管理制度三合一 資策會資安所導入PIMS整合ISMS與ITIL

前言

總經理召開管理會議：個資法上路已經有一段時間，上次各位提到要觀摩業界如何符合個人資料法的規定，不知目前進度如何？
法務室：經我們研究個資法的精神後，覺得個資法所提到的「適當安全維護措施」，應該都是跟資訊室有關，所以想請他們主責來規劃管理措施。
資訊室：個資法中有些法律條文，其實資訊室都不是非常瞭解，再加上公司已有ISO管理部，是否要從長計議，討論各部室負責的範圍？
總經理：…還要從長計議？

個資法上路實施以來，不時可見媒體新聞報導出現「…卡在個資法，社會愛心無法送出..」或是「…某機關恐成為個資法起訴案件第一樁..」，成為社會媒體焦點後，案件亦會被關注討論，機關或組織在不樂見自己成為負面新聞的焦點，紛紛尋求個資法解決之道。

資策會資安所在去(2012)年開始規劃導入個資管理制度，經歷逾半年之建置、試行及運作後，成功整合資訊安全(ISO 27001)、服務管理(ISO 20000)及個資管理(BS 10012) 3種管理制度，期間經歷一些困難與問題，在克服相關挑戰及種種歷程後，累積相當經驗與方法論，希望可以提供給其他組織在管理制度整合上之參考。

挑戰與衝擊
資安所首要討論是如何符合個資法的議題，符合法令便需要導入相關個資管理制度，於是在檢視內部符合程度的同時，也考量並整合現有資訊安全與服務管理制度，以持續提升管理效益。因此如何進行組織內部跨中心與小組間協同資訊作業，便是整合起步之一大挑戰；再者是個資法給予個資管理者不同的思考空間，個資在定義與管理上，個資管理者皆有其現行的管理思維與作法，如何將所有管理機制調整為標準化流程，實困難重重，以下資安所舉出數項需要先思考之方向，謀定而後能動之。

一、 範圍認定的議題
整合管理制度首先會面臨的問題是原有管理制度與個資管理範圍不同的議題。一般在盤點內部資產時，會先考量對業務持續或衝擊性高低來決定資產是否需要列表。在個資法實施後，之前未曾被盤點出的個人資料檔案，則必須考量組織所有業務流程，再全面性盤點一次。

二、 不同管理制度與法規之要求
不同管理制度之相同點皆在要求有P(Plan)、D(Do)、C(Check)、A(Act)管理循環，意謂著管理制度需要定期檢視，且所有管理流程要持續維運與改善。舉例來說，資安所已存在資訊安全政策，再加上服務管理政策，若再導入個資管理，便有3份政策與相關管理程序等需要同仁遵循；同時，尚需考量個資法的法規要求，才能通過相關驗證。

三、 風險管理方法論之合併
資訊安全管理標準有風險管理之要求規範，個資法與個資管理標準皆要求進行風險評鑑或風險管理，而且因為風險管理之執行有其固定頻率，因此從風險評鑑之方法論，甚至風險評鑑工具的使用及執行方式，皆需要在導入新的管理制度前先行討論。


不同管理制度整合之4大重點
資策會資安所從導入個資管理、整合流程，經過試行到驗證通過，前後約有半年之久。但更多前置時間是在於討論與規劃相關之切入重點，簡單者，如溝通「個資」之定義或是個資管理範圍的認定，到複雜點舉例如個資管理者的認定及各項工作執行面的規劃，皆需要完整之規劃。

重點一、 管理階層承諾與權責定義
前言小故事提到的情節，多少會巧合地存在組織內部的職場情境內；即使個資管理組織已形成，在細項執行面上仍在許多歸責空間。成立個資管理組織應為推動個資管理制度首要任務，而形成可以實際運作的管理組織，則需要高階管理階層的承諾與支持，管理階層之承諾可以透過一些形式以具體呈現。
資安所相關作法摘要如下：

1. 確認不同管理目標整合之方向，於現行管理組織與權責，再加上新增之管理責任。
2. 透過每月之定期會議，針對管理制度持續改善之議題，提案討論，並取得相關共識。
3. 藉由定期產出之統計與產出報告(包括資訊安全事故、服務管理績效指標及可能之潛在事件，分析相關趨勢與資訊策略方向。

重點二、 界定管理制度與法規適用之範圍
管理制度欲通過ISO驗證之前，會先選定導入範圍，常見之範圍選定常是以資訊或機房單位為驗證範圍。而個資法因為屬於法規，所以沒有任何業務流程可以不遵循相關法令規章。在建立其他管理制度時，個人資料也許不是盤點重點，甚至不列為公司之重要資訊資產，因此組織業務與管理範圍，為組織整合前首先必須釐清與定義之要務。
資安所相關作法摘要如下：

1. 檢視服務管理流程之服務目錄、資訊安全管理之資產，再由業務流程確認與新增個人資料檔案，以確認重要資產，包含個人資料皆在清單或盤點表內。
2. 更新與準備符合個資法之盤點表，為確保個人資料流程蒐集、處理及利用等生命週期盡數涵蓋，設計完整盤點之欄位，包含保有依據、個人資料之類別及特定目的等皆為重點欄位。
3. 內部獨立性查核檢視疏漏之個人資料檔案。組織因應新增之個人資料管理制度，最容易被忽略的部分是不被視為個人資料的個資，或是久未處理及利用的個人資料檔案。規劃定期稽核，或是交叉比對查核的方式，可以加強管理制度範圍內之資產、個人資料盤點之完整與正確性。

重點三、 風險評估及管理機制
個人資料保護法施行細則提到安全維護措施應有風險評估及管理機制、BS 10012個資標準要求建置風險評鑑流程，再加上資訊安全原已定期執行之風險評鑑，若不進行整合，則會發現啟動風險評鑑的頻率可能會超乎使用者預期。
資安所相關作法摘要如下：

1. 資產價值之評估分數加上個人資料重要性評估。之前在資訊安全的風險評估時亦有考量到適法性，現今因為個資法的關係，建議加上個資重要性。個資重要性可以從個資類別、個資數量、個資欄位數及與組織業務之影響度來評估重要性之高低。
2. 新增與個資相關的脆弱與威脅因素。除原有之資訊相關脆弱與威脅點，應新增跟個人資料相關之脆弱與威脅點?範例之脆弱與威脅點包含是否於合約中訂定組織之應監督事項與委外應負之個資管理權責？是否有逾越特定目的？或者當事人行使其權利時，組織無法於法令限定期間內回覆之可能性？
3. 整合風險處理計畫。完成風險評估後，針對不可接受之風險計畫，規劃整合性之風險處理計畫，例如：備份紀錄的保存期間，因應依法蒐集之個資與損害賠償權，需要重新規劃軌跡紀錄等留存期間與管理方式。
4. 搭配風險評估工具的使用。隨著組織導入管理制度範圍擴大或因為個資法風險評估之要求，應包含所有個人資料檔案，需要評估的項目將迥異於原有之管理制度範圍。建議組織可以使用風險評估工具或工作表，運用內建之價值評估定義與脆弱威脅之資料庫，達到自動化風險管理工具之運用。

重點四、 實作整合與管理制度內化
管理流程要成功絕非一蹴可幾之事，除要長時間觀測所推動之管理制度是否真正可行與有效外，也可能因為管理人員未實質進行監督之責，而淪為形式作業。因此在持續推動改善計畫外，亦應已訂定之績效指標，進行調整與修訂作業，以確認管理循環的運行。
資安所相關作法摘要如下：

1. 管理與推動組織實質運作。明確與清楚定義相關管理組織人員之權責，常見有組織因為組織業務複雜，會以輪流方式推動。建議有專責之推動專責組織，易於累積相關推動經驗。
2. 持續教育訓練。教育訓練與認知是潛移默化的長期累積結果，除一般認知宣導外，個資法施行細則也要求為使個資專責人員具有辦理安全維護事項之能力，則應辦理或使專人接受相關專業之教育訓練。訂定年度訓練計畫前，宜先評估人員接受不同歷程教育訓練之成果與有效性評量後，再規劃不同教育訓練計畫。
3. 建立文件管理平台或知識管理制度。整合後之文件數量雖然有精簡趨勢，但對應之紀錄表單會相對性複雜。藉由文件管理平台或知識管理制度之建立，可讓所有範圍內使用者有標準文件可以依循，同時可以依管理流程規範表單之處理與歸檔作業。
4. 內部稽核與外部驗證的準備與因應。管理制度建置與整合完成後，需要有具豐富與專業經驗的稽核人員進行管理制度符合之確認。若組織不及培訓相關稽核人員，可以藉由聘請專業顧問或稽核人員協助準備相關檢核表，並觀摩其稽核要點與技巧；外部稽核時，因為稽核範圍同時包含個資管理、資訊安全、服務管理及個資法的要求，建議組織亦可以透過管理制度的訓練，或準備問與答，協助內部同仁更加瞭解相關管理重點。

以上所述之整合重點，純粹從管理角度出發，概述管理制度整合時之相關作法。除上述管理重點外，尚有技術機制亦應於整合時一併檢視整體防護之適切性，包含個人資料存取管理、加密機制、資料遮蔽、備份管理及事件軌跡之紀錄與保存等。


整合管理制度後之效益
資策會資安所整合個人資料管理(BS 10012)、資訊安全管理(ISO 27001:2005)暨服務管理(ISO 20000)等三個標準為一致性之管理制度後，發現可以達到符合法令要求之整合的流程作業，同時又可避免管理重工與作業困擾。綜整管理系統合併之效益如下：
1. 管理目標整合好實踐。
所有標準制度的策略目標，皆以整體組織為基礎進而整合實踐。經由管理目標的整合與一致性確認後，可減少內部目標與管理流程疊床架屋之虞。
2. 政策、管理程序整合更簡化。
兼顧與整合個人資料管理、資訊安全管理及服務管理的政策與要求的一套管理架構與程序。政策與管理程序整合為一個整體架構後，相關管理程序可以互相參照，簡化管理流程。
3. 共用架構，降低維護成本。
共用管理(含審查及持續改善機制等)之流程與架構，降低執行、維護管理的資源與成本。藉由共通管理會議的召開與審查機制，管理權責的共享與分派，降低可能重疊之人力成本。
4. 流程整合，不重複。
標準流程之一致性，共通性之管理報表及文件與紀錄集中管理。透過標準流程之設計，此次資安所將所有政策文件整合成為1本，既使是細項作業規範也可以整合至只有30份上下。重複性之規範不再贅述於不同文件程序中，也可減少內部表單誤用之可能性。

結論
組織若存在不同的管理制度，整合與否端視各組織之業務特性與需求，管理重點仍在於管理制度是否落實，並內化為實際維運操作面。資安所推動管理制度整合與驗證重要目的，讓所有個資管理者將個人資料視為需要保護與管理之目標。組織除可以找具建置經驗之輔導廠商協助諮詢服務外，法務部在所屬網站之法務部個人資料保護專區，提供個資問與答之案例分析；同時國家資通安全會報技術服務中心網站上亦提供一份個人資料保護參考指引，兩者皆不失為一個可以讓組織或個資管理者有更多討論與參考案例之處。
(本文作者現任職財團法人資訊工業策進會與行政院國家資通安全會報技術服務中心）