國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
43
2.6. 小結
在前幾節很清楚了解,資訊安全是需要靠[資訊技術]、[管理作法]、[法規標準]來共 同維護,如圖 15 所示,資訊安全三層概念圖。
圖 2-7:資訊安全三層概念圖 資料來源:本研究自行整理
以目前國際上最認可的 ISO 27001 標準,及本國政府機關要求的 ISMS 推動,運用 各項資訊技術來達到良善控管,是本國現況最能整體提升資訊安全水準的作法。
然而個資法的通過,各式各樣的 PIMS 管理作法出現,ISMS 與 PIMS 分兩次來導入,
造成組織增加工作負荷,有疊床架屋情形,成本有部分重複投資現象。
在本章文獻探討,可明顯發現 PIMS 可運用現有的 ISMS 的既定作法,來進行整合,
在法規標準方面,ISMS 是採取 ISO27001 標準,PIMS 是採取個資法條文,然而 ISO27001 為組織之一般性資訊安全管理機制,個資法為組織特定性資訊安全管理機制,本研究試 著以 ISMS 既有作法將 PIMS 進行整合工作,在法規標準層次,試著以 ISO 27001 國際 標準為主體,在條文中法規遵循部分將個資法納入。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
44
ISMS 與 PIMS 整合導入之研究 3.
本章旨在說明所採行的研究方法,共分為五節。3.1 節說明各界認同整合之可行性 與專家建議;3.2 試從本質上多角度探討整合可行性;3.3 節進行多面向整合工作;3.4 節提出整合後 4 點有效具體作法; 3.5 節進行本章小節。
3.1. 專家認同整合可行性與建議
3.1.1. 認同可整合
現今台灣已經有不少大型公司或政府機關導入 ISMS,為因應個資法實施,這些公 司與機關普遍希望將 ISMS 與 PIMS 整合,降低管理複雜度,PIMS 從資料搜集端就開始 檢視是否符合法律規範,ISMS 則在資料進入企業後才開始,這是兩者最大的差異,因 此,若要在既有 ISMS 作法上整合 PIMS,產業界 SGS 公司呂敏誠先生提出:首要工作 就是擬定個資保護的範圍與策略,接下來才是思考如何善用現有的管理系統與機制,將 與人有關的資產納入原本 ISMS 作法中。
PIMS 與 ISMS 的整合只要找到其中的差異點,再把它加到現有的管理系統中,舉 例來說,ISMS 與 PIMS 都有風險分析作業,然而分析的對象、範圍與深度卻都不相同。’
將 PIMS 與 ISMS 整合成一套管理系統,運用其中遵循之標準與條文,結合現今國內個 資法,運用 PDCA 流程法驗證,讓管理系統更加符合 IT 部門需求[1]。
3.1.2. 運用既有ISMS作法來整合PIMS
由於新版個資法要求個資保管者應盡善良管理人責任,促使許多企業思考導入個資 保護管理制度作為證明,如:BS 10012、ISO 29100、TPIPAS…等,其中 TPIPAS 是經 濟部商業司針對 EC 業者而設計,目前尚在起步階段,至於 BS 10012 與 ISO 29100 的差 異,TUV NORD 資訊技術事業部經理陳家楨[2]表示,BS 10012 有條文準則與實作框架,
唯其參考依據為英國個資法,難免會有在地化差異,而 ISO 29100 並非如此,其強調的
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
45
是隱私防護框架,如:角色定義與指派、各角色間的作業互動、如何識別個人資料、隱 私保護需求、隱私政策,以及隱私防護原則,如:取得同意、目的、蒐集限制…等。
不過,安侯企管公司協理林義富[2]認為,企業現階段不必急著取得驗證,根據作 業流程設計個資管理制度,並加強教育訓練與落實才是重點。無獨有偶地,行政院研考 會主任吳啟文[2]也有相同看法,他表示,有沒有取得驗證並不重要,如何落實個資保護 才是重點,目前政府 A、B 級單位已經有 80%取得 ISMS 認證,將個資保護相關作法整 併至 ISMS 中,會是比較理想的作法。
若只用ISMS既定作法將個資法納入法規遵循,對個人資料保護的深度及廣度而言,
仍有所不足。例如,在資產管理目標很重要的一項作業為資訊資產盤點。張芳珍(民93)
[19]表示進行資訊資產盤點時必須依據組織及資訊資產的特性決定分類及分級,並在成 本效益的考量下,針對各類等級的資訊資產,規劃不同的控管方式。但個人資料於資訊 資產盤點作業中,大多歸類於文件及資料,又因目前導入ISMS 之組織,大多以資訊部 門及電子資料為範圍,故如非置於資訊部門或書面之個人資料極可能被忽略,而未採取 相對應或足夠的保護措施。而又如風險管理,雖劉永禮(民90)[20]強調應建立符合組 織的資訊安全風險政策、不斷稽核評估、以適切建立資訊安全風險計畫,不斷循環改正 資訊安全環境,但如資產盤點的深度及廣度未涵蓋所有個人資料,則風險評鑑、風險管 理計畫等則可能忽略個人資料於各流程中存在的風險,並予以制定適當的管控措施。故 本研究試以ISMS 為基礎,進一步就個人資料保護須注意的面向加以強化及整合,則可 望以最小成本達事半功倍之效。
3.1.3. 運用ISO 27001 現有框架為基準
專家學者黃小玲(100年)[21]提出個資法與ISO 27001標準有以下幾個共同之重點,值 得組織之管理階層考量如何進行整併或解決衝突;1.資產(個資)盤點之實作:如何確 認與盤點所有組織內之個人資料。2.背景審查(篩選)之必要性:如何在資訊安全與個
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
46
人資料保護兩者之間取得平衡。3.儲存與備份管理:如何確保資料的生命周期已妥善定 義與管理。4.存取管理:資料之存取管理如何加強。5.資訊安全事故管理:如何整合事 故通報與處置程序。6.遵循性:適法性之必要。
在專家建議上,看的出來,個資法的通過對已取得ISO 27001的驗證者,具有加乘 之效。針對涉及個人資料部分可以加強其管理之效度,同時檢視相關之技術配套措施是 否足夠。
在鄭伊雯(101年)[5]提及ISO 27001 國際標準乃是為了提供模範以建立、實施、操作、
監控、審查、維護及改善ISMS 而準備,而ISMS 之採用必須是組織的策略性決策[20]。
因其控制目標包含了資訊安全政策、資訊安全組織、資產管理、人力資源安全、實體與 環境安全、密碼學、存取控制、運作安全、通訊安全、供應者關係、資訊系統獲取開發 及維護、資訊安全事故管理、營運持續管理之資訊安全層面與遵循性等14 個控制領域,
對保護個人資料而言,提供了良好的防護基礎。