上個月我們舉辦了兩場資安主管交流分享會。當然,大家的話題焦點圍繞著個資法。某大集團的CIO分享他們(在顧問協助下,但顧問只能協助到一定程度後)自行摸索建立出個資管理GRC模型的歷程。在他的分享中,我才知道這部個資法對此類多角化經營的集團來說,要符合法規、符合「特定目的」,並不容易。他們耗時半年以上,還讓一組專案團隊人馬重新洗牌,才建立起這樣的一個模型。有了這個模型,他們才能夠在個資法未來上路後,回答這個問題:「一份含有個資的XX文件究竟能不能給出去」。企業實務運作的複雜度恐怕不是當初法案立法者可以想像。
除了建置管理模型,他們在之前也已將底層IT基礎建設重新打造過。之所以能夠得到這麼多資源,只因為集團總裁一句話「不要讓我們上報」。在老闆的支持下,個資專案才有辦法由上而下地推動執行。話題到此,大家開始討論起如何跟老闆溝通、提案,尤其個資法將來是會直接罰到企業代表人,但實際上許多老闆們仍然不為所動。有與會者分享對老板提案的經驗:「成本、效益、風險」。也就是投入某專案,需要花費X,可以得到Y效益,如果不做,將導致Z風險。採用風險的角度詮釋資安,是一個大家相當推崇的方式。此外,舉出個資外洩新聞事件,尤其是主管機關裁罰的案件,也相當有效。
然而,如果還是遇到真的一切不在乎的企業主,這時各位資安人,則必須採取明哲保身的策略。將所有呈報給老板的報告、簽呈文件都留下一份記錄。未來萬一不幸發生訴訟事件,可以作為自我保護的防火牆。
我們將在7/26舉辦個資保護1.2.3實務論壇,希望大家能帶著疑難雜症,與專家、現場更多資安人交流彼此心得。