個人資料保護

安全輔導、業務輔導、內控輔導

制定個資管理規範

個資檔案安全維護篇

個資檔案如何避免外洩,也是企業個資管理制度中的一個重大議題。但是這項議題,並沒有標準的工具、流程、訓練可以快速的處理,因為個資的安全管理,其實就等於是企業個資的管理『體質』,必須要長期的調整才會有效果。體質調整,首先應先進行個資系統、業務流程的風險評估作業。先調查企業內部特有的個資系統流程、實體環境、人員背景、管理文化、資訊設備等,並評估個資風險及有可能遭受的威脅為何。

而安全控管機制,以下提供企業參考較常見的管理作為:

  • 強化員工宣導、辦理內訓課程,要求員工簽署『個資保密具結書』。
  • 辦理個資系統的『帳號、權限表』稽核活動,確保個資系統的存取安全。
  • 設定個資系統的密碼強度,避免遭病毒或駭客入侵。
  • 查核員工辦公桌與實體環境,確保個資檔案均置於上鎖公文櫃。
  • 紙本資料如列有大量個資(或特種個資),應列入文件管理,由專人控管。
  • 存有個資的電腦設備,應定期更新病毒碼、執行系統資安查核。
  • 個資檔案傳輸應以加密方式,個資檔案儲存應符合『加密』『異地備援』原則。
  • 應指派專人稽核個資安全的辦理情形。
  • 個資檔案輸出、匯出,應保有系統記錄以供查核。 

而以企業安全架構的角度來看,如能採用系統工具來強化個資檔案的外洩防護,更能事半功倍。一般常見的工具包括以『網路監控設備』、『電子郵件監控設備』來監控個資檔案的傳輸情形,並設定『個資檔案偵測條件』來主動阻擋個資檔案的外洩情事發生。如果工具支援的話,更應該使用報表功能來定期稽核員工的檔案傳輸情形,主動查核個資異常事件。

以上分析,包括『管理程序強化』及『資安設備強化』的角度來強化個資檔案安全,也建議應由資訊單位彙整企業內部所採用的安控程序與資安系統,整理為『個資檔案安全維護流程』,並定期陳報執行成果給個資小組檢視,這樣就可以從組織面、管理流程面、資安系統面做出更全面的個資安控作法,持續長期的改善企業體質,以有效落實個資安全防護的強度。