https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

觀點

法務為主、資安為輔 保護個資應技術配合管理

2011 / 10 / 05
廖珮君
法務為主、資安為輔  保護個資應技術配合管理

成立個資保護專責組織,是企業做好個資保護的基礎,初期定位在任務單位,進行PDCA中的規劃與執行,也就是制定個資保護管理制度,等到制度內化成日常作業之後,個資保護專責組織就可轉型變成幕僚單位,要做的就是PDCA循環的CA,確保制度被落實或改進不足之處。

 

這是因應個資法的理想運作模式,但是企業分工複雜,誰該主導專責組織相關的工作規劃?多數企業主的第一個念頭是資訊部,因為個資保護談的是安全,理當交由資訊部門負責,但這是個錯誤的想法,資訊部當然是個資保護專責組織的一員,但絕對不會是主導者,企業若希望做更好的法規遵循,就應該由組織決策高層擔任主導者、法務人員負責相關的幕僚工作,協調各部門共同做好個資保護。

 

原因在於,新版個資法中有許多新的法律概念及不確定事項,單就對個人資料的搜集、處理及利用來看,其嚴謹度與複雜度遠遠超過現行電腦處理個人資料保護法,再加上民刑事賠償責任變重了,無形中增加企業的營運風險,一個不小心就有可能觸犯法令,也因此,法務人員的角色必須有所改變,從過往被動的法規諮詢者,轉變為積極主動的法規遵循規劃者,避免因為觸法所帶來的風險。天空傳媒(yam蕃薯藤)法務經理彭開英指出,由法務人員主導個資保護相關工作,可以讓企業做比較好的法規遵循。

 

只是,目前由法務人員主導個資保護作業的企業並不多,多數企業仍舊認為,資安或IT部門應該是主要負責人,某資安顧問以自身接觸的個案來統計,將近50%IT部門擔任專案啟動者,他認為這與企業主認知不足、不夠重視有關,如果個資保護組織能夠由策略或營運相關部門主導,在企業內的重視度會比較高。

 

 

元富證券:法遵單位主導個資保護專案  降低觸法風險

 

即便如此,仍有部份金融業者指派法務部門擔任個資保護專案的幕僚單位,元富證券便是其一。元富證券法制暨法令遵循部協理熊文莊指出,個資法通過後,總經理即指定管理部副總林東和為専案負責人,法遵單位為専案導入之規劃及執行單位,並負責協調各單位(含IT部門)建立制度,第一件事就是成立「個人資料保護法執行小組」,確保元富能夠符合新版個資法規範。

 

元富證券資訊部副總經理李俊德表示,這和ISMS管理制度下的資安小組是兩個獨立編制,資安小組成員以資訊部門為主,負責ISMS相關的稽核與文件作業,但個資管理小組卻涵蓋公司各部門,負責組織內部的個人資料管理架構及權責,且直接向總經理/董事長/董事會報告。其執掌如下:

第一、執行召集人:由管理部副總擔任,負責公司內資源整合運用、統一決策及推動個人資料保護法之總責;

第二、發言人:由公關部門負責,此為統籌個人資料處理結果之統一對外發言窗口;

第三、法規遵循:由法遵單位負責,主要任務為部門(單位)管理與橫向業務聯絡、及定期統籌個人資料管理會議;

第四、資訊技術支援:由IT人員負責蒐集支援資料檔案管理之技術支援;

第五、稽核:由稽核人員負責執行查核工作,確保因應新法所定之控管控管措施能落實,以俾持續矯正及改善;

第六、各部門(單位)個資連絡窗口:由各部門指派1人參與,負責掌握單位內業務關鍵活動及重要資料流向,並將本辦法執行策略推動至部門(單位)內部。

 

 

元富證券資訊部副總經理李俊德表示,資安小組成員以資訊部門為主,負責ISMS相關的稽核與文件作業,但個資管理小組卻涵蓋公司各部門,負責組織內部的個人資料管理架構及權責。

 

 

此外,在建立個資保護管理制度過程中,涉及許多文件設計工作,例如對客戶通知書、申請書,這得都得交由法務人員設計或規劃,還有一些既有文件也要重新覆核,確保符合新法規範。還有,為了強化員工對於法規的認知及認同,不定期地進行教育訓練,透過案例來宣導法規遵循的重要性,以免員工誤觸法網,也是法務人員的重要工作。

 

熊文莊表示,現行「電腦處理個人資料保護法」,規範範圍僅限於電腦處理的資料,企業只要仰賴少數人做好資安工作,就足以因應法規要求,但新版個資法修正後,其適用的對象及範圍是全面的,包含電腦處理及書面處理,因此,企業全體員工都必須熟悉新的法令規範,於執行業務時確實遵循,以免觸法。

 

 

 

蕃薯藤:法務兼稽核  為企業作更好的法規遵循

 

老牌入口網站蕃薯藤,自2011年起積極發展電子商務,強化個資保護變成企業當務之急,第一步就是讓法務人員接受與ISMS有關的主導稽核員(LA)訓練,藉此累積資安知識,擔負起個資的稽核與法規遵循工作。

 

當然,累積資安知識的方式有很多,為什麼一定要選LA課程?這是因為蕃薯藤之前就已經導入ISO 27001管理制度,藉此機會讓法務人員具備資安稽核能力,進而擴展到個資稽核上,才能做更好的法規遵循。彭開英表示,技術人員的特質是懂技術、知道該如何做好個資保護,卻沒有辦法將這些寫成管理辦法或行政程序,比較不容易與行政部門溝通,而法務人員透過LA課程累積資安知識,不僅可以和技術人員溝通,之後進行相關資安或個資保護工作上也會比較順利。

 

 

天空傳媒法務經理彭開英指出,法務人員透過ISMS主導稽核員課程,累積資安稽核能力與資安知識,並將其擴展到個資稽核上,才能做更好的法規遵循。

 

  

考量到組織資源分配,蕃薯藤沒有另外成立個資專責組織,而是將相關業務納入既有資訊安全組織裡,其分工與權責如下:

第一、召集人:祕書室主任祕書,此職務由總經理指派,層級較高,跨部會溝通協調較為容易;

第二、稽核與督導:由法務處負責;

第三、系統面規劃執行:技術部門最高主管;

第四、作業面規劃執行:業務部門最高主管及行政部門單位最高主管;

 

以前的法務工作多半是契約審議、法律風險分析等,企業遇到狀況時才會請求法務人員的協助,屬於比較被動的角色,但在個資法通過後,法務人員必須轉變為主動出擊的角色,負責觀念溝通、適法性檢視、計畫研擬、工作推動、技術與管理部門資源的整合、資安工作的執行與稽核。彭開英認為,因應這樣的轉變,法務人員必須深入瞭解公司運作狀況、作業流程、及技術上可能有的問題,除了找出解決問題的方法,還要思考企業要做到什麼樣的程度,才不會被法院認定有罪,因此,隨時進修、補充資安知識也是必須的。

 

 

個資保護小組與ISMS管理制度下的資安小組要不要整併在一起?

 

倘若ISMS為全公司導入,就組織管理及資源分配的角度來看,兩者合併是比較好的作法,但若ISMS導入範圍僅限於資訊部或機房,則以兩者獨立較佳,此時的資安小組成員以IT部門為主,而個資保護卻是全體員工的責任,如果合併在一起,有可能會錯誤地引導員工朝「個資保護是IT責任」的方向去思考。

 

 

個資稽核  加強深度與廣度

 

企業建立個資保護管理制度後,應該透過稽核制度定期查核,確保制度能夠落實,或是找出不足之處加以改進,然而,個資稽核與資安稽核兩者截然不同,企業不能用ISMS下資安稽核的思維去做個資稽核。在ISMS管理制度下所做的資安稽核,以ISMS規範是否落實為主要稽核內容,著重在存取控制、網路或儲存設備的安全,舉例來說,ISMS規範要做好網路安全,資安稽核的內容可能就是企業有沒有建置相關的網路安全防護設備(如:防火牆)或是其他防護措施。

 

KPMG.資訊科技諮詢服務部協理謝昀澤認為,個資稽核與資安稽核最大的差異在於,加強了稽核的深度與廣度:

(1)   深度:個資的來源、內容(個資種類)、使用目的、保存有沒有超過期限、交換……等適法性檢視。

(2)   廣度:擴大稽核範圍,以前集中在資訊部門,如今則要涵蓋個資取得、使用、交換等流程,因此業務、行銷等各個部門都是個資稽核的範圍。

 

以病歷為例,其乃重要個人資料必須加強保護,資安稽核的重點會放在,醫院做了哪些資安防護措施來保護病歷資料(庫),例如:防火牆、存取控制……等,但是個資稽核則非如此,其要做的是適法性檢視。假設醫院要將病歷資料中的某一部份用做統計分析,個資稽核人員就會檢視當初取得病歷資料時所寫的使用目的,是否為統計分析,倘若不一樣顯然就違反個資法規範,再來則是檢視病歷資料內容,倘若含有姓名、地址、電話,顯然也是不合理的做法,因為這些資料無法進行統計分析,應該只搜集需要做統計分析的項目就好。

 

也有另外一種狀況是,在進行統計分析前,必須透過這些基本資料進行過濾或比對,此時就可以保留基本資料,但要做好資料遮罩(如:王XXF3341XXXXX),或用代碼取代原始內容,而不是直接使用完整資料。簡單來說,稽核人員必須了解個資法的原意,改變以往的稽核做法才可以,關於稽核人員工作上的改變,下篇文章《內稽內控整併個資保護 用管理填補外洩缺口》有更詳細盡的介紹,在此不多做贅述。

 

 

從作戰單位到幕僚二階段定位  PDCA循環強化個資保護

 

謝昀澤指出,因應個資法的工作內容可以分成三種:策略、執行、與稽核,策略指的是風險分析、制定各部門的執行責任;執行則是指個資盤點、清查、書面通知等工作;稽核就是個資管理制度查核、適法性檢視,因此,一個理想的個資保護專責組織應該要涵蓋這3個層面。就大型企業來說,有二種部門一定參與個資保護的推動工作,第一個是直接接觸個資的部門(如:IT、人事),第二個是幕僚單位(如:策略、法務、稽核、營運/經營、規劃、風控),至於中小型企業可能沒有設置幕僚單位,主要參與者以IT及應用個資最多的部門為主,如:會員管理中心、電話行銷部門、客服中心等。

 

對於規模大或是法規衝擊大的企業來說,個資保護小組的定位必須分成兩階段,第一階段以專案、任務導向的形式,定位在作戰單位、任務單位,如此才能定目標進度(Milestone),有計劃地完成事情,否則永遠都會有更重要的事情要處理,根本就沒辦法執行個資保護相關業務,此時要做的是PDCA循環裡的PD,亦即研究與制定個資保護政策或作法,等到制度內化以後,才進入第二階段變成幕僚單位,做的是落實或檢討制度的日常事務,也就是PDCA循環裡的CA

 

至於規模屬於中小型、或是法規衝擊不大的企業,要做的事情就簡單許多,不必分成兩階段定位。首先對員工做教育訓練,宣導個資法及建立認知;接著將法令規範與實際作業流程相互比對,找出其中有落差的地方,並設法填補缺口,包括導入資安設備、建立內控制度、或是直接購買個資保險,都是填補缺口的作法。