https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

整併個資/資安/服務3項管理制度 從盤點營運流程開始

2013 / 01 / 14
廖珮君
整併個資/資安/服務3項管理制度  從盤點營運流程開始

個資法上路後,許多企業為了做好法規遵循,選擇導入個資保護相關管理制度,然而每多引進一項制度就會多一份維運工作,如何將個資管理制度與現有制度整併,降低維運成本,成為企業最關心的課題。

 

日前資策會資安所整合ISO 20000ISO 27001BS 10012三種制度,並取得驗證,將這3種制度的管理流程、程序文件、組織、內部稽核制度、風險評鑑方式作整合,降低內部維運管理制度的時間與人力。

 

簡單來說,資安所3種制度的整併可以分為以下兩個大面向:

1、管理制度整合

(1)   檢視管理制度與個資法的符合性;

(2)   合併管理審查會議(審查項目與內容);

(3)   合併重疊的管理制度文件(如:文件記錄與發行管理等)。

(4)   檢視內部稽核與查檢表。

2、資產盤點方法與風險管理方法論的整合。

 

資策會資安所副所長劉培文指出,在整合3種管理制度過程中,首先從盤點業務流程(ISO 20000)開始,並思考每一個業務流程該怎麼做,才能遵循資安(ISO 27001)與個資保護(BS 10012)的規範。

 

舉例來說,資安所負責維運技服中心,而在技服中心通報應變網站中含有個人資料,站在ISO 27001的角度,要考量的就是提供網站運作的IT資產是否符合規範,而ISO 20000看的則是服務水準(即SLA),BS 10012則是從個資保護的角度出發,這3個管理制度雖然考量的不同面向,但彼此必須做整合,否則可能3個不同的人分別處理這3件事,造成人力與時間的資源浪費。