個資法有望在明年立法院第一會期拍案通過,對於這眾所期盼的法案通過與否,大家都伸長了脖子等候多時。在日本Sony集團旗下之網際網路服務事業So-net獲ISO27001認證發佈會上,BSI英國標準協會副總經理蒲樹盛分析,導入ISO確實可以協助企業證明在個資保護上是否已有善盡管理責任,但個資法通過與否卻未必有提高企業想要導入ISO的意願。
雖說ISO27001與個資法是相輔相成,蒲樹盛說,實際上近期企業導入ISO的數目仍維持穩定成長,企業導入ISO的數目並未隨著個資法即將通過的時間而有突破性的上揚,一方面是企業導入資安需要時間作為助跑期,二方面乃台灣的個資法仍有些許疑慮尚未釐清。
個資法修正版本雖已補強非公務機關在蒐集、處理個資的檢查機制,對一般消費者而言可透過集體訟訴爭取高額處罰補償金,但卻沒有明確主管機關,蒲樹盛分析,個資法約束力來自主管機關的權利,但新版個資法在修正草案中擴大適用範圍後,卻沒有明確規定出主管機關,因此約束力從何而來?另外,跨國性資料的移轉,政府是否已經備妥相關的轉移程序?仍值得公議。些許疑慮未除,即便個資法通過恐難真正解決資安潛在問題,甚至會引來更多問題,因此重視資安恐怕還需企業主自己「硬」起來!
So-net在2008年第3季開始導入ISO27001認證,之後因考量要歷經機房搬家,所以將導入ISO時間點向後挪,直到2010年1月才正式通過BSI英國標準協會的ISO27001:2005資訊安全管理系統認證。
保護客戶資料安全並非短跑賽而是一場馬拉松,因此導入ISO的速度快或是慢,對So-net來說並非是此次So-net宣布通過認證所應關注的焦點,況且So-net日本母公司Sony集團早就取得ISO27001的認證。而So-net之所以會選擇在這時間,其實一方面還有考量到So-net在2010年整體的業務目標。
ISO27001審查過程嚴格,在這個時間點通過,So-net不僅是要提供客戶高度的安全控制系統與風險管理,主要業務服務範圍包含IDC主機代管的So-net,在適逢雲端元年的今日亦有意拓展新的業務方向。企業業務處資深經理張家銘表示,So-net亦有意進入雲端,將防駭、入侵偵測、主動偵測與系統漏洞補強等,提供客戶全套的資安整合性服務。而在此時間點通過認證,So-net是想藉由縝密的資安把關程序提供客戶較無後顧之憂的交易環境。
(圖說:So-net參予ISO27001代表與BSI副總蒲樹盛(左2)合影)