全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
彰化銀行個資分級控管,管理程序納入稽核制度
文/iThome (記者) 2012-11-05
彰化銀行從資料生命周期角度分級控管個資,並在個人資料保護管理程序增加稽核制度

個資法於10月1日正式上路之後,金融業無不著手調整作業流程。而彰化銀行為了取得客戶信任,決定以國際標準為目標,重新檢視每個作業流程,並藉此機會進一步取得英國個資保護認證BS10012。

彰化銀行資訊處處長曾芳明指出,彰化銀行在1年多前就開始評估各種個資法因應做法,今年初,總經理拍板定案,鎖定4大會計事務所公開招標,引進外部顧問資源,於8月啟動個人資料管理制度專案,預計1年後取得BS10012認證。

曾芳明指出,彰化銀行旗下將近有300個應用系統,要逐一完成個資盤點再進行調整並不容易。彰化銀行的原則是,以符合國際標準規範BS 10012認證為前提,然後由資訊處往外擴大到業務端,其中,又以含有個資比例高的業務為先。

在這些原則下,彰化銀行優先鎖定資訊處8大科別以及3大業務,包括存款、信用卡以及財富管理業務等。未來是否進一步擴大到其他15個處級單位,目前還在研議。

為了因應個資法,彰化銀行特別成立專責小組,由資訊處處長擔任召集人,之下再擴及資訊處8大科別,比照過去導入ISO 27001認證的經驗。彰化銀行資訊處資訊風險科科長王信介表示,彰化銀行的個人資料管理制度專案,涵蓋5大重要階段,包括個資盤點、流程分析、個資分級控管、制度稽核、持續調整。

彰化銀行的個資盤點,主要依據顧問公司的業務流程框架(BIF),也就是經由業務流程來檢視資料流向、資料分類方式、控管機制以及資料傳遞方式等,過程中,如果遇到跨部門的業務流程,針對個資流向有所爭議時,就需要進行跨部門的溝通,同時並藉此機會將所有的業務流程重新界定清楚。


彰化銀行1年多前開始評估各種個資法因應做法,今年初,總經理拍板定案,鎖定4大會計事務所公開招標,引進外部顧問資源,8月啟動個人資料管理制度專案,彰化銀行資訊處處長曾芳明預估,1年後取得BS10012認證。

從資料生命周期分級控管個資
目前彰化銀行已經完成個資盤點,王信介表示,彰化銀行的作法是以資訊處的應用系統為核心,然後依據資料處理、資訊風險、應用發展、專案規畫、基礎工程、商品支援、資訊技術、電子銀行等8大構面,進行全方位的個資盤點,預計10月底前完成流程分析與相關程式修改,同時擬定出個資分級控管的作法。原則上,彰化銀行將從資料生命周期的角度,擬定出個資保護的權限分級控管做法。

彰化銀行為了落實個資保護,1年前就已經開始著手修改程式,同時並針對隨身碟使用,進行全行控管,預計今年底前還將擴大到光碟機控管,原則上,除非經過部門單位主管核可,否則一律禁止使用隨身碟以及光碟機等移動式儲存裝置,進而避免客戶的個資外洩。

針對電子郵件的個資管控,彰化銀行也計畫從兩方面著手提升個人資料保護,其中除了保留Log記錄,以供訴訟之需提列證據之外,還計畫導入DLP資料遺失防護,進一步針對電子郵件內容進行過濾,彰化銀行將建立個資辨識關聯性的判斷原則,鎖定符合目標條件的電子郵件,進而在郵件寄出去之前就能擋下。

此外,彰化銀行也把個資納入標準作業程序中,例如:針對新開戶,制定新的開戶約定書以及信用卡申請書等。既有用戶的個資保護,原則上,只要使用範圍沒有超過既有授權範圍,將不另行通知。

將個人資料保護管理程序納入稽核制度
此外,彰化銀行也決定將稽核程序納入個資管理程序中。王信介指出,銀行業原本就有許多稽核制度,彰銀為了因應個資法又新增了2個,其中一個是資訊處內部的資訊風險控管稽核,另一個則是BSI國際標準認證的外部稽核。基於內外部的稽核作業,11月開始將會有25位資訊處同仁接受第一個階段的個資稽核種子訓練。

如果以BS 10012認證的標準來看,目前彰化銀行資訊處的完成度已經達到50%。但是,曾芳明認為,個資保護其實沒有真正做完的一天,而是必須持續優化才能真正落實。然而,每一個改善與優化,往往就是很大的成本投資。

以電子交易為例,過去彰化銀行的策略,是以真正完成交易作為是否保留Log記錄的基準,但是,在個資法實施之後,客戶的帳戶查詢紀錄也必須保留,如果加上備援作業,相關設備的投資至少就是現在的3倍。對於銀行業者來說,個資法帶來的衝擊,就是無法掌握要做到什麼程度才是剛剛好。

曾芳明表示,彰化銀行雖然是在年初就已經確定要引進外部顧問,同時並以BS 10012國際標準為目標,但是,因為彰化銀行對於外部顧問有嚴格的篩選條件,除了必須有導入BS 10012標準的經驗之外,還必須曾經有金融業的輔導經驗,因此,花費了一段時間過濾,最終才鎖定4大會計事務所招標。

彰化銀行個資法因應作法
1. 引進外部顧問,預計1年後取得BS10012認證,先從資訊部門導入,再擴大到業務端。
2. 比照導入ISO 27001認證的經驗成立專責小組,由資訊處處長擔任召集人
3. 彰化銀行的個人資料管理制度專案,涵蓋5個階段,包括個資盤點、流程分析、個資分級控管、制度稽核、持續調整。
4. 新增2個管控機制,其一是資訊處內部的資訊風險控管稽核,另一則是BSI國際標準認證的外部稽核。
5. 10月底完成流程分析與相關程式修改,同時擬定個資分級控管作法
6. 11月開始有25位資訊處員工參加第一個階段個資稽核種子訓練
資料來源:彰化銀行,iThome整理,2012年10月

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome