全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
個資法上路,企業要做好11項安全維護措施
文/iThome (記者) 2012-10-04
個資法從10月1日起正式實施,沒有緩衝期,企業可以參照個資法施行細則規定的11項安全維護措施,立即著手因應個資法

個資法從10月1日開始正式實施,除了規範特種個資不得利用的第6條,以及間接蒐集個資1年內告知的第54條,這兩條暫緩實施,等待修法以外,其餘條文都正式實施。未來不分產業,公家機關或是私人企業,甚至是每一個個人,也不管儲存在紙本或是電子形式的個人資料,都需受到個資法的規範。法務部也在9月26日公告了個資法施行細則,並同步於10月1日實施,沒有緩衝期。

個資法施行細則第12條第2項明定了,企業為保護個資得落實的安全維護措施有11項,這也是企業因應個資法時要做好的11件事,對於尚未著手因應個資法的企業來說,這也是可以優先推動的項目。而其中第一項安全維護措施和先前預告的版本不同,從原本要求企業要成立管理組織,修改為僅需配置專人即可。細則第12條第2項中提到的11項作法分別簡述如下:

措施1:配置管理之人員及相當資源
企業必須指派一位人員出任個資管理代表,也就是專門處理個資相關事項的專員。另外,依據執行時的需要,企業必須提供相關的經費、人力等資源,來協助管理人員實施各項管理程序。

措施2:界定個人資料之範圍
也就是所謂的個資盤點,目的是要找出企業內部所有的個人資料。企業可依據個資的資料流來設計盤點表,讓各部門逐一清查,找出各部門中存放個資的載體,例如可能儲存個資的文件、手冊或系統等。

措施3:個人資料之風險評估及管理機制
企業可進行風險評鑑或是隱私權衝擊分析,從這兩項作業中了解資產的價值、可能遭遇的風險以及有哪些較為敏感的個資。

措施4:事故之預防、通報及應變機制
企業應建立起事故應變的通報程序,也就是發生了事故後,該通知誰,該如何處理,都要有相對應的方法。此外,要從發生的事故中找出對應的預防措施。

措施5:個人資料蒐集、處理及利用之內部管理程序
企業要制定出一套合法的業務流程,對於蒐集、處理及利用這三項有明確的流程規範,並將其制定成程序書,以便員工查閱。

措施6:資料安全管理以及人員管理
企業要將資料分級,並依據不同職位的員工設定存取權限,而存放資料的位置,要採取防護措施,像是資料加密、防火牆、入侵偵測系統等等。

措施7:認知宣導及教育訓練
企業應定期對全體員工舉辦教育訓練,內容包括法令宣導、內部規範宣導等等。而且企業必須要保存這些教育訓練或認知宣導的實施記錄,作為未來證明自己的確有善盡良善管理之責的證明。

措施8:設備安全管理
針對各式各樣的設備,如:USB、隨身硬碟、行動裝置等,要有明確的使用規範,才不會因為使用這些載具而造成個資外洩。

措施9:資料安全稽核機制
企業可聘請專業顧問公司定期稽核個資保護的流程,或是舉辦內部稽核活動,可以從報告中找出缺失或潛在的問題。

措施10:使用紀錄、軌跡資料及證據保存
經由各項程序所產生的任何形式記錄,企業皆需妥善保存,以利日後舉證之用。依個資法的規範,發生個資損害事件後的5年內都可求償,這也意味著企業相關個資記錄至少要保存5年。

措施11:個人資料安全維護之整體持續改善
企業的管理高層應該定期開會,或是有重大事故時召開會議,評估個資保護制度落實的程度,並持續改善。同樣的,這些改善會議或企業個資保護措施的改善作為也都需要記錄。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome