個資新法上路，企業如何作好個資保護工作? 第一步應從建立 ISMS 開始，過往那些以資訊部為導入 / 驗證 ISMS 範圍的企業，如今則須將範圍擴大到使用單位，而使用單位的配合，與高層主管態度有關，本期《 資安人 》整理出與老闆溝通的五大話術，告訴資訊人員如何讓老闆點頭做資安。
文章：
應用 ISMS 精神 落實個資風險管控
使用單位參與 才能做好個資保護
以資訊風險管理為基礎 規劃個資新法因應策略

個資外洩最大風險來自於人，企業如何應用 ISMS 精神，落實個人資料風險管理，降低個資外洩風險?
新版個資法通過，對安全產業發展有著重大影響，企業資訊安全開始要「玩真的」，過往「虛應故事」的心態如今再也行不通，因為資訊安全沒做好、個資管控不夠嚴謹，個人資料外洩風險也將隨之增加，倘若真的發生個資外洩事件，企業要面對的不只是民事賠償還有刑事責任，在罰則加重的情況下，企業再也不能用敷衍心態看待資安，而是要認真思考如何做好資安防護的工作。

在《 資安人 》69 期「18 位資安主管的個資法因應策略」中，多數企業表示會將個資法規範納入至現有 ISMS 架構下，亦即將既有資訊安全政策與個人資料保護相關管理政策，整合成一套管理制度，以便使用單位遵循，這對認真導入 ISO 27001 驗證的企業來說，在既有 ISMS 架構下納入個資管控制度並不是問題，但對之前抱持著敷衍心態的企業來說卻是困難重重。

在探討企業如何應用 ISMS 精神，落實個人資料風險管控之前，必須先來瞭解台灣為什麼會有 ISO 27001 認證假象? 為什麼會有企業抱持著敷衍心態去申請 ISO 27001 驗證?

個資外洩最大風險來自於人，企業如何應用 ISMS 精神，落實個人資料風險管理，降低個資外洩風險?
全球有 6,000 多張 ISO 27001 證書，台灣共有 373 張，占全球排名的第四名，僅次於日本、印度與英國，其中多數為政府單位、醫療業、資訊服務廠商及金融保險業，這樣的數字乍看之下很漂亮，但若進一步檢視證書的驗證範圍，就會發現其中吊詭之處，這些驗證範圍大多集中在機房、資訊部、甚至是不重要的子系統，全公司或全流程通過驗證的企業少之又少，換句話說，台灣的 ISO 27001 證書只是數量多而已，並沒有太大的意義。

從主計處發佈的 2010 政府資安現狀調查，便可瞭解 ISMS 在政府機構的導入與驗證現況，先就導入 ISMS 作業來看，目前已經導入 ISMS 的機構占 61.9%，其中以全機構範圍導入者為 7.8%，部分範圍為 54.1%，尚有 38.1 % 未導入。進一步分析部分範圍導入的機構，其導入範圍（複選）以電腦機房比例最高，占 79.7%，其次為資訊部門的 55.9%、部分資訊系統則有 44.9%。至於 ISMS 驗證部份，現有 50.9% 的機構通過 ISMS 驗證，其中以全機構為驗證範圍者占 2.3%，部分範圍 48.6%。進一步分析部分範圍驗證的機構，其驗證範圍（複選）仍以電腦機房為主，占 74.5%，其次為資訊部門占 50.9%、部分資訊系統占 42.5%。

其實，這種小範圍進行驗證的 ISMS 假象，乃是有其歷史因素，行政院在 2001 年成立國家資通安全會報，並規定政府 A、B 級單位必須在 2008 年以前取得 ISO 27001 國際認證，這項規定讓許多政府機構不得不導入 ISO 27001 認證，但這是為了順應主管機關要求而非實際有需求，導入者以取得證書為目的，希望導入過程不要對日常營運造成太大衝擊，關心的是怎麼做才能快速取得認證? 於是，以機房、資訊中心、機關網站作為認證範圍，成為這些導入者有致一同的做法，也造成資安認證政策推動上的漏洞。