種類也多,又有客戶資料交叉應用的問題,無法從單一公司的角度看個資,必須從控股公司的觀點來思考,先找出各個子公司的個資熱點,再從業務流程進行普查。

至於何謂個資熱點,可以從個資的成份和數量來定義,數量是指擁有個資的筆數,成份則由個資內容而定,如果是個資法定義的特種個資(醫療、基因、性生活、健康檢查、犯罪前科)、財務、交易資料等,就屬於個資成份高,若是一般自然人的資料,如:姓名、身份證字號、地址等,則為個資成分低,個資的成份愈高、數量愈多,就可以歸納為個資熱點。

德欣寰宇科技業務部協理洪文亮認為,個資法是一個擴大ISMS認證或實作的好機會,透過法規遵循的壓力,讓ISMS在企業內部橫向展開,就算沒有取得認證,就算不想取得驗證,至少也要完成導入作業,讓企業各部門都能依循著相同作業流程。


第二步、個資流程與項目盤點

確立範圍後,接下來就是盤點手中現有的個資,惟有清楚掌握保護標的,才能規劃恰當的安全控制措施。個資清點並沒有標準流程,市場上有許多不同的作法,洪文亮認為個資清點可以分成紙本與電子兩種形式,針對紙本文件的部份,要求各部門提供部門內所使用含有人名的表格或文件,至於電子資料的盤點,則是主機與端點雙管齊下,一方面檢視主機端的使用記錄,另一方面則透過稽核技巧來查驗端點電腦內是否含有個資文件。

行政院研考會資管處主任吳啟文則提出4W1H的建議,組織應先找出會涉及個資的作業流程或服務,再進一步分析個資項目的細節,也就是4W1H:What(個資盤點)、Where(個資來源)、Why(使用目的)、Who(利害關係人)、How(個資流程),藉此找出個資項目與欄位類型。

BSI總經理蒲樹盛強調,ISMS資訊資產盤點與個資盤點的差異。ISMS在鑑別資訊資產時,乃是從業務流程開始,把所有可能的風險納進來,這是從水平面去解構風險,但個資盤點必須要從垂直面來解構,先鑑別個資類型(如:員工資料、客戶資料),再列出每一個個資項目的作業流程。他還建議企業設計一份「個資作業流程表」,其中,X與Y軸分別代表部門類別、個資種類,依照實際作業狀況,將蒐集、處理、使用、傳輸等作業流程填入部XY軸交會的空格內,之後再往下展開列出可能會用到的文件、表單或檔案。

表1:組織個人資料作業流程表

部門類別 業務部 研發部 人資部 資訊部
客戶資料

C、P、U

P

 

P、T

員工資料

 

 

C、U

P、T

XX資料

 

 

 

 

XX資料

 

 

 

 

 註:C代表蒐集、P代表處理、U代表使用、T代表傳輸。資料來源:資安人整理

第三步、補強資安控制措施

確立個人資產範圍後,接下來就是在ISMS的風險評鑑威脅與弱點等項目中加入個資風險評鑑,並據此規劃或補強資安控制措施。謝昀澤表示,ISMS偏重在個資的處理,並不重視資料從何而來或流向何處,而個資法規範的範圍涵蓋個資的蒐集、處理和利用,因此,企業必須將資安管理的深度擴大到蒐集及利用上,以免公司內部並存兩套不同制度,容易形成管理上多頭馬車的問題。

在ISMS與個資保護整併後,後台管理安全由ISMS負責,前台呈現則是個資維護計劃的範圍,簡單來說,看不見的資料(如:資料庫設計、網路規劃、系統設計)就由ISMS來負責,看得見的資料(如:電子或紙本表單、作業表單、客戶傳真的授權申請書)則由個資維護計劃來負責。個資法的精神在於個人資料最小揭露、最大遮隱,站在維護個資安全的角度,就得考量資料呈現方式、哪些欄位要做遮隱、及使用者權限等問題,舉例來說,以前客服人員可能看得到客戶全部資料,如今則變成只能看到必要資料,非必要資料就得做遮隱。

第四步、擴大稽核範圍

在現行ISMS制度下納入個資保護的最後一道程序,就是擴大資安稽核的範圍。這與前述所提擴大ISMS認證或實作範圍的意義一樣,個資稽核範圍必須到實際在使用個資的單位。以教育單位為例,資安稽核範圍可能只有計資中心,個資稽核則不只於此,必須涵蓋輔導室、衛保組(保健室)、學籍組、課務組、及人事室。

除了稽核範圍擴大之外,稽核項目也有所不同,必須涵蓋個資的來源、流向及銷毀方式,至於查驗標準則有:個資法、ISO 29100、BS10012、商業司制定的臺灣個人資料保護與管理制度(TPIPAS)等,這通常會隨著法律規範及國際標準而調整。以電話行銷流程為例,在進行個資稽核的重點包括,行銷資料的來源、搜集方式、有無取得個資當事人的同意、當行銷活動結束或當事人完成交易後的資料處理方式等,一般來說,個人資料的搜集與利用,比較沒有資安上的問題,比較多的是適法性問題。

企業因應個資法的方式有很多,無論選擇哪一種,建立良好的管理制度是最基本要件,將個資保護工作融入ISMS中,讓企業資安管理有一套共同標準,不僅簡化文件或表單作業,也能避免多頭馬車管理所造成的問題。