新版個資法通過後,個資保護範圍擴大到個人資料的搜集、處理、與利用三個階段,對應到企業運作流程來看,這三個階段可能分屬於不同部門,因此,要做好個人資料保護,顯然不再只是資訊部門的責任,必須全體員工共同參與才能發揮功效。
英國標準協會副總經理蒲樹盛認為,個資法通過,對台灣企業而言是個強化資安管控的大好機會,過去那些因應政策要求而導入ISO 27001制度的企業,如今應該在既有ISMS架構上,檢視個人資料管控深度並予以強化。舉例來說,個人資料蒐集通常是在業務端進行,IT只是負責處理由業務端匯進來的資料,倘若企業只有在機房或資訊部推動ISMS,代表蒐集個人資料的程序並沒有在驗證範圍內,個資管控深度不夠,而這就是企業應該要去補強的地方。
由於新版個資法乃是從個人資料生命週期的角度來檢視風險,企業若要避免個資外洩造成的損失,ISO 27001的驗證範圍必須擴大到業務端、甚至是全公司,當然,企業如果有預算考量,可以採用分階段導入的方式,先從核心業務或是風險最高的地方開始做起,之後再擴及至其他部門,無論是一次導入或分段導入,最終都必須以全公司或全流程通過為目標。