More Related Content
More from Wanhung Chou (12)
個資法制度輔導
- 2. 第 1.0 版
2
文/萬弘資訊顧問 周世洪 sales@wanhung.com.tw
壹、 輔導須知
一、 前言說明
(一) 先來看看個資法制度輔導要談些什麼呢?我想很多單位都知道要
教育訓練,也很會教育訓練,大概聽過律師講過 1、2 次,再結合
幾個法務部案例,應該就知道如何表達關於個資法的課程與訓練
(稍微會包裝的會去把文章充實內容的,甚至會寫一些 OECD 八大
原則、個資法部份條文解析、或是提一下 BS10012 、ISO 29100
或是 TPIPAS)。但會需被輔導的對像 以輕重緩急來說,一定是保
有大量個資的公司及其單位才會有此需求,既然是公司需求就要
與企業管理營運流程進行整合,而不是聽聽條文、聽聽歷史、聽
聽市場上的「產品」。
(二) 所以根據筆者成功輔導個戶進行個資法制度導入(包含 Bs10012 制
度)的經驗(初次輔導大概須 6~8 個月),往往在最後專案結束
時,客戶已能夠依照「PDCA」精神去執行個資法管理制度的循環
了。(備註:而不是到此時還在討論什麼叫作個人資料、什麼叫作
個資盤點表)
(三) 當然這其中的過程中是非常艱辛的,畢竟顧問作輔導不是隨便出
個現況分析報告、叫人家從口袋掏大筆鈔票買產品就能解決企業
流程與整合導入的問題,而是要有耐心且具說服力與合理性地完
成關鍵流程的制度導入,才算是完整的個資法輔導嘛!(如果今天
以產品廠商的角度來出發,業務人員或是專案人員一定是盡可能
要您買產品,當然買了能不能用又是另一件事)
二、 透過 PDCA 列舉部份說明
(一) 個資法程序規劃
1. 單位人力的配置或時間資源的投入
2. 個資蒐集、處理、利用 (光蒐集就有一堆東西要規劃、處理則
是在掌握流向與保護方式、利用須避免不當揭露與分享造成外
洩事件)
3. 當事人權利主張的程序規劃
4. 當事人受侵害後之通知方式
5. 委外監督的規劃
6. 施行細則所要求的安全細維護措施
- 3. 第 1.0 版
3
文/萬弘資訊顧問 周世洪 sales@wanhung.com.tw
(二) 執行的部份
這個階段其實最重要的事就是教會同仁如何使用規劃出來「程
序」、「步驟」、「相關表單」、「資訊系統安全的設定」來因應
實務流程的整合,確保所規劃的制度是可執行的,而不是文件交付
後就馬上結案,這樣就真的是花了大錢,買到不確定的「高風險」。
(若只是東抄、西抄範本來進行輔導方式,在這個階段大概就會陣亡)
(三) 檢查的部份
若沒有完善的規劃、執行作為基礎,基本上檢查這個階段也沒有什
麼意義了。最常看到的現象是,同仁完全不知道要遵循什麼個資保
護規範,就直接被查核了,這就是在規劃、執行的階段沒有妥當的
執行才會發生的現象。
(四) 改善的部份
若規劃、執行的階段在企業運行上沒有太大問題的話,基本上在改
善的部份往往就不會有太多的問題,比較常見的就是個資的盤點未
落實、資訊分類未落實、委外監督不確實,或者既有個資委外合約
無明確的個資保護說明、桌面貼有個資名單之類的。
- 4. 第 1.0 版
4
文/萬弘資訊顧問 周世洪 sales@wanhung.com.tw
貳、 本公司相關連結
一、 個資法委外監督稽核查核服務(資安顧問服務)
二、 網路個資刪除移除服務與諮詢(資安顧問服務)
三、 個資法管理制度輔導(資安顧問服務)
四、 個資法風險管理評估服務(資安顧問服務)
五、 個人資料管理(個資法)制度輔導(資安顧問服務)
六、 資訊安全案例(Virus shield)資安顧問提供
七、 最大風險說明與實務經驗分享(資安顧問觀點)
八、 資訊安全例例_申請網上支付 (資安顧問案例)
九、 個資法管理制度與品牌(資安顧問案例)
十、 資訊安全範例分享(資安顧問提供)
十一、 whoscall 個資外洩與追蹤(資安顧問案例)
十二、 資訊安全內部稽核案例(資安顧問服務)
十三、 資訊安全內部稽核實務(備份)_資安顧問觀點