觀點

因應個資法 立法院從建立管理制度開始

2012 / 03 / 19
廖珮君
因應個資法  立法院從建立管理制度開始

企業因應新版個資法規範的方式有很多,端視自身個資風險及資源而定,立法院在2010年便決定導入BS 10012制度,做為因應個資法的起點。其做法為先根據母法制定個資管理要點,由管理要點發展管理程序書,在此可納入施行細則的規範,如:委外廠商的監督事項,再根據程序書設計需要的表單,如:個資檔案清冊、個資檔案風險評鑑工作底稿等,目前立法院共有10幾份表單,其中,資安事件通報單與繳正預防作法單,與ISMS共用。

 

立法院資訊處副處長秦劍雲指出,對於已經導入ISO 27001的企業來說,若要以BS 10012規範建立個資管理制度(PIMS),最好要將兩者相互整併,縮減稽核時間與成本,不過前提是兩者的導入範圍必需一致,如此一來,包括管理組織(如管審會)、表單、稽核、風險評鑑等,都能整併在一起。

 

然而,台灣導入ISO 27001的企業不少,但驗證範圍大多以資訊部門或機房為主,但個資的蒐集、處理、利用、或銷毀卻是涵蓋企業或組織全體,PIMS應以為全公司或組織為範圍,因此,立法院資訊處高級分析師梁雯璍建議,在範圍不一致的狀況下,仍然可以將資安技術與管理組織進行整併。

 

但凡BS 10012中所提到有關個資保護的技術與政策,皆應整合ISMS規範。舉例來說,BS 10012中有一條規範是關於儲存與處理,這就可以延用ISO 27001中設備使用授權程序、設備報廢/設備攜出、資訊抹除、資產清冊/擁有者的規範。

 

梁雯璍認為,無論導入哪一種管理制度,只要和資訊安全有關的規範,就應該統一以ISMS為準,至於高層管理單位也可以統一,以立法院為例,目前最高管理單位為資通安全會報,其下除了既有的資安稽核小組、資安管理小組外,再另外設置個人資料管理小組,負責個資保護相關事宜。目前立法院還沒有取得BS 10012驗證的計畫,希望等同仁都熟悉PIMS制度運作後再來規劃,未來則希望藉由PIMS擴大ISMS驗證範圍至全院,讓資訊安全如同個資保護般融入同仁日常作業中。