國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
81
3.4. 整合後有效具體作法
3.4.1 檢視與清查現有作業流程
清查現況所有作業流程,須包含個人資料所延伸之個人資料流程,可參考圖 3-5,
以點線面方式,逐一列舉所有工作項目,並且有邏輯性的分類與調整到每個作業流程,
舉凡所有工作點,必定有歸屬之某一程序,程序必定歸屬某一作業流程;先依序進行工 作要點分類、檢視,程序前後順序分類與調整,作業流程劃分與凸顯;最後,逆向以作 業流程角度來檢視所有程序、步驟是否合宜,需不需要簡化、調整,或有遺漏部分需再 補強。
圖 3-5:作業流程點線面分析圖 資料來源:本研究自行整理
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
82
3.4.2 進行作業流程上資訊資產及個資清查作業
在所屬作業流程上進行資訊資產清查及分級分類時,可參考整合後風險評鑑前資訊 資產與個人資料盤點作業流程圖(如圖 3-6),在作業流程清查後,進行資訊資產與個人資 料盤點,須將個人資料納入,可參考表 3-6 本實作範例,以作業流程角度完成清查作業。
圖 3-6:整合後風險評鑑前資訊資產與個人資料盤點作業流程圖 資料來源:本研究自行整理
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
83
表 3-6:整合後風險評鑑前資訊資產與個人資料盤點參考表
資料來源:本研究自行整理
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
84
透過清查、分析作業流程,可針對涉及個資之作業流程,可參考表 3-7 本實作範例,
進行個人資料蒐集、處理、利用、銷毀分類,追蹤資料流向,加強適度保護與控管。
表 3-7:作業流程個人資料流向分析表
資料來源:本研究自行整理
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
85
3.4.3 資訊資產及個人資料風險評鑑作業
參照現有 ISO27005 風險評鑑作法,利用 CIA 等級及風險評鑑作業,可參考表 3-8,
整合資訊資產與個人資料項目,並依個人資料敏感性區分 CIA 等級,如特種個資,列為 最高評分數值,產出一致化風險評鑑報告,以利於後續規劃因應及處置措施。
表 3-8:整合後風險評鑑風險分析表
資料來源:本研究自行整理 3.4.4 建立 ISMS 與 PIMS 四階文件
運用現有 ISMS 四階文件作法,將 PIMS 納入,如第一階文件資安手冊,可根據個 資法建立資安與個資手冊;如第二階文件資訊安全事件管理程序,可整合為資訊及個資 安全事件管理程序。整合現有四階文件,在整體資安與個資管理上,文件建立的思維更 具縝密。實務工作最後,產出整合後適用性聲明(ISO27001 標準與個資法的結合)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
86
3.5. 小結
透過本章節進行多角度探討整合之可行性,與進行多面向整合工作,最後提出 4 點 整合後有效具體作法,供第 4 章導入實作運用,利用 ISO 27001 擴大解釋包含個資法,
來驗證單位 ISMS 與 PIMS 執行成效如何,是否通過驗證,在資安作為與個資保護作為 是否達一定水準,降低其資安與個資外洩風險值。
在專家學者黃小玲(99)的個資法及 ISO 27001 共通性與操作概述[17]有提及如果組 織已通過 ISO 27001 的驗證,若要強調個資保護議題,似乎較為簡單,至少已有驗證公 司之稽核保證。只是 ISO 27001 並不特別強調個人資料,所以若有個人資料出現在非重 要業務流程時,可能相關風險就不會被清楚地凸顯;所以本導入實作最後會經過國際驗 證,並要求驗證公司將個資管理流程納入驗證範圍,達到整合後雙重保障。
本研究重點摘要 ISMS 與 PIMS 整合後作法:
(1) 檢視與清查現有作業流程:清查現況作業流程須包含個人資料所延伸之個人資 料流程。
(2) 進行作業流程上資訊資產及個資清查作業:在所屬作業流程上進行資訊資產清 查及分級分類時,須將個人資料納入,並依個人資料敏感性區分 CIA 等級。
(3) 資訊資產及個人資料風險評鑑作業:利用 CIA 等級及風險評鑑作業,整合資訊 資產與個人資料項目,產出一致化風險評鑑報告,以利於後續規劃因應及處置 措施。
(4) 產出 ISO27001 適用性聲明須包含個資法:利用 PDCA 過程導向,產出之文件 及作法須符合 ISO27001 條文與個資法,可藉由本章節之 ISO27001 擴大解釋整 合個資法條文來遵循。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
87
個案網站系統 ISMS 與 PIMS 整合導入實作 4.
4.1. 網站系統導入目標
本研究以現行的網站系統為實作目標,國防部全球資訊網站系統為本國在網路世界 中相當重要的門面,網站裡面所涵蓋的子系統也隨著網路取代道路資訊化的時代愈來愈 多,在眾多程式修改以符合政策所需功能,也衍生出程式控管問題,軟體有無即時更新 問題,稍微不注意,漏掉某個網頁程式或模組漏洞,很容易肇生許多資安問題與個資外 洩情事發生,在充滿惡意程式的網路世界中,營運指標性網站(中華民國國防部)不得不 小心謹慎進行。
本研究尋尋覓覓各種技術面與管理面方法,試藉由 ISMS 與 PIMS 整合導入作法可 點線面解決既有資安問題及結合資訊技術防範未來可能發生威脅,同時訂定資訊安全與 個資作業相關程序,以降低人為疏失所產生之作業流程風險,提升網站系統資訊安全與 個資保護管理水準,讓本網站永續發展。
在導入完成後,如何驗證系統是否符合國際標準各項資安要求,以及資訊系統營運 如何不觸及本國個資法各項要求,在前一章節已解釋 ISO27001 為組織之一般性資訊安 全管理制度之要求,而個資法為組織之特定性資訊安全管理制度之要求。本實作運用新 版 ISO27001:2013 包含本國個資法的驗證方式可達到此項要求。
後續網站系統營運,在不斷的 PDCA 循環中,利用 ISO27001 國際標準為主體架構,
涵蓋本國個資法各項要求來不斷改善單位內資安及個資保護管理制度,以達到事先防範 與管理風險的功能與機制。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
88