國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
46
人資料保護兩者之間取得平衡。3.儲存與備份管理:如何確保資料的生命周期已妥善定 義與管理。4.存取管理:資料之存取管理如何加強。5.資訊安全事故管理:如何整合事 故通報與處置程序。6.遵循性:適法性之必要。
在專家建議上,看的出來,個資法的通過對已取得ISO 27001的驗證者,具有加乘 之效。針對涉及個人資料部分可以加強其管理之效度,同時檢視相關之技術配套措施是 否足夠。
在鄭伊雯(101年)[5]提及ISO 27001 國際標準乃是為了提供模範以建立、實施、操作、
監控、審查、維護及改善ISMS 而準備,而ISMS 之採用必須是組織的策略性決策[20]。
因其控制目標包含了資訊安全政策、資訊安全組織、資產管理、人力資源安全、實體與 環境安全、密碼學、存取控制、運作安全、通訊安全、供應者關係、資訊系統獲取開發 及維護、資訊安全事故管理、營運持續管理之資訊安全層面與遵循性等14 個控制領域,
對保護個人資料而言,提供了良好的防護基礎。
3.2. 各角度探討整合可行性
本章節試著從本質上去探討整合之可行性,從資料生命週期角度、資安 CIA 角度、
PDCA 角度、作業流程角度來深入了解資訊安全與個資保護之間的相似之處。
3.2.1.從資料生命週期角度
在本研究試著從資訊作業流程中,資料生命週期來探討與切入,在實務工作上也就 能全方面達到資訊安全維護工作,避免只是某角度談論資訊安全;例如 IT 人員只專注 在資安設備上的防護,卻往往忽略最機敏資料在老闆電腦,老闆電腦卻遭郵件社交工程 被入侵;假設公司的資訊,有 25%資訊以書面文件方式儲存,20%資訊以電子化方式儲 存,40%資訊儲存在員工腦袋,那剩下 15%資訊儲存何處?;藉著以作業流程去檢視資 訊生命週期各個控制點,較能達到滴水不漏的維護工作。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
47
圖 3-1:資訊作業管理流程資料生命週期 資料來源:本研究自行整理
個人資料保護法的第一章第一條已明定個人資料之蒐集、處理及利用是該法的核心,
其實就是組織的「業務流程」中所延伸之「個人資料流程」,參考個資法所要求之個人 資料各個階段生命週期(如圖 3-2),與「業務流程」中所延伸之「資訊作業流程」所產生 的資料生命週期(如圖 3-1),有異曲同工之妙。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
48
圖 3-2:個人資料管理流程個資生命週期 資料來源:本研究自行整理
3.2.2.從資安 CIA 角度
資訊安全的精神主要為確保資訊的以下三項特性:
機密性(Confidentiality):資訊不可被未經授權的個人、實體或流程取得或揭露。
完 整 性 (Integrity) : 保 護 資 訊 以 及 資 產 的 準 確 度 (Accuracy) 與 完 全 性 (Completeness)。
可用性(Availability):經授權的個體在需要時可以存取或使用資訊及相關資產。
然而,個資安全的精神為組織在執行各項工作的[作業流程]中,所延伸出個人資料 流程的風險管理機制,包含:
保護與維護經授權所限制之個人資料存取及揭發的程度[機密性]。
保護個人隱私與私有資訊之手段/方法/工具[機密性]。
防範違反不當之個人資料修改/破壞/消滅[完整性]。
擔保個人資料之不可否認性與可信賴性[完整性]。
擔保個人資料被存取時之及時性與可靠性之程度[可用性]。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
49
3.2.3 從 PDCA 角度
資訊安全管理系統與個人資料管理系統均採 PDCA 管理系統模型,代表在其運作的 的原理是相同的,都是利用管理系統的計畫、執行、檢核、改進的程序,不斷改善其管 理水準。
3.2.4 從作業流程角度
個人資料保護法的第一章第一條已明定個人資料之蒐集、處理及利用是該法的核心,
其實就是組織的「業務流程」中所延伸之「個人資料流程」。
然而,資訊安全的精神為組織在執行各項工作的「作業流程」中,所延伸出資訊流 程的風險管理機制,在確保資訊的機密性、完整性、可用性。
不管在資安上所探討的作業流程上所延伸的資訊流程,或者個資所提及的業務流程 上所延伸的個資流程,均屬須在作業流程上去進行相關的風險管理機制。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
50