從日本經驗看個資管理 存取控制是最主要問題
新版個資法通過以來,經常聽到企業表示不知道該怎麼做才好,鄰近台灣的日本早在2005年便已實施個人情報保護法,累積不少法規遵循經驗,也成為台灣企業借鏡學習的對象。
網屋株式會社ISO資深顧問柴崎正道表示,企業應依照PDCA管理循環,在組織內部建立一個符合法規的個資保護管理制度。
在PDCA循環中,每一個階段都有不同的重點工作(如表1所示)。首先,在Plan階段,最花時間的工作就是個資盤點,企業必須清楚擁有哪些個人資料、在哪些員工身上,才會知道該如何做好保護,另外,建立事故應變處理程序,則是這個階段最重要的工作。第二個Do階段,最重要的就是資料外洩事件模擬演練,重點在於,一旦發生個資事件,內部高層該如何應對,有了事前的模擬演練,事發後才知道該怎麼做,不致於一團混亂,以日本來說,雖然法規通過至今將近8年之久,但還是持續發生資料外洩事件,所以企業在平常就要做好模擬演練,而且要避免再犯同樣的錯誤。
至於C與A往往是企業最不知道該如何執行的階段,柴崎正道建議個資業務的承辦人,可以對企業內部比較有認知或決定權的人(如:董事會成員、業務行銷人員…等),一直不斷進行洗腦工作、強調遵循個資法規的重要性,尤其在外界發生個資事件時更要加強提醒,因為此時效果最好。
最後,柴崎正道提出企業個資管理上最常遇到的問題就是,取得個資後的權限控管問題,大多數員工都能存取個人資料,但企業卻沒有機制去掌握是誰在哪一個時間點進行存取,因此,如何制定與落實個資的存取控制政策(policy),對企業來說是非常重要的一件事。
企業必須依據部門別、職務別、業務與責任範圍,以「Need To Know」為基本原則,賦予員工最低程度的存取權限,並使用工具記錄下日常的個資存取行為,定期檢視Log,確認這些存取行為是遵循內部政策,以及是否有不當、非法的存取,如此才能降低個資管理的內部風險。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7440
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
沒有留言:
張貼留言