觀點

化繁為簡 ISMS整合個資保護

2011 / 10 / 06
廖珮君
化繁為簡  ISMS整合個資保護

新版個資法施行細則草案預計7月公布,隨著上路時程愈來愈近,個資法再度成為企業資安的熱門議題,過去一年來,許多資安廠商紛紛以個資法作為宣傳口號,訴求自家的資安設備足以因應個資法要求,但是,個資法的規範很多都與管理或流程面有關,企業花點錢買套設備真的能符合法規要求嗎?

 

其實,企業不需要急著採購資安設備,等到目的事業主管機關訂出個人資料管理辦法後,再來思考自身該做哪些資安投資也還不遲,動作太快恐怕有「不符合法令規範」的風險,現階段最恰當的作法就是搭配國際標準建立管理制度,尤其在政府機關裡,很多單位皆已取得ISO 27001認證,這是推動個資保護工作的良好基礎,將個資保護融入現行資訊安全管理系統(ISMS)中,不僅避免管理制度上的多頭馬車,還能藉由PDCA循環強化個資保護工作。

 

 

第一步、擴大ISMS認證或實作範圍

 

將個資保護整併至ISMS的第一步,就是檢視現行ISMS認證或實作範圍,確認其是否涵蓋組織內的個資相關流程。KPMG資訊科技諮詢服務部協理謝昀澤指出,目前ISMS導入範圍多以資訊部門為主,但個資相關的作業或流程與很多部門有關,像是業務部、人資部、客服部、行銷部等,因此,整併第一步就是進行業務流程普查,將握有個資的部門或相關作業流程納入ISMS範圍內。

 

然而,對於大型企業或金控集團來說,直接普查業務流程的做法非常耗時費力,與其如此,不如先找出各個子公司或事業處的個資熱點,再往下進行業務普查,是比較有效率的做法,尤其金控集團子公司數量多、行業種類也多,又有客戶資料交叉應用的問題,無法從單一公司的角度看個資,必須從控股公司的觀點來思考,先找出各個子公司的個資熱點,再從業務流程進行普查。

 

至於何謂個資熱點,可以從個資的成份和數量來定義,數量是指擁有個資的筆數,成份則由個資內容而定,如果是個資法定義的特種個資(醫療、基因、性生活、健康檢查、犯罪前科)、財務、交易資料等,就屬於個資成份高,若是一般自然人的資料,如:姓名、身份證字號、地址等,則為個資成分低,個資的成份愈高、數量愈多,就可以歸納為個資熱點。

 

德欣寰宇科技業務部協理洪文亮認為,個資法是一個擴大ISMS認證或實作的好機會,透過法規遵循的壓力,讓ISMS在企業內部橫向展開,就算沒有取得認證,就算不想取得驗證,至少也要完成導入作業,讓企業各部門都能依循著相同作業流程。

 

 

第二步、個資流程與項目盤點

 

確立範圍後,接下來就是盤點手中現有的個資,惟有清楚掌握保護標的,才能規劃恰當的安全控制措施。個資清點並沒有標準流程,市場上有許多不同的作法,洪文亮認為個資清點可以分成紙本與電子兩種形式,針對紙本文件的部份,要求各部門提供部門內所使用含有人名的表格或文件,至於電子資料的盤點,則是主機與端點雙管齊下,一方面檢視主機端的使用記錄,另一方面則透過稽核技巧來查驗端點電腦內是否含有個資文件。

 

行政院研考會資管處主任吳啟文則提出4W1H的建議,組織應先找出會涉及個資的作業流程或服務,再進一步分析個資項目的細節,也就是4W1HWhat(個資盤點)、Where(個資來源)、Why(使用目的)、Who(利害關係人)、How(個資流程),藉此找出個資項目與欄位類型。

 

BSI副總經理蒲樹盛強調,ISMS資訊資產盤點與個資盤點的差異。ISMS在鑑別資訊資產時,乃是從業務流程開始,把所有可能的風險納進來,這是從水平面去解構風險,但個資盤點必須要從垂直面來解構,先鑑別個資類型(如:員工資料、客戶資料),再列出每一個個資項目的作業流程。他還建議企業設計一份「個資作業流程表」,其中,XY軸分別代表部門類別、個資種類,依照實際作業狀況,將蒐集、處理、使用、傳輸等作業流程填入部XY軸交會的空格內,之後再往下展開列出可能會用到的文件、表單或檔案。

 

 

第三步、補強資安控制措施

 

確立個人資產範圍後,接下來就是在ISMS的風險評鑑威脅與弱點等項目中加入個資風險評鑑,並據此規劃或補強資安控制措施。謝昀澤表示,ISMS偏重在個資的處理,並不重視資料從何而來或流向何處,而個資法規範的範圍涵蓋個資的蒐集、處理和利用,因此,企業必須將資安管理的深度擴大到蒐集及利用上,以免公司內部並存兩套不同制度,容易形成管理上多頭馬車的問題。

 

ISMS與個資保護整併後,後台管理安全由ISMS負責,前台呈現則是個資維護計劃的範圍,簡單來說,看不見的資料就由資安來負責,看得見的資料(如:電子或紙本表單、作業表單、客戶傳真的授權申請書)則由個資來負責。個資法的精神在於個人資料最小揭露、最大遮隱,站在維護個資安全的角度,就得考量資料呈現方式、哪些欄位要做遮隱、及使用者權限等問題,舉例來說,以前客服人員可能看得到客戶全部資料,如今則變成只能看到必要資料,非必要資料就得做遮隱。

 

 

第四步、擴大稽核範圍

 

在現行ISMS制度下納入個資保護的最後一道程序,就是擴大資安稽核的範圍。這與前述所提擴大ISMS認證或實作範圍的意義一樣,個資稽核範圍必須到實際在使用個資的單位。以教育單位為例,資安稽核範圍可能只有計資中心,個資稽核則不只於此,必須涵蓋輔導室、衛保組(保健室)、學籍組、課務組、及人事室。

 

謝昀澤指出,除了稽核範圍擴大之外,稽核項目也有所不同,必須涵蓋個資的來源、流向及銷毀方式,至於查驗標準則有:個資法、ISO 29100BS10012TPIPAS等,這通常會隨著法律規範及國際標準而調整。以電話行銷流程為例,在進行個資稽核的重點包括,行銷資料的來源、搜集方式、有無取得個資當事人的同意、當行銷活動結束或當事人完成交易後的資料處理方式等,一般來說,個人資料的搜集與利用,比較沒有資安上的問題,比較多的是適法性問題。

 

企業因應個資法的方式有很多,無論選擇哪一種,建立良好的管理制度是最基本要件,將個資保護工作融入ISMS中,讓企業資安管理有一套共同標準,不僅簡化文件或表單作業,也能避免多頭馬車管理所造成的問題。