內稽內控整併個資保護 用管理填補外洩缺口

如何妥善管理個人資料的合理使用、防止資料外洩，乃機關當前要面對處理的重要議題；當投入大量經費採購資安工具、建立防火牆、入侵偵測、弱點掃描等防禦外部入侵措施，就真能高枕無憂嗎？根據CSI(Computer Security Institute)的調查顯示，機密資料外洩，70%是由內部合法使用者造成。例如：某醫生將印有病患資料紙張，利用其背面空白處當便條紙使用，致洩露病患個人隱私。另某機關離職人員受僱回原任職單位協助工作進行，由於該員在原本的服務期間，處理業務所用的密碼未予變更，致使該員利用已知密碼從事違法工作。前述這些違反個人資料保護法的事件，皆非一般工具或技術可以防阻，是機關內部管理問題，故個人資料保護法實施在即，內部控制與內部稽核益發突顯其重要性。

個資保護規範如何與內稽內控制度整併？

內部控制是一種管理過程，由控制環境、風險評估、控制活動、資訊與溝通、監督五個相互關聯的要素組成，是機關防弊興利的重要保障，簡述如下：

1.控制環境：係指塑造組織文化，影響組織成員控制意識的綜合因素。它提供紀律與架構，是內部控制的基礎。

2.風險評估：風險係指企業目標不能達成的可能性，風險評估則是企業辨識和分析風險的過程。評估風險的先決條件，是訂定目標。風險評估的結果，可能協助組織即時設計、修正及執行必要的作業。

3.控制活動：係確保管理階層的指令會被執行的政策和程序，包括核准、授權、驗證、調節、核對記錄、複核營業績效、保障資產安全、職務分工，它們協助組織確保影響組織目標不能達成的風險，都已採行必要的行動。

4.資訊與溝通：資訊係指資訊系統的辨認、衡量、處理及報導的標的，包括財務及非財務的資訊。溝通則是將資訊告知相關人員。組織必須辨識、取得適切的資訊，並加以溝通，以使員工能夠履行其責任。

5.監督：係指自行檢查內部控制制度品質的過程。監督可分持續性監督及個別監督，前者是指營運過程中的例行監督，後者則是由內部稽核人員或其他人員進行評估。

內部稽核是確認內部控制是否有效執行的重要措施，屬於前述五要素中的監督，內部稽核人員的職責，在於檢查、評估內部控制制度的缺失，並適時提供改進建議，以確保內部控制制度得以持續有效實施。

在內部控制設計健全、內部稽核貫徹執行下，除可確保組織營運成效，並可明確檢視出組織是否遵循相關法令，值此個人資料保護法公布之際，組織當可運用此制度協助因應該法的各項規定與約制，避免發生違法脫管與損害商譽等情事。以往機關因業務需要，未經當事人同意，逕自調查搜集利用個人資料的作法，在個人資料保護法精神下，皆面臨調整，故在機關內部控制與內部稽核，可有以下配套強化作為。

資料來源：《資安人》製表，2011/8

3. 加強記錄管理，當個資檔案處理過程中，若發生爭議，需提出的確已善盡保護資料的證明，以期判免責；是以各資料檔的安全防護措施應事先檢討，就其重要差異性，分群制定不同作法，列入業務例行作業手冊，納入內控活動範圍。員工依規定執行，除留下執行記錄，更要建立留存保管作法，才能在日後提出證明。

4. 在串聯與整併之各資訊系統間，其資料檔安全管理之權限控管、加解密等處理規定，是否有執行窒礙之處，調整出適合部門職掌與人員職權的權限控管機制，以明確管理個人資料者的權責。

第二、內部稽核：

1. 機關進行稽核作業，不宜僅以部分業務或部門為範圍，易使稽核結果未能完整反應整個組織內的問題，故稽核範圍應涵括組織內的全部活動與人員。

2. 為使稽核能達到全面控管監督之實，稽核工作應整合相關部門的內稽工作，聯合稽查，避免各業務各自稽核其職掌部分，產生偏差與漏失。

3. 機關若能設立內稽專責部門，配賦專責人力，更能充分保障獨立行使稽核職權，有效發揮稽核應有的功能。

4. 過往稽核重點多為資訊系統，增加強化資料檔稽核作業，如今的內部稽核作業時，依機關內部個人資料保護規定項目，加強逐一檢視執行記錄。

結論

內稽內控與個人資料保護法之間，牽連甚為密切，從政府近年來大力推動資訊安全管理制度，強化內外部稽核的建立，到去年(2010)通過個人資料保護法及至今年(2011)上半年要求各機關重新審視內稽內控作為，足證政府因應時代的趨勢，尊重人權，強化內部控制，各機關須加快腳步跟進，規劃作為，防杜錯誤與舞弊等不法情事發生，確保機關營運效果。

（本文作者現任職行政院資訊室主任。如您對本文有任何感想，歡迎來信交流：isnews@newera.messefrankfurt.com）