觀點

個資保護怎麼做 遠傳、證交所現身說法

2011 / 10 / 31
廖珮君
個資保護怎麼做  遠傳、證交所現身說法

個資法施行細則草案正式公告,企業再也沒有拖延藉口,必須正視因應新法的重要性,至於該怎麼做,除了按照施行細則草案所列的11項安全維護措施外,日前,在BSI舉辦的年度大會上,遠傳電信與台灣證券交易所也現身說法,分享自家企業因應個資法的作法。

 

遠傳電信產品開發暨服務事業群束宜鵬表示,個資保護應該分成系統、流程與人員三個面向。首先,就系統面來看,應該要涵括安全防護、軌跡留存、與資安認證等功能;至於流程面要做的有,個資盤點、風險評鑑及改善計劃;最後人員面指的是,人員進出管理、簽訂保密協議、個資教育訓練、及委外作業稽核。

 

另外,對於員工使用個資的行為,也要有相對嚴格的管控機制,如果是線上查詢,要做的就是規劃多重安控機制,從身份認證、端點、網路、AP、到資料庫層層把關,並要有稽核機制,確保留下每一筆存取記錄;如果是批次下載,則要做層層簽核,首先提交申請單,載明使用目的、使用個資類別及管理機制,經過主管、安全官、個資保管者三層簽核後才允許下載,同時內部也要定期查核,檢視客戶資料存放目錄的使用狀況。

 

台灣證券交易所電腦規劃部副經理王台傑則指出,在規劃個資保護的因應策略時,主要有三個重點:

n 建立個人資料保護管理制度

可引進BS 10012個人資料管理系統或其他國際標準,企業不一定要取得認 證,但可參

考其規範內容自行建立管理制度;

n 建立資料控管機制

依個人資料生命週期,發展安全防禦機制,目前個資生命週期普遍分成取得與利用(包

含新增、修改、刪除、查詢4種使用狀況)、歸檔與儲存、分享、銷毀四個階段;

n證明保護個人資料的能力

也就是證明個資外洩非企業自身所造成,及企業已善盡善良管理責任,因此,記錄保存

機制變得相對重要。

 

如果將這三個重點展開成實際因應個資法的行動方案,則可分成下列五大階段,共有12項重點工作:

第一、推動規劃:對員工進行教育訓練、成立管理組織、擬訂推動計劃、制訂個資保護政策;

第二、現況瞭解:個資盤點、個人資料風險評鑑;

第三、建立控管程序與機制:新增及調整作業程序、部署合適個資保護/監控/記錄保存工具;

第四、稽核及演練:個資管理制度稽核、個資外洩防護機制演練;

第五、持續運行及改善:持續運行與改善、評估是否要取得個資保護驗證/標章。