立法院自從個資法三讀通過後,就開始規劃個資保護管理制度,並在資通安全會報下成立個人資料管理小組,由資訊部門負責制度推動與導入相關事宜,目前已進入內部稽核階段。立法院資訊處副處長秦劍雲表示,當初在做個資風險評鑑時,總共分成三個階段:
第一步:先從資料構面評估衝擊值,亦即目前所擁有的個資檔案或文件,倘若外洩可能造成的衝擊有多大,在此沿用ISMS營運衝擊分析的概念,分成以下4個級距:
ü 一般(1分):檔案或文件裡的個資沒有姓名及身份證字號(或護照號碼);
ü 中度(2分):檔案或文件裡的個資有姓名、但沒有身份證字號與特種資料;
ü 高度(3分):檔案或文件裡的個資有姓名與身份證字號、但沒有特種個資;
ü 極高(4分):檔案或文件裡的個資有姓名或身份證字號+特種資料。
第二步:從蒐集、處理、利用、傳輸、刪除/銷毀五個面向,檢視可能有哪些威脅(如:資料外洩),這些威脅可能由哪些弱點引起(如:委外處理),再逐一計算各個弱點對八大風險構面的影響,加總之後乘上衝擊值,即為該筆個資檔案的風險值。八大風險構面分別是組織聲譽、財務影響、非公務機關違反個資之處分、個資蒐集/處理/利用、個資傳輸方式、保存與銷毀、安全控管措施、及個資法訂定之期限,企業如果覺得哪一個風險構面比較重要,可自行設定加權比重,其計算公式如下所列。
立法院個資風險計算公式:
個資風險值 = 個資衝擊值 X (組織聲譽*權重 + 財務影響*權重 + 非公務機關違反個資之處分*權重 + 個資蒐集/處理/利用*權重 + 個資傳輸方式*權重 + 保存與銷毀*權重 + 安全控管措施*權重 + 個資法訂定之保存期限*權重)
|
第三步:計算出每一筆個資檔案的風險值之後,運用80/20法則,將80%的資源用於降低前20%的風險,列出前面20%的風險值(如:42分),並設為基準值,只要風險值大於42分的個資檔案,就得執行風險降低處理措施,由各單位自行思考規劃、資訊部從旁予以協助。
立法院資訊處高級分析師梁雯璍進一步指出,很多使用單位都不知道該怎麼做才能降低風險,其實最簡單的方式就是個資瘦身,也就是清除很久都沒有在使用或是不必要的個人資料:
(1) 立法院全球資訊網的網站會員,以前在註冊時必須填個人資料,如今可以只填代號就好,倘若日後有陳情需求時,再補上姓名與電話;
(2) 總務部門在製作外包廠商服務證時,以前都會要求對方提供身份證影本,以確認當事人身份,如今則改成外包廠商開立在職證明,列出專案成員姓名及任職期間,再經由負責此專案的立法院聯絡窗口簽名確認,就可以發證;
(3) 國會圖書館的會員申請,以前強制要求填寫姓名與聯絡方式,現在已經將電話列成非必要欄位,申請者只要填入姓名、E-mail及帳密就能成為會員。
結論
企業在進行個資風險評鑑時,通常不會有太大問題,頂多只是員工不瞭解風險評估方式,不知道如何計算風險,因此,事前的教育訓練非常重要,最好在教學時可以設計一些模擬考題,讓員工透過實作了解如何計算個資風險。另外,還要克服使用者配合度的問題,曾經有使用單位在計算風險時,發現風險值太高,便改口說個資盤點表填錯了,要求重新盤點,甚至在一開始個資盤點的時候就不配合,堅持自身業務範圍沒有個資,這只能靠主事者不斷溝通,才能順利完成風險評鑑。