統計資訊
  • 文章數 - 791
  • 回應數 - 2877
  • 引用數 - 0

 

[資訊安全]個資法對企業有什麼影響

最近在弄個資法相關的議題,花了點時間稍微整理了一下相關資料,這邊提出給大家參考,其實相關的資料在iThome的個資法專欄中都有彙整清楚,我這邊只是再把我看到的資料做比較結構性的彙整。

何謂個資法?
參考這兩篇:個人資料保護法個資法施行細則與七大方向
首先我們必須要了解這個新版個資法中到底包含了哪些內容,但這些法條都太生硬有些難懂,所以建議可以看看下方的資料有助理解。

個資法中我們應該留意那些內容?
參考這篇:個資法來襲,你必須了解的12個關鍵問題
12個關鍵問題其實已經清楚的告知我們在個資法中該留意的面向,接著再往下看企業該如何因應。

個資法實行後企業如何因應?
參考英國BS10012個資保護的10大實務作法

我們從作法中其實可以看到,個資法絕對不是只影響單一面向,而是可能會改變整個企業的業務流程,每個員工都有可能會牽扯到個資問題,因此對個資的保護就有如對品質的要求一般,應該是全面性而非片段的,我們知道對品質的要求愈高,連帶的成本也會提高,因此如何在安全與成本間個考量呢?可以看下面這篇。

企業要投入多少成本才對?
因應新版個資法,企業應投入多少經費才合理?
100%零缺陷的投入的成本可能是99%的100倍,而要確保個資100%不會外洩可能是確保99%個資不外洩的100倍,這在實務上幾乎是不切實際的,因此我們必須要理解企業中每個個資保護的優先次序及其影響性,在可擔負的成本風險下進行保護。

實務上有沒有案例呢?
可以參考:日本NTT Data如何拯救個資外洩博客來用10大心法因應個資法衝擊

其實上週在公司內談完個資法對企業的影響時,突然覺得似乎處處都有陷阱,如果沒有想清楚可能會在不自覺中違反個資法,舉個例子來說:身為公司內的MIS,負責幫公司開發一套客服系統,裡頭會存取所有客戶的個資,而在系統中可能還提供了客戶資料匯出的功能,這個功能可能被客服人員透過eMail的方式寄送給企業外部的人員,這時候這些個資就算是外洩了,受侵害可能隨時會向貴公司提出訴訟,而貴公司就要開始進行舉證,但該如何舉證起呢?而若要防範同樣的問題再次發生,你該如何做呢?我想這兩個問題留給大家去思考吧。

 

 

Q版_hgipi

    

游舒帆(gipi),早期活躍於各技術社群,曾獲選兩屆微軟最有價值專家(MVP),現任職於鼎捷集團,熟悉產品開發、架構設計,曾負責多項產品開發、設計與管理,曾參與鼎新CMMI Lv4認證過程,目前專注於雲端運算、行動應用電子商務領域,擅長專案管理,目前為專案經理雜誌特約作家之一,對網路行銷、社群經營、簡報技巧等有濃厚興趣,歡迎到Facebook上與我討論各項議題。

 




回應

# re: [資訊安全]個資法對企業有什麼影響

喔~ 法條我沒仔細看 目前應該還沒三讀通過吧 ?

舉證的話 要看法律的規定,先了解舉證責任在誰?

Security 一般 MIS單位或軟體公司通常沒能力單獨自己去完成. 通常得靠外面專門搞 Security 的公司來幫忙.

導過 Security 大概都知道重點在 Security Policy,光要定出這個 牽扯就很廣了 很多不是資訊單位就有權限決定..... 所以常常到最後買了一堆產品 然後放著沒在用...

感覺個資法 如果認真執行 會有很多公司死的很難看...... 也許可能立法從嚴執法從寬.....

談談現況的話是 台灣個資大概早就流光了,個資法當然是該定,只是.......

詐騙集團 黑道...在政府單位 銀行 保險 電信公司....都有它自己的人在蒐集資料. 除了企業有責任保戶客人資料外,個人也要有保護自己資料的觀念,不隨便留下個人資料,不亂辦卡,門號...少留點足跡 就少點風險..... 哈~ 我是在作文嗎 ?

104這類的人力銀行 也是洩露個資的重要管道,從每次開起履歷後 就有一堆垃圾信進來 不難了解他們的把關能力了.....
而之前 南山人壽工會寄給400萬保戶要求的連署書,就知道多麼可怕,只是區區一個工會,不是公司內部單位, 它有什麼權限可以拿到 400萬保戶的個人地址......
我想 除了未來保護個資的事要做,之前流出去的資料是否也該找方法銷毀 ?? 2010/10/10 上午 12:11 | JT_taipei 回覆

# re: [資訊安全]個資法對企業有什麼影響

to JT_taipei :
個資法已經三讀通過了,現在正在擬定細則...
個資法的推動原因我個人是認為有必要的,但對許多行業來說確實是很大的衝擊, 一對莫名其妙的垃圾信、郵件、簡訊,還有一堆行銷手法都是因為個人資料外洩造成的...

全台灣擁有最多個資的單位脫離不掉幾個公家機關:戶政事務所、健保局、勞保局,從他的細則看來,公家機管運用個資時會有較高的權限,但也不能無限上綱,而私人企業使用個資時更要經過當事人同意才行,包含你不能拿我當初申請信用卡的資料來推銷我其他產品,這都算在當事人並未同意的範圍內....

影響層面之大之廣,絕對需要關注的...

而您所提到的資安議題,我覺得下面這張圖很不錯,從內外部、各個層面去訂定Security policy...雖然麻煩,但若可免於受害,那還是值得了...

2010/10/10 上午 12:28 | gipi 回覆

# re: [資訊安全]個資法對企業有什麼影響

to gipi :
謝謝你提供這張圖 ^^ 2010/10/10 下午 12:57 | JT_taipei 回覆

# re: [資訊安全]個資法對企業有什麼影響

在英國個資是真的很重要  還有因為個資不慎外洩部長下台的案例  不過現在很常看到個資外洩都是因為駭客入侵網站  所以未來個資保護應該幾乎是等同cyber war吧?  不曉得是不是因 為這樣  所以英國現在想要加強internet use monitor?

http://www.bbc.co.uk/news/uk-politics-17576745

http://www.bbc.co.uk/news/technology-17582974

這個法案五月審  不曉得會不會通過?  因為前政府英國工黨也曾提出相關法案  但沒通過  這次保守黨又再次提出相類似的考量.

2012/4/23 下午 01:54 | 貓咪圓滾滾 回覆

# re: [資訊安全]個資法對企業有什麼影響

Another case of US

http://www.bbc.co.uk/news/technology-17730266

2012/4/24 上午 01:38 | 貓咪圓滾滾 回覆

回應




 


登入後使用進階評論

Please add 8 and 2 and type the answer here:

 

 

Copyright © gipi