个资法专栏/个资法大冲击 其实你们可以不用失业
文/个资法专家
个资法上路后,造成寿险业、银行业等等电话行销诸多挑战,上周南山人寿决定将电话行销部关门大吉,真的是因为个资法难管理,又或者如金管会所说:「南山人寿是基于通路策略考量暂停电话行销业务,与个人资料保护法施行无关,还不致有其他业者跟进放弃?」▲图/东森新闻提供。前几年某知名银行发生大量个资外泄事件,不是骇客,不是失误,而是内部人员刻意将公司个资贩卖给其他企业谋取获利。由此众多个资外泄事件来看,其实个资法对电话行销或是各大银行、寿险业并不是最大的阻因,个资若没有妥善的处理,经营者或是负责人员都可能必须负起民事、刑事和行政责任,罚锾也不再是轻如鸿毛,因此不论你企业内主管还是员工,都不能忽视「个资法」所带来的影响。学习定期「个资盘点与稽核纪录」、「纸本文件与个资保护」,是自保也帮企业打剂强心针。
个资防护第一部:落实 PDCA,完善稽核机制
个资的防护非一蹴可成,必须要经过一连串的规划并执行以后,才能确保在个资的防护上到达一定的水准。因此,便有品管机构建立了 PDCA 机制,即规划 (Plan)、执行 (Do)、查核 (Check)、行动及改进 (Action)。
为什么需要查核纪录?在从前可能许多人都认为留存稽核纪录是非常浪费空间的事情,只有银行、政府等对资料异动比较敏感的机构才需要存这些稽核纪录。但在个资法上路以后,当面临个资疑虑时,企业必须要有办法举出各种的证据来替自己「解围」,因此若平日就保有这些资料,在发生事情的时候,就可以透过这些资料来帮助企业处理问题。对于大企业来说,由于经费相对充裕,因此在面临个资问题的时候,可以很容易的透过外部厂商所提供的解决方案 (产品) 来解决问题。但是对于资源相对比较紧绷的中小企业来说,咨询、顾问再加上内部相关人员的配合,其实也可以达到相当程度的保护。
稽核纪录的种类因为资讯系统的设备非常多,稽核纪录的种类也不胜枚举,因此我们就以资料库型的系统作为范例,若要达到基本的保护等级,这些种类的稽核纪录都是必须要的。1. 资料异动纪录资料异动记录主要的目的就是保留所有资料的修改异动轨迹,记录的资料包含了 WHO (异动者)、WHEN (异动时间)、WHAT (做了什么异动) 以及该列资料的完整纪录。这种类型的稽核纪录可以完整的纪录资料所有的异动轨迹以及作为问题查询用途,除此之外,当资料发生错乱的时候也可透过此种稽核纪录来追踪并还原资料。2. 查询纪录由于企业内部的系统非常多,操作的人也很多,为了防止公司内部的资料遭到居心不良的人员外泄而导致公司损失,企业除了需要严格限制人员在不同的系统所拥有的操作权限以外,当人员查询资料时,也必须要将查询的行为予以纪录,以达到监视的效果。未来若有需要,可以透过各种设定的条件进行纪录的查询,对特定的事件进行稽核及调查。3. 操作行为纪录除了前一点所提到的查询纪录以外,针对有敏感性的系统,系统也必须要同时记录使用者的操作行为,这种纪录除了可以用于追踪及厘清问题外,甚至可以透过一些分析方式,及时发现特定事件并且早期发出警报进行处理,以防止问题扩大。
完成了上述步骤,大家一定会想,若这些个资皆为纸本文件,我们该花多大的力气来整理、归类、建档,还要指配一个信的过的管理者来监控这所有的文件。我们又如何能确保整顿好的个资不会被有心人偷走??其实方法很简单,将整理好,拥有个资的纸本文件、传真全部扫瞄转成电子档(PDF),加上公司浮水印,并将资料夹分级、分类并设金钥密码来管理。再将原有的纸本文件消毁,既可安全的存留这些个资文件,有不会暂用过多空间。资安公司优硕科技表示:「轻量化的DRM(数位权利管理)搭配DLP(资料外泄防制)系统,能将电脑里的个资资料以金钥加密,能保护资料夹不被复制、修改,就算被骇客窃取。企业内部个资与机密档案都需要先被盘点,确认范围,才能对症下药。可说是中小企业面对个资法的一帖良方。」
部份资料来源:硬是要学: http://www.soft4fun.net/system-security/pdca-privacy-law.htm