全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
合作金庫2階段導BS 10012,推廣個資銷毀觀念
文/iThome (記者) 2012-11-13
合作金庫從決定取得BS 10012到最終取得該認證,認證範圍涉及八大主要事業群,投入500多人次,花了11個月的時間分階段取得BS 10012認證,藉此凝聚部門員工個資保護共識。第一階段花11個月完成專案,對員工的挑戰在於:用不到的個資應立即銷毀

新版個資法從今年10月1日正式施行後,因為適用每一個產業,加上電子和紙本個資都納入個資保護範圍,對各個產業都造成重大影響。

其中,金融業雖然是「電腦處理個人資料保護法」指定的八大行業之一,原本就需要保護電子個資,但隨著新版個資法適用範圍擴大,不僅是資訊部門,連業務端的作業流程都必須因應個資法做調整。如何讓業務部門和資訊部門對個資保護都有相同的共識,也是目前許多金融業者共通的困擾。

合作金庫資訊部協理黃玉美表示,取得認證是凝聚企業內部共識的好作法。她說,BS 10012個資保護標準和新版個資法的內容差異不大,再加上BS 10012提供了一個P(規畫)、D(執行)、C(稽核)、A(矯正)個資保護與驗證的流程,所以,合作金庫高層決定取得BS 10012個資保護驗證,來凝聚合作金庫對個資保護意識的共識。

合作金庫從決定取得BS 10012到最終取得該認證,認證範圍涉及八大主要事業群,投入500多人次,花了11個月的時間取得該認證,後續透過定期驗證來確保認證的有效性。


合作金庫資訊部協理黃玉美表示,透過通過並取得第三方客觀的個資保護標準認證後,同仁更清楚各自對於個資保護所應負擔的責任,對於有價值的個資大力保護,不必要的個資則儘速銷毀。


確認導入範圍,分階段導入BS 10012認證
合作金庫先前導入了ISO 27001或是ISO 20000的國際認證,主要的認證範圍大多以資訊部門為主,但是,若要因應個資法的規範,導入BS 10012時的認證範圍就不能只有資訊部門,其他重要的業務部門都必須包含在認證範圍內。

合作金庫第一階段先從擁有個資數量較多的單位著手。黃玉美表示,在合作金庫有20多個部處中,先導入部門包括:負責存款業務的業務發展部、個人金融部、法人金融部、信用卡部、財富管理部、負責全行8,000多名員工個資的人力資源部、財務部和資訊部等8個部門是第一波個資認證的範圍。

第一階段認證從2011年9月開始,到2012年8月正式取得BS 10012認證為止,黃玉美指出,此次的選定認證部門的推動原則是採用八二法則,先掌握個資風險最高的8個業務單位,其餘的部門列為第二階段的認證範圍,最終的目的還是希望能夠將這個個資認證範圍,逐步推廣到全行。

目前合作金庫總計有295個分行,在完成第一階段的個資認證後,黃玉美說,目前已經啟動第二階段個資認證的採購流程,希望在年底前,可以召開第二階段個資認證的啟動會議。她表示,未來會先選幾間分行作為第二階段的示範分行,並在導入過程調整相關流程,等到示範單位完成導入後,其餘的分行就可以複製先行者的經驗,來降低導入門檻。

個資法施行細則規定的11項安全維護措施,第一項就是成立組織並配置相關資源,雖然到了正式的施行細則版本改成配置專人即可,但整體而言,只要公司有一定的營運規模,勢必要成立個資因應小組。

黃玉美表示,各種認證制度的導入,高階主管的支持是第一優先的關鍵。當合作金庫決定要導入BS 10012,便成立「個人資料保護管理制度推行委員會」,由督導法律事務部的副總經理擔任召集人,並由法律事務部單位主管擔任執行秘書一職,16個業管單位主委為該個資委員會的小組成員。

由副總出馬召集個資會議,指派相關工作人員和工作進度表,之後就照表操課,按部就班執行個資相關專案。該公司第一階段光是人力的投入就超過500人次,規模是先前合作金庫導入ISO 27001投入人力的2倍多,從BS 10012投入的作業人次數量,也可以想見推動認證保護制度時的繁瑣與複雜。

判斷個資外洩的影響程度和發生機率
即使金融業原本就適用舊法,許多電子個資已有相當程度的控管和保護,但為了因應新版個資法,還是有很多電子個資和新增的紙本作業流程,必須納入個資保護的範圍內。

如何清查整個銀行所有個資,包括紙本和電子的個資,來建立一份完整的「個資檔案清冊」作為後續盤查和分析的基礎,黃玉美說:「個資盤點是著手因應個資法時,最複雜也最費功夫的環節。」

她進一步解釋,每一份個資放在那裡,往往只有經手主辦的同仁才知情,為了做到個資盤點不遺漏,合作金庫先從流程盤點開始,從各個部門作業流程來檢視個資流,有哪些經手的流程會涉及到個人資料,且是在個資蒐集、處理和利用的哪一個環節,相關個資都存放在哪一種儲存媒體中,是否符合法令規範,是否具有完善的控管和保護措施。

黃玉美說,多數業務端同仁沒有導入任何認證的經驗,安排顧問到各個部門協助同仁訪談業務流程,有助於執行盤點的同仁更進入狀況。至於,透過個資盤點方式所清查整理出來的「個人資料檔案清冊」的內容,可以進行隱私權衝擊分析(Privacy Impact Analysis)及風險評鑑(Risk Assessment)。合作金庫第一階段盤點後,擁有個資的檔案有3,000多個。

她說,隱私權衝擊分析著重的是該個資外洩後,對企業帶來的傷害和影響有多深?至於風險評鑑看重的則是個資發生外洩的風險有多高?這兩套評估方式,各會針對同一件事件或作法各得到一個評估數據,兩者相乘的數值就是企業承擔的個資外洩風險數值,合作金庫再區分不同分數所代表的風險高低,例如幾分以上表示最高風險,幾分以下表示風險次之,幾分以下表示風險發生機率微乎其微,這些風險值對應意義的討論也都在個資小組會議中決議。

合作金庫資訊部副理張孝維指出,因為風險數值的定義必須明確,加上是主觀判斷的作法,因此,透過高階會議定義風險,再據此擬定相關的風險應對計畫是必要的。

每兩周舉行會議跟催個資專案進度
黃玉美表示,從確定要取得BS 10012個資認證後,合作金庫就估算出每個專案流程需花費的時間,但要能如期按進度執行,「適當的授權與分權是非常重要的關鍵。」她說。

為了確保專案進度,黃玉美表示,這次指定導入BS 10012認證的八個部門都有授命執行的科長和種子成員,由副總層級召開的會議是定義大原則和大方針,更細部的專案進度跟催,則授權由張孝維副理層級召開每兩周召開的定期會議,讓所有執行過程中遭遇到的困難和問題,各種執行面的決議等,都在這個會議上解決。

張孝維表示,自己扮演的是一個承上啟下的角色,先前多次的專案認證導入經驗,讓他清楚導入BS 10012所需的各種作業流程,再藉由每兩周定期召開的個資專案會議,解決執行過程中所遭遇大大小小的困難。「透過密集進度跟催和解決問題,才能確保最終的專案進度不會延遲。」他說。


合作金庫進行個資盤點時,總共盤出3,000多個檔案,個資清冊要填寫的欄位至少有26個以上。


因應告知義務,年底前打造「勿擾系統」
由於個資法強調的是個人隱私保護以及個資的合理利用,所以,企業在蒐集、處理和利用各種當事人個資時,黃玉美說:「個資法規定企業應該負起的告知義務,則嚴重影響到銀行既有的每一個作業環節。」除了合作金庫的法律事務部會參考銀行公會因應個資法提供的範本,也會針對各個業務部門進行修正。

黃玉美表示,法規對資訊部門帶來最大的影響就是,企業要確保個資當事人的權利,合作金庫預計年底前建立一套「勿擾系統」,讓不想被銀行專員推銷的客人,可以有不被干擾的權利,並且可以透過後端的系統,協助第一線同仁完成保護個資當事人的個資權利。

建立員工有銷毀個資的觀念
此外,黃玉美表示,個資法對員工最大的挑戰是要建立「銷毀」觀念。一般銀行員工向來習慣是手邊擁有多少個資就要盡量保存,能夠取得越多個資越好。但是,新版個資法施行後,所有人就得意識到,只要是用不到的個資、來源不明的個資、不在法規保存範圍內的個資,立即銷毀才是最好的方式。

例如,合作金庫有上萬臺個人電腦,要避免報廢硬碟中的資料外洩,落實硬碟的資料銷毀就非常重要,所以,合作金庫預計採購磁碟消磁設備來強化資料銷毀。

為了讓個資法能夠真正落實在公司的每一個業務流程,黃玉美指出,也要制定各個部門個資保護的KPI(關鍵績效指標),例如,為了確保某個含有客戶個資的系統穩定度,設定的KPI就是每年只允許當機多少時間。

她說,每個KPI都有負責人,每個部門、每個人、每個月都必須自我評鑑KPI的達成率,若有違反規範,可以開矯正預防單提醒當事人注意及改善;若再加上內部與外部的定期稽核,則可以讓個資保護的意識和作法,真正內化到每一位員工的作業流程中。

黃玉美提醒,最重要的關鍵就是,每一個KPI都要有客觀的判斷標準,盡量不涉及任何主觀判斷。因此,先由顧問訪談負責個資執行的科長和種子成員後,提出KPI初稿,再由個資會議定案。

金融業因應個資法雖然相對其他產業有經驗,但黃玉美認為,在個資保護的範圍變大,連各個業務單位都必須一起共同面對個資法的衝擊時,逐步導入個資保護驗證制度,才能連第一線服務同仁都能做好個資保護。

保存越多風險越高,不用的個資要銷毀
金融業是臺灣擁有最詳細客戶個資的產業之一,早期的金融業者,因為個資蒐集不易,為了能夠多次利用客戶個資,不僅在資料蒐集上,抱持著個資內容越詳細越好的情況下,也習慣長久保留各種客戶個資包括紙本和電子資料,因為總有一天會用得到這些客戶資料。

但隨著新版個資法的正式施行,嚴重挑戰金融業這種保存大量客戶個資的觀念。新版個資法規定,除了使用前必須告知個資當事人有關蒐集、處理和利用的目的外,只要是擁有的個資,包括紙本和電子個資,都必須負起完整的保護責任。

合作金庫資訊部協理黃玉美表示,當企業擁有的個資越多,負起的保護則用就越重,就越容易有缺口導致個資外洩風險。因此,透過導入BS 10012後,經歷個資盤點、隱私權衝擊分析和風險評鑑後,留下真正重要、有價值的客戶資料,並予以妥善保護,其餘銀行所擁有的個資,為了避免外洩的風險,則盡可能地落實銷毀,也是個資保護的最好方式。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome