觀點

內稽內控整併個資保護 用管理填補外洩缺口

2011 / 10 / 05
趙培因
內稽內控整併個資保護 用管理填補外洩缺口

如何妥善管理個人資料的合理使用、防止資料外洩,乃機關當前要面對處理的重要議題;當投入大量經費採購資安工具、建立防火牆、入侵偵測、弱點掃描等防禦外部入侵措施,就真能高枕無憂嗎?根據CSI(Computer Security Institute)的調查顯示,機密資料外洩,70%是由內部合法使用者造成。例如:某醫生將印有病患資料紙張,利用其背面空白處當便條紙使用,致洩露病患個人隱私。另某機關離職人員受僱回原任職單位協助工作進行,由於該員在原本的服務期間,處理業務所用的密碼未予變更,致使該員利用已知密碼從事違法工作。前述這些違反個人資料保護法的事件,皆非一般工具或技術可以防阻,是機關內部管理問題,故個人資料保護法實施在即,內部控制與內部稽核益發突顯其重要性。

 

個資保護規範如何與內稽內控制度整併?

內部控制是一種管理過程,由控制環境、風險評估、控制活動、資訊與溝通、監督五個相互關聯的要素組成,是機關防弊興利的重要保障,簡述如下:

1.控制環境:係指塑造組織文化,影響組織成員控制意識的綜合因素。它提供紀律與架構,是內部控制的基礎。

2.風險評估:風險係指企業目標不能達成的可能性,風險評估則是企業辨識和分析風險的過程。評估風險的先決條件,是訂定目標。風險評估的結果,可能協助組織即時設計、修正及執行必要的作業。

3.控制活動:係確保管理階層的指令會被執行的政策和程序,包括核准、授權、驗證、調節、核對記錄、複核營業績效、保障資產安全、職務分工,它們協助組織確保影響組織目標不能達成的風險,都已採行必要的行動。

4.資訊與溝通:資訊係指資訊系統的辨認、衡量、處理及報導的標的,包括財務及非財務的資訊。溝通則是將資訊告知相關人員。組織必須辨識、取得適切的資訊,並加以溝通,以使員工能夠履行其責任。

5.監督:係指自行檢查內部控制制度品質的過程。監督可分持續性監督及個別監督,前者是指營運過程中的例行監督,後者則是由內部稽核人員或其他人員進行評估。

內部稽核是確認內部控制是否有效執行的重要措施,屬於前述五要素中的監督,內部稽核人員的職責,在於檢查、評估內部控制制度的缺失,並適時提供改進建議,以確保內部控制制度得以持續有效實施。

在內部控制設計健全、內部稽核貫徹執行下,除可確保組織營運成效,並可明確檢視出組織是否遵循相關法令,值此個人資料保護法公布之際,組織當可運用此制度協助因應該法的各項規定與約制,避免發生違法脫管與損害商譽等情事。以往機關因業務需要,未經當事人同意,逕自調查搜集利用個人資料的作法,在個人資料保護法精神下,皆面臨調整,故在機關內部控制與內部稽核,可有以下配套強化作為。

 

第一、內部控制:

    

     1.塑組織文化,加強員工對個人資料保護的重視,宣導個人資料保護法意涵,內化員工保護個人資料的認同與資安防護觀念,強調員工自主管理資料的權責,提升高層主管的關注,並由高層主管邀集機關各部門人員共同建立機關內部個人資料保護及獎懲規定,以降低個資外洩風險。

   

     2.針對機關整體內外部環境及業務流程,全盤清理,找出機關內的個資檔案,就該檔案的搜集、利用、公佈、銷燬及權限控管等流程及內容重新討論,並檢視其留存必要性與合法性,對確切需要保留的檔案,評估風險,鑑別出重要風險所在,重新分配預算資源,在合於成本效益與能承受風險能力間,找出最適因應措施,對重要高風險處,給予較多資源及防護機制。後續需定期調查個資檔案增減狀況,重新辦理風險評估。(圖1)

 

資料來源:《資安人》製表,2011/8

 

3. 加強記錄管理,當個資檔案處理過程中,若發生爭議,需提出的確已善盡保護資料的證明,以期判免責;是以各資料檔的安全防護措施應事先檢討,就其重要差異性,分群制定不同作法,列入業務例行作業手冊,納入內控活動範圍。員工依規定執行,除留下執行記錄,更要建立留存保管作法,才能在日後提出證明。

  

4. 在串聯與整併之各資訊系統間,其資料檔安全管理之權限控管、加解密等處理規定,是否有執行窒礙之處,調整出適合部門職掌與人員職權的權限控管機制,以明確管理個人資料者的權責。

 

 

第二、內部稽核:

 

1. 機關進行稽核作業,不宜僅以部分業務或部門為範圍,易使稽核結果未能完整反應整個組織內的問題,故稽核範圍應涵括組織內的全部活動與人員。

 

2. 為使稽核能達到全面控管監督之實,稽核工作應整合相關部門的內稽工作,聯合稽查,避免各業務各自稽核其職掌部分,產生偏差與漏失。

 

3. 機關若能設立內稽專責部門,配賦專責人力,更能充分保障獨立行使稽核職權,有效發揮稽核應有的功能。

 

4. 過往稽核重點多為資訊系統,增加強化資料檔稽核作業,如今的內部稽核作業時,依機關內部個人資料保護規定項目,加強逐一檢視執行記錄。

 

 

結論

 

內稽內控與個人資料保護法之間,牽連甚為密切,從政府近年來大力推動資訊安全管理制度,強化內外部稽核的建立,到去年(2010)通過個人資料保護法及至今年(2011)上半年要求各機關重新審視內稽內控作為,足證政府因應時代的趨勢,尊重人權,強化內部控制,各機關須加快腳步跟進,規劃作為,防杜錯誤與舞弊等不法情事發生,確保機關營運效果。

 

 

(本文作者現任職行政院資訊室主任。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com