觀點

做好個資保護 不能只是表面功夫

2012 / 11 / 21
魯智深
做好個資保護  不能只是表面功夫

又一位資安界的老兵退出了這個戰場,放下了原本光鮮亮麗的金融業資安主管,回到老家去當一位自然農法的農夫,可以做自己喜歡的事,其實也是一件值得高興的事。老朋友從各地趕來參加餞行宴,最關心的就是什麼原因讓他下定決心,做了這樣的決定。

 

不知是酒後吐真言,還是這段期間壓力太大了,只見當事人語重心長的說道,「其實我一直認為會待在這間公司直到退休,平常壓力大的時候,抽空回到老家接觸一下大自然,順便摘些新鮮的菜運動一下,也就好了。只是沒想到前陣子主管機關來檢查,把我們評比到水準以下,我們主管像得了失心瘋一樣,只要看到廠商來,就問他們知不知道主管機關評比的標準是什麼,他們接下來要檢查哪些項目,結果有一家廠商說可以主導主管機關查核結果,然後就變成優良廠商。」

 

「話說回來,我們主管一直覺得自己做得很好,卻沒有認真在做。個資法通過後,我們和他講這個法案很重要,他也置之不理,認為等法案確定了再說都還來得及,結果現在也沒有積極因應。別的不說,光是資訊處同仁就有好幾個握著最高權限,做什麼事都不知道,還有個資盤點也是,找程式設計部的同仁去撈資料庫中有個資的欄位,撈到一大堆後又什麼也沒做,至於紙本資料管控就更別提了,他認為只要把以前的作業要點加上紙本兩個字就行了。像他這種做法,查核成績自然好不到哪裡去,偏偏他又不是真的下決心要改革,只是口號喊得很大聲,說要超過同業標準,結果請他向總經理申請預算時,又在那邊推三阻四。照這樣下去,早晚我會成為代罪羔羊,與其到時候把自己弄得聲名狼藉,還不如趁現在平平安安的下台。」

 

原來,重視客戶權益、遵守法令,都抵不過主管機關的查核缺失,而且還希望有考前衝刺班或是保證班,說穿了就算真的有,如果自己不願意努力,最後還不是應付了事?!這樣又怎麼可能做得好個資保護或資安?再換另外一個角度想,如果主管機關沒有查核?或是高高舉起輕輕落下,完全違背當初立法的初衷,又會是怎樣的狀況?難道一定要出現鉅額的賠償以後,才能真正落實個人資料保護嗎?!