新北市政府警察局是台灣第一個通過 ISO 29100:2011 認證的公務機關,然而他們認為導入ISO 29100標準的目的,不是在取得證書,而是藉由ISO流程與管理辦法,讓警局同仁了解什麼是個資,並將個資保護的觀念烙印在腦海中。
個資法上路至今將近2年,在這段時間中,雖然還沒有出現因為個資外洩而受主管機關(或是法律)懲處的案例,但是許多機關組織仍不敢掉以輕心,持續強化組織內個資保護的工作,新北市政府警察局便是其一。
新北市政府警察局於2013年導入ISO 29100:2011個資保護規範,以「刑案監視器影像查詢系統」影像審核管理流程為主要範圍,並於同年10月通過TUV NORD稽核認證,成為台灣第一個通過 ISO 29100:2011 認證的公務機關,有效管理這些含有民眾個資的監錄影像,確保其完整性與安全性。
新北市政府警察局資訊室主任蘇清偉表示,刑案監視器影像查詢系統主要提供轄下4個直屬大隊、16個分局、158個分駐(派出)所使用,以利偵辦各類刑事案件,由於使用規模龐大,因此採分階段方式取得驗證,2013年的驗證範圍以海山分局、刑大、少年隊、婦幼隊為主。
新增稽核程序 確保監錄影像不任意流竄
在ISO 29100導入作業開始前,新北市政府警察局舉辦多場個資教育訓練,先建立內部同仁對於個資法的認知,希望他們在使用各項作業系統時,均能符合個資法規範,另外也要求各科室派出一位個資代表,負責個資盤點作業,最後再由法制室人員協助檢視個資盤點結果,確認手中所保存個資的適法性,並公告在網站上。
蘇清偉認為,這是建構個資管理制度中最困難的過程,個資盤點作業非常繁瑣且耗時,許多同仁因為感到麻煩而出現抗拒心理,可能不願意提供資料或認為自己手中沒有任何含有個人資料的檔案,資訊室只能再三勸說,並請導入顧問協助到各科室再一次說明何謂個資,逐一確認紙本與系統個資文件的操作傳遞流程,並繪製個資處理流程圖,以利後續每年定期個資盤點作業的進行。
除此之外,新北市政府警察局在導入ISO29100:2011認證過程中,還遇到了以下二個困難,第一是因應任務需求,人員異動頻繁,必須靠持續性教育訓練,才能維持同仁對使用「刑案監視器影像查詢系統」的熟悉度;第二則是在使用「刑案監視器影像查詢系統」作業過程中,需調整系統作業流程,確保符合個資法規範。
新北市政府警察局資訊室主任蘇清偉表示,導入ISO 29100標準的目的,不是在取得證書,而是藉由ISO流程與管理辦法,讓警局同仁了解什麼是個資,並將個資保護的觀念烙印在腦海中。 新北市政府警察局資訊室股長林宏成指出,調閱監視器影像幾乎是新北市每位員警每天必做的事情,如今取得ISO 29100認證後,既有監視器影像查詢及調閱程序中,也就多增加一個稽核的動作。
過往民眾報案後,派出所往上遞交案件至分局偵察隊,承辦人員會先確認程序是否合法、案件該由何人來負責,例如:肇事逃逸就要由交通大隊、刑事案件則交給刑大,負責偵辦案件的同仁就進入系統調閱資料。在導入ISO 29100前,同仁可以隨意儲存影像資料,甚至為了辦案方便,直接拿隨身碟或光碟複製影像,如今當影像資料儲存至系統後就不能輕易下載至個人的辦公電腦,負責偵辦案件的同仁如果要調閱甚至複製影像資料,必須向主管提出申請經過同意後才能進行,且系統會留存Log檔記錄同仁的操作行為,同時會讓同仁明白自身必須依照個資法規定妥善保管調閱後的影像,確保資料安全不外洩,並非調閱後就可任意儲存。
組織制度與文件 與ISO 27001整併 現行與個資保護有關的作業標準相當多,新北市政府警察局為何選擇ISO29100:2011?對此,林宏成指出,一來是因為ISO 29100為國際標準,二來則是新北市警察局原先就導入了ISO27001:2005,警局同仁已經習慣ISO標準的作業模式(即PDCA),個資保護若也選擇ISO標準的話,導入速度會比較快,兩個制度也比較容易整併。
林宏成進一步表示,兩個標準可以整併的部份為組織制度與文件。先就制度面來看,整合了既有的資訊安全管理作業程序、資訊系統存取作業、資料庫管理、事件通報及內部稽核等各項制度,並調整原有資安管理審查機制,納入個資管理委員會所需成員,包括各科室的個資代表、法制與政風人員、媒體處理人員及資安小組,使資安及個資管理審查會合而為一。
至於文件部份,檢視ISO 29100所需要的四階文件及表單記錄格式,倘若該文件與資訊安全管理制度具有共通性,則予以整合,至於其他沒有共通性的作業例如:個資蒐集、處理、利用是否符合法律規範,則另外建置文件及程序書,一般來說,第二階以後的手冊、文件多半得重新建置,只有一階文件中的資安政策比較容易整併。
透過ISO流程與管理辦法 建構個資保護氛圍 蘇清偉認為,導入ISO 29100標準的目的,不是在取得證書,而是藉由ISO流程與管理辦法,讓警局同仁了解什麼是個資,並將個資保護的觀念烙印在腦海中,之後無論使用任何系統只要牽涉到民眾個資,都會自然而然地用ISO作業程序來處理。
因此,主導者的態度要軟硬兼施,先說明為何要建立個資保護管理制度的原因,再強調如果不配合同仁自身要擔負的責任與風險,最後則是搭配獎懲制度,督促同仁做好個資保護。蘇清偉進一步指出,由於警察局不同於一般企業組織,對上級長官的服從度很高,因此資訊室利用每週由局長主持的週報,提報各單位在個資管理作業上的缺失,並提醒同仁該如何做好個資保護,此外,資訊室還會利用1個月4次的督導機會,巡迴各個分局檢視個資保護作業上還有哪些需要改進的地方,並提交督導報告,藉此形成一股壓力與氛圍,讓各單位主管積極監督下屬做好個資保護。
導入至今,對新北市警察局最顯著的效益是,提升全體同仁個資保護的觀念與作業安全防護;以前同仁拿來墊便當的回收紙,背面可能就是個資,又或者將個資的公文放在桌子上,如今已不會有這些作為,另外因為重新檢視個資安全防護措施並整併至資安管理制度中,無形中也強化了資安防護。
總結來看,新北市政府警察局導入ISO 29100的過程,第一步是要同仁接受個資保護的觀念,接著建立行政管理程序,第三經由業務督導程序確認同仁在執行公務的過程中有沒有違規或是其他問題,舉例來說,之前資訊室在進行實際稽核時,發現有部份同仁直接將實體公文書放在桌上,稽核人員先確認取得程序是否符合個資法規範,接著再提醒同仁應將資料放在個人公務櫃並上鎖,也因此進一步思索電子公文的保存安全性,最後採購加密軟體,加密存放電子公文,最後透過實際模擬情境演練,假設儲存設備不當遺失、紙本資料外洩...等不同資料外洩的狀況,再一一模擬相對應的處理方式,藉此強化危機處理能力。
新北市警察局局長陳國恩認為,以資訊科技推動警政業務是未來發展趨勢,尤其在偵辦各類案件上,若能善用資訊科技,將可有效提升整體刑案破案率,而隨著對IT的依賴日益加深,加強資安防禦也變得越來越重要,因此未來在個資防護上,將持續宣導個資保護的重要性,避免同仁因處理不當而違反法律規範,另外也將持續擴大驗證範圍,2014年預計將案件量比較大的分局,像是新莊、三重、中和、永和、板橋…等,納入驗證範圍裡,之後則視經費預算,逐步將各個應用系統導入ISO 29100:2011標準規範,持續強化自身所管理之個資保護作業安全。