[資訊安全]個資法-個資盤點實務作法
個資法的重要性影響企業的層面非常廣,相信明年起這項議題會更熱,因此目前我們公司也已經開始盤點起我們的個資,準備做因應,但在盤點個資時其實容易遭遇到一些瓶頸,那就是我們如何進行?以下為我自己整理出來的心得,提供給大家參考,我認為個資議題的處理可以依循以下四個步驟來進行:
1.盤點企業個資
2.評估影響層面
3.決定優先次序
4.擬定解決方案
個資法的重要性影響企業的層面非常廣,相信明年起這項議題會更熱,因此目前我們公司也已經開始盤點起我們的個資,準備做因應,但在盤點個資時其實容易遭遇到一些瓶頸,那就是我們如何進行?以下為我自己整理出來的心得,提供給大家參考,我認為個資議題的處理可以依循以下四個步驟來進行:
1.盤點企業個資:
我這邊選用的方法是依業務流程來區分,每個部門、產品線必須要依其日常生活中各項業務流程去審視每項流程中有沒有用到個資法中提到符合個資的資料,這樣講有點空泛,我舉個例子來說,今天我們部門內的流程會去收集部門員工每個人的個資去做成通訊錄,這件事情本身就有牽涉到員工的個資;又例如行銷活動本身會收集到客戶的個資,包含姓名、聯絡方式、職業等等,那舉辦行銷活動這項業務流程,就有使用到客戶的個資,而盤點個資的目的就在於針對每個業務流程都仔細的審視究竟用了哪些個資。
除此之外,識別出個資的特性也很重要,若依個資的所屬角色來看,我自己把個資分成四類:
員工:例如通訊錄、HR系統...
客戶:例如CRM、客服系統...
客戶的員工:例如我們賣給客戶的HR系統、幫客戶開發的其他內部系統...
客戶的客戶:例如我們賣給客戶的CRM系統...
另外也要盤點出這些個資被使用的時機與取得方式,例如電子檔、書面資料、透過系統、工具或者其他途徑取得的。
2.評估影響層面:
其實個資法的議題跟資訊安全的議題很相似,我們就算盤點出每一項須防範的議題,我們還是不可能針對每一項議題都處理,所以我們會先列出每一項個資(1)外洩的機率、(2)外洩後的影響性、(3)排除的成本,等三項後再來決定要如何因應。
3.決定優先次序:
影響層面出來後,我們使用80/20法則將優先解決的議題做處理,有些具有極低發生機率或者極低風險的議題可能就不會回應了。
4.擬定解決方案:
如果是程序的問題,我們可能會明文規定一條SOP來防止個資外洩;如果是系統功能問題,那我們可能要做安全性防堵、善盡告知責任、做好權限管理,必要時就要調整系統功能以因應個資安全需求;如果是書面文件,則必須要在使用後確實銷毀(可能也是SOP的一種),我們必須要明確的擬定解決方案,並加以驗證這樣的解決方案確實能有效的預防個資外洩,也就是說要做內稽內控。
其實光是盤點個資就已經是一項大工程,我們必須要對每個部門的業務行為做充分的了解才有可能盤點清楚,但以上是我自己先想的Model,給大家參考。
游舒帆 (gipi) 探索原力Co-founder,曾任TutorABC協理與鼎新電腦總監,並曾獲選兩屆微軟最有價值專家 ( MVP ),離開職場後創辦探索原力,致力於協助青少年培養面對未來的能力。認為教育與組織育才其實息息相關,都是在為未來儲備能量,2018年起成立為期一年的專題課程《職涯躍升的關鍵24堂課》,為培養台灣未來的領袖而努力。 |