全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
精誠導入BS 10012,為帳單列印服務的個資把關
文/iThome (記者) 2012-08-17
精誠資訊每個月列印全臺3千萬張金融電信帳單,藉由導入個資保護標準,確保個資防護滴水不漏

我們每天收到的各種電信或金融帳單,都有不同的個人資料在上面,如果,負責列印帳單公司發生個資外洩時,受害人數難以估計。精誠資訊資料管理整合服務事業部負責列印多家臺灣金融機構和電信公司帳單,每個月列印帳單超過3,000萬張。

精誠資訊總經理林隆奮表示,該部門負責列印許多金融和電信業的帳單,就是分攤相關行業在個人資料蒐集、處理和利用的「個資處理」環節。因為責任重大,該部門多年前已陸續取得ISO 27001資安認證和BS 25999持續營運管理認證。

精誠資訊資料管理整合服務事業部資訊安全處協理傅念安指出,所有產業別一體適用新版個資法,除了電子資料外,紙本資料也納入規範;一旦違反新版個資法,罰則提高上限2億元,負責人需負擔連帶責任。這都使得企業因應新版個資法時,顯得戒慎恐懼。

在新版個資法公布後,精誠資訊開始找尋因應之道,後來決定導入由英國BSI制定的BS 10012個資保護管理規範,來因應新版個資法。

作法1:高階主管支持是第一要務
傅念安表示,精誠資訊決定導入BS 10012,並不是認為導入該制度就萬無一失,而是透過P(規畫)、D(執行)、C(查核)、A(矯正)循環的個人資料管理制度,將可能衝擊到客戶和員工個人資料的流程都納入控管,並符合新版個資法規範。

要導入各種驗證或標準,由上而下才能達到風行草偃的效果。精誠資訊資料管理整合服務事業部資訊安全處資深技術處長林柑妙表示,導入BS 10012要投入的人力、物力和金錢不在少數,甚至為了落實個資保護,還必須調整許多作業流程。

她說:「若沒有高階主管全力支持,BS 10012個資管理制度的推動,不可能這麼順利。」在公司組織上,傅念安認為,一定要有專人負責,例如,有推動BS 10012個資管理制度相對應的組織出現,都是由上而下的支持表徵。

先前精誠資訊為了取得2張資訊安全及營運持續相關認證,已經設立了相對應的工作小組,面對新導入的個資管理制度,精誠資訊趁機調整該小組成具備個資管理推動功能。

傅念安表示,總公司下設個資保護管理委員會,由「資料管理整合服務事業部副總經理葉振民」擔任召集人,個資保護管理委員會委員來自「各部門主管」,還有各部門「個資保護種子成員」及「個資聯絡窗口」。為了執行個資保護跨部門的溝通、協調,以及召集定期或不定期會議等事宜,便委由「資訊安全處」擔任個資保護管理委員會執行秘書一職。

林柑妙補充表示,身為個資保護管理委員會一員,必須在各部門間協調業務流程,推動者要能夠苦口婆心提醒每個人,讓這樣角色發揮最大功能。

作法2:用教育訓練為員工洗腦,讓個資保護成反射動作
和過去導入其他認證相比,精誠資訊資料管理整合服務事業部技術經理袁錦輝表示,BS 10012以「遵法性」為前提,所有制度最終必須符合新版個資法及施行細則,和目的事業主管機關制定的法定規範等。

以法規遵循為前提,整個制度的規畫和落實,稍有不慎,都有違法之虞,這也是對企業營運最致命的打擊。袁錦輝指出,要將個資保護融入到每個同仁的日常工作流程,必須讓「個資保護」意識,深入每位同仁的潛意識,成為一種本能的反射動作。

所以,精誠召開導入BS 10012個資保護管理制度啟動會議的第二天,就展開第一場提升員工個資保護意識的教育訓練課程。

袁錦輝說,依照受影響程度以及承擔工作內容不同,針對高階主管、個資種子成員以及一般員工等,有不同次數的教育訓練課程。

精誠資訊資料管理整合服務事業部花費11個月,完成相關制度規範與落實。精誠資訊資料管理整合服務事業部電子化服務處諮詢顧問王泓文表示,這11個月裡,先後共舉辦33場教育訓練課程,對象以該部門全體130多名員工為主,也納入內湖總公司同仁。

但他說,該部門列印的帳單最終以紙本形式呈現,負責該部門清潔、運送、維修等委外廠商,都納入個資保護教育訓練範圍內,相關同仁必須簽署保密協定,確保提供委外服務的人員,同樣意識到個資保護的重要性。

作法3:先從完成4階段文件著手
袁錦輝說,導入一套標準時,依照公司部門營運的策略目標,透過成立個人資料管理組織,做好相關風險評估與安全控管,這一切都必須有憑有據。

他認為:「剛開始導入BS 10012所需的專案規畫及文件,必須列為剛開始就必須完成的重要事項。」也就是說,從規畫、執行、監督查核到矯正每一個階段所需的各種資料,必須一開始就做好文件化的工作。

王泓文表示,落實4階文件就是就好的導入起點。所謂的4階文件是每一個階段按照不同目的,所製作不同詳細程度的文件。

1階文件從願景目標而來,通常是定義範圍、目標及定義測量標準,往往都是提綱挈領的大原則或政策聲明等;2階文件是一般常說的「標準」,制定可以遵行的規範原則;3階文件屬於「細則」或「程序」,規範比標準詳細且可執行,可據此落實相關標準。至於4階文件,「簡單的說,就是可直接使用的表單工具。」他說。



1 / 2 / 3 / 下一頁
研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome