新版個資法通過,該怎麼做才能達到保護個人資料的目標,成為企業的重要課題,目前台灣尚未出現與個資保護相關的管理制度或驗證標章,因此,最有效的作法就是參考國際間的管理制度,像是PCI DSS(支付卡行業資料安全標準)、NIST SP800-122個資機密保護指引文件、PIMS(個人資訊管理系統)、JISQ 15001:2006(日本個人資料管理制度)等,其中以PIMS的接受度較高。
由於台灣已經有不少企業導入ISMS,這些企業普遍希望將ISMS與PIMS整合,降低管理複雜度,SGS全球產品經理呂敏誠表示,PIMS從資料搜集端就開始檢視是否符合法律規範,ISMS則在資料進入企業後才開始,這是兩者最大的差異,因此,若要在既有ISMS制度上整合PIMS,首要工作就是擬定個資保護的範圍與策略,接下來才是思考如何善用現有的管理系統與機制,將與人有關的資產納入原本ISMS制度中。
PIMS與ISMS的整合其實很簡單,只要找到其中的差異點,再把它加到現有的管理系統中即可,舉例來說,ISMS與PIMS都有風險分析作業,然而分析的對象、範圍與深度卻都不相同,如果要將其整合成一套,企業就得重新檢視作業程序,看看PIMS或ISMS的哪些程序應該被保留下來。
呂敏誠進一步解釋,ISMS的風險分析作業分成BIA(營運衝擊分析)或RA(風險評鑑)兩種方式,而PIMS則是使用PIA(隱私衝擊分析)的作法,企業可以採用BIA作法,從業務流程開始,將個人資料納入評鑑對象中,如此一來,日後ISMS進行風險評鑑時,就會涵蓋到個資的範圍。
此外,BSI副總經理蒲樹盛認為,在進行ISMS與PIMS差異分析時,必須特別注意以下三點:
第一、驗證範圍是否一致:台灣很多企業的ISMS驗證範圍只有資訊部或機房而已,但PIMS範圍可能包含業務部、客服部等使用單位,因此,企業必須清楚ISMS與PIMS的驗證範圍有無交集或聯集。
第二、誰是主要負責單位:ISMS的推動者多為IT部門,但PIMS可能有法務部、業務部、企劃部等,權責單位不同、作法也就不一樣。
第三、程序文件要作規範:企業必須分析ISMS與PIMS在控制措施上的差異性,例如:在搜集個人資料前必須行告知義務,這點並未列入ISMS管理規範中,諸如此類PIMS有、但ISMS沒有的管制措施,企業必須思考是否要新增程序書或者拿ISMS程序書進行修改。
當上述三個問題都有了明確答案時,才能順利地將PIMS與ISMS兩套制度合而為一。
管理制度多合一 莫讓員工成為Professional Audit
其實,不只PIMS與ISMS應該整合,任何管理制度都可以整併成一套,呂敏誠指出,一個組織內可能有很多不同性質的管理系統,像是針對品質管理的ISO 9000、針對資訊安全的ISO 27001、針對環境管理的ISO 14000等,由於性質不同,主要負責的部門也不同,時間一久就形成每個部門各自擁有一套管理系統,導致管理上多頭馬車、變相地在內耗資源。
所以,不同管理制度的整合是必要的,但要如何開始?呂敏誠表示,不同管理制度一定會有一些共通的管制措施,像是文件管理、記錄管制、管理審查、內部稽核、及矯正措施,從這幾點開始會比較容易。
以稽核作業為例,每一套管理制度的稽核時間點不同,有些是一季一次,有些是一月一次,當管理制度愈多、稽核作業愈繁瑣,反而增加員工負擔無法正常工作。
竹科某公司員工便戲稱自己是「Professional Audit」、專業的被稽核者,因為要應付內部不同管理制度的稽核作業,還有來自客戶及第三方機構的外部稽核,平均每2個禮拜就被稽核一次,如此密集的稽核頻率,不僅浪費公司資源又增加員工工作負擔,如果能將內部管理制度的稽核作業整合在一起,員工只要面對一次內部稽核,對作業效率才有幫助。