個資法上路一個月,以個資法因應為主題的活動在這個月當中如火如荼地展開。然而多數人所關注談論的是電子資料的個資保護,如防制資料外洩、加密等解決方案,卻忽略紙本資料或報廢儲存媒體的控管,甚至在個資法施行細則當中對於紙本資料的管理也較少著墨。的確,現今企業大部份的個資都是存在資料庫系統,或以電子檔案型式儲存,電子資訊容易被傳送,也因此企業會優先建立控管機制。然而對特定型態的產業來說,紙本蒐集來的客戶個資卻是每天、每周不斷地持續新增,例如金融業、電信業的客戶開戶資料。一旦沒有管理機制,這些蒐集來的紙本個資就不斷地成為將來可能的外洩風險,即使它只是成堆成疊地躺在儲藏室。
因此顧問認為流程機制的建立是重要的,不管是紙本資料、報廢硬碟的處理到整個個資生命周期的管理,都應循序建立起處理流程,讓個資保護工作可以真正融入企業的實務作業面,讓員工可以自然做到。然而也有些企業先以法規遵循的角度,以滿足法規要求為目的來展開相關工作。這樣一來在準備因應的深度與落實上也就會產生差別。
法規上路後,現在有各方個資保護專家以不同的角度詮釋如何因應個資法,不管是管理制度、法規制度的建立,或資安系統設備的導入等,企業應先回到基本面來思考自己的最大問題為何。
本期雜誌有篇地方政府資訊人員分享推動資安工作的心得,他們練就一身扎實的基本功,把資安設備蒐集來的log好好做深入分析,從中獲得資安管理上的重要資訊,用以改善機關內的使用環境。其實,許多時候企業不需做太多重複性的投資,只要好好鑽研現有工具,也許就可以提升設備的ROI並發揮到極限。在不景氣的時候,用較少做較多,正是大家可以學習的目標。