2011年1月25日 星期二

[觀點] 評估個人資料保護機制與現況

個資法的施行細則,預計在今年6月左右公布,最快可能在2012年初施行,也就是說,無論公務機關或非公務機關,還有一年左右的因應時間,現在正是可以用來提前準備,並評估個人資料保護機制的最佳時機。

上一篇為大家說明了個資法中,對於蒐集、處理、利用個人資料的規範與要求,這部份主要著重在個人隱私的維護,例如:
  • 在蒐集個人資料時要對當事人盡到告知的義務,說明蒐集的特定目的為何,將會使用在哪些用途上;
  • 處理時則是要確保眾多的個人資料,經過內部新增、編輯、傳遞、儲存時的安全,避免受到未經授權的竄改,同時還要尊重當事人對於個人資料的自主權利,提供查詢、複製本和更正的服務;
  • 在利用時則是要符合當初蒐集時的特定目的,若要作其他目的使用,除了有適當的法源依據或符合個資法的要件外,否則都必須要重新再取得當事人的書面同意才行。
所以,接下來就要說明個資法要求的另一項重點,也就是對於透過各種管道所蒐集的個人資料,如何盡到善良管理責任,並實施適當的安全措施。

當然,對非公務機關而言,所謂的適當的安全措施,未來將由目的事業主管機關來加以認定,也就是要依照主管機關所提出的個人資料保護指引準則,擬定個人資料檔案安全維護計劃,並且在發生事故時能夠舉證才行。

在這份個人資料保護指引尚未完備之前,我們可以提早準備的,就是思考對於個人資料應實施哪些安全機制,並且評估個人資料的安全現況,以便先打好基礎,再針對不足的地方加以改進,以避免法律實施時措手不及的情況發生。

思考個資保護安全機制

組織若想要建立個人資料的保護機制,建議可以從三方面來著手。

首先是「人員」,請思考一下,目前組織中的個人資料,大多是由誰蒐集而來,經由誰進行處理,再由誰進行利用,我相信你會發現,這些都和大多數員工脫離不了關係。

根據統計,大部份的資料外洩事件,都是來自於內部人員的作業疏失或刻意的偷竊行為。因此,針對人員的安全機制,主要都會落在教育訓練之上,透過加強人員對於個資保護的認知,了解其應盡的責任與守法義務,並且熟悉內部的個人資料蒐集、處理和利用的作業規範,來避免違反個資法的事件發生。

一般而言,教育訓練區分為兩種,一種是對於個資法的認知訓練,另一種則是資訊安全的防護宣導。

在個資認知訓練方面,必須要確保和個資蒐集、處理、利用有關的人員,都要熟知個資法的要求,例如蒐集個人資料必須要有特定目的,並且要盡到告知的義務。

在資訊安全宣導方面,則是要讓人員了解常見的資料外洩管道與攻擊手法,像是如何避免掉入社交工程的陷阱,避免透過私人郵件寄送個人資料檔案,以及避免使用USB隨身碟下載個人資料並攜出工作場所等。

其次是「流程」,我們必須檢視現行的資料作業流程,其中是否會涉及到個人資料的處理,如果是的話,那麼配套的安全措施是什麼?作業流程中,安全防護的強度到底夠不夠?

舉例來說,像是員工在業務工作上,是否可以任意影印含有個人資料的文件,是否有經過主管的授權,影印時是否使用浮水印的註記,廢棄時是否有適當的資料銷毀方式?

另外,含有個人資料的文件傳遞,是否指定專人處理,文件本身是否有保護措施,傳遞過程中是否有留下記錄。如果有員工對於這些流程的安全控管要求不清楚的話,那麼最好開始建立相關可實行的標準作業程序(SOP)。

最後是「技術」,在各項與個資有關的作業流程中,我們需要去思考是否有相對應的資安防護技術,例如:
  • 對於個人資料的存取方面,人員需申請並賦予唯一的識別帳號,並要求使用一定長度與複雜度的密碼;
  • 依據業務性質和單位屬性的不同,進行網段區隔與存取控制;
  • 網路安全方面,是否佈署適合的防火牆、入侵偵測系統,對於主機是否進行系統防毒與更新修補;
  • 對於敏感的個資檔案,也要實施一定強度的加密機制。
評估個人資料安全現況

對於組織目前的個人資料保護現況,如果本身已導入的資訊安全管理系統(ISMS),最好的方式就是依照ISO 27001標準所要求的11項領域、133項控制措施,來進行個人資料的安全評估。如果對於標準不是那麼地熟悉,也尚未建立個人資料管理制度,建議可以先從以下四大層面來著手,一一檢視重要的控制措施是否已經落實。

實體環境安全
評估辦公區域、資訊機房和資訊設備,是否已受到良好的安全防護,重點項目包括:
  1. 是否已確保辦公室與機房的環境安全?例如使用不易受到破壞的門與鎖;在重要的區域進行門禁管制或安裝監視系統,訪客要求需配載識別證,並且僅限於在特定處所活動;定期檢查消防設施和人員的逃生設備是否足夠。

  2. 是否可預防有人從外部可以窺探辦公處所的電腦設備或螢幕資訊?有些組織在機房、會議室,喜歡採用透明玻璃,因此需要評估人員在操作資訊設備或進行會議時,是否會造成不當的資訊外洩。

  3. 含有個人資料的資訊設備與文件,是否存放於安全地點?例如筆記型電腦等可攜式的設備,還有包括硬碟、磁帶、光碟、USB隨耳碟等儲存媒體,採取適當的安全防護以避免遺失;紙本文件存放在管制或上鎖的區域,使用碎紙機、大量文件水銷等方式確保廢棄的文件不會再被還原。
組織安全
評估組織針對個人資料是否制定了一體適用的安全政策,以及相關的作業程序以便人員可以遵守,重點項目包括:
  1. 組織是否指定專人負責個人資料的管理?是否已制訂個人資料保護安全政策,並提供適當的人力與經費,由高階主管來支持個人資料安全管理和保護工作的落實。

  2. 組織是否已有和個人資料安全有關的作業程序,可供員工操作並且遵守?例如密碼的使用與設定要符合安全原則;人員離開辦公處所時應讓桌面淨空,不遺留文件在未經監管的地點;電腦螢幕設定一定時間自動啟用螢幕保護程式等。

  3. 組織是否已建立跨部門溝通與協調機制?例如由各部門推派一位個資管理代表或聯絡人;成立一個跨部門的個人資料保護小組,並定期召開個資保護協調會議等。

  4. 組織是否定期實施教育訓練,並確認員工已充分了解其應盡的個資保護與安全責任?例如依據人員不同的工作職掌,實施認知、管理或技術的教育訓練,並透過內部稽核的實施,確認教育訓練的有效性與成果。

  5. 組織若發生個人資料外洩事件,是否有相關的處理程序,並進行事後的調查與檢討?例如在個人資料受到竊取、洩漏或不當侵害時,由專人來負責通知當事人;制訂個資事件的證據收集與保存程序,或是尋求外部的支援。

  6. 是否有人可從組織外部來存取資料?個人資料是否需要和外部進行傳遞或交換?實施了哪些安全措施來控制、保護與監控這些行為?例如清查有哪些資料是可供外部存取的,並針對資料的傳遞或交換,依法定程序執行或建立內部的作業規範;對於資訊委外處理的服務廠商,要求相對應的個人資料保護措施等。
資訊系統安全
評估資訊系統的建置、營運與服務,是否已有適當的安全措施,重點項目包括:
  1. 資訊系統的日常操作,是否有文件化的作業程序?例如設備的異動維護,皆已經過授權並留下記錄。

  2. 含有個人資料的主機,是否需要更高的安全防護,並執行嚴格的存取管理?例如主機實施實體隔離與監控,採用生物辨識方式,進行存取控制。

  3. 資訊系統是否有備援機制?針對儲存個人資料的設備,採用不斷電系統以持續維運;將資料備份存放在不同的地點;確保還原機制夠完善,定期執行演練與測試等。

  4. 資訊系統與應用軟體的弱點是否能被發現,並且定期更新修補?例如透過定期的弱點掃瞄或滲透測試,以及制訂適當的修補程序來進行控管。

  5. 是否已經強化網際網路與電子郵件的使用安全?例如有能力偵測或防止惡意程式下載至電腦系統;防毒機制可定期更新;郵件主機實施適當防護;資訊設備和系統的記錄檔(log)集中留存並可防止竄改等。
人員安全
評估職務角色適任與分工代理是否適當,重要項目包括:
  1. 與個資有關的人員聘用,是否進行適當的徵信或資格審查?例如針對背景和學歷資格的確認,確認前項工作的離職原因;進行適當的職務分工代理等。

  2. 是否額外註明對於個人資料保護的相關要求?例如在聘僱合約中加以說明,並要求簽署保密協定;在新進員工訓練或員工手冊中說明組織對於個資法的政策與個資處理的要求等。

  3. 是否清楚告知員工組織資訊設備的使用注意事項?例如不得將個人帳號密碼透露給第三人、避免瀏覽惡意網站、不使用公司電腦收發個人郵件、不使用個人郵件寄送業務相關資料等。
以上簡要的評估方法,可作為有心強化個資防護的組織參考,相信能夠在個資法正式實施之前,找到一個可以因應與實作的目標。(本文刊載於2010年11月號網管人雜誌)

沒有留言: