【資安大趨勢】光只做好資安不夠 ? 企業應由ISO 27701指引做好個資數位證據保存
ISO / IEC 27701:2019是世界上第一個用於個人身份信息(PII)的隱私權管理的標準,此版本中不僅整合了 資安稽核證照ISO/IEC 27001 與 ISO/IEC 27002 隱私保護要求和控制措施,更能有效地落實個人資料保護原則與控制措施,是目前相關標準中最新的版本,也與全球關注議題有相當程度的接軌,就如國內的台灣個資法、資通安全管理法與歐盟GDPR等。深入探討可參考iThome展望後疫新趨勢。
資訊安全與個資保護的延伸關係過去因為個人資料保護法規定複雜,並且無法符合國內企業成本架構,面對太多的監管要求導致企業因應困難,新版ISO 27701 通過導入一組通用的管理與控制措施,使組織透過ISO的通用框架,可以整合多個法規要求,實現管理的一致性與有效性。
5G時代來臨 帶來更具威脅的資安挑戰
行政院的資通安全管理處是一個國家級的資安專責單位,英文名稱「Department of Cyber Security」,儘管有了資源和新法案之後,但是行政院發現,就是推動資安業務的人力不足。
資安法將八大關鍵基礎設施提供者納入規範,包括:能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等,包括今年電信業者完成競標的5G,也會是資安法列管對象,公務與非公務機關,都負有資安通報和資訊分享的義務及需接受資通安全行政檢查。
資安法新三大議題已在在各產業全面啓動
金融業的保險、銀行與證期業者就要遵循法規照辦,,只要是資本額100億元以上的公司,或是上年底為臺灣50指數成分的公司,或是電子商務與人力銀行業為主的公司,必須要設置資安長以及專責單位。至於其他上市櫃公司,則要求在2023年底前,必須設置資安專責主管及至少1名資安專責人員,而且,即便是每股淨值低於10元、近三年稅前純益連續虧損的公司,政府也採鼓勵態度,建議至少設置1名資安專責人員。(資料來源iThome)
而資安危機的背後也是龐大的商機,在金管會拍板定案下推動Open banking計畫的前提下,銀行資安標準因自我要求導入ISO 27001和ISO 27701,這也是未來一定要做的事情。
資訊安全及個資管理不可偏廢
GDPR的特性,就是在談個資保護時,裡面有安全方面的處理要求,ISO 27701剛好又是兼顧兩者,而不是個資保護及安全處理分開,經由這樣的管理制度運行,相關的證據就比較容易保存出來,如果再配合第三方的稽核機制,它的可信度又更具公信力。
ISO 27701相當強調數位證據,如紀錄、軌跡資料的保存,又比如說誰可以存取、誰不行存取,以及保存的時間與方式。企業在運作ISO 27701管理制度時,須定義紀錄保存期限到底要多長,如果有適法性的因素存在,就應按照適法性的要求處理。
近期有些洩漏個資的案例在法院上攻防時,如果沒有建立「個人資料檔案安全維護計畫」就導致敗訴;就算有作資訊安全防護如防火牆,但是沒有建立管理制度也還是敗訴;還有一個案例是某企業委託資安公司做弱點掃描,也有導入PCI-DSS(支付卡產業資料安全標準),但最後法院是以「缺乏個資保護的有效性」而被判敗訴。也就是雖然你做了資安,但是洩漏的是個資,而且不是只有一次,因此法官認定為無效,最終還是敗訴。
目前在公部門、電信業、金融業最熱門的隱私稽核員認證
ISO / IEC 27701:2019目前是世界上最權威的隱私保護標準之一,臺灣金融業因為開放銀行的趨勢,金管會要求所有參加開放銀行(Open banking)和開放API(Open API)的生態鏈業者,都必須落實「Open API業務安全控管作業規範」在這個前提之下,已經成為金融業在今年必須遵從的個資安全標準。
透過實際角色演練,了解資訊安全管理與個人資料隱私保護管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。
由金融從業人員現身分享課程培訓心得:「個資保護議題逐年受到重視,企業在處理個人敏感性資料若稍有不慎,可能造成客怨,甚至是法律問題,這已經是我第3次來恆逸培訓國際標準法了,在這裡除了學到管理系統知識,對於工作上的想法也有很大的幫助...詳細證言內容」
✅業界熱門課程推薦
🔰以下課程為恆逸「數位發展部資通安全署」認可之資通安全專業證照
📌ISO 22301:2019 主導稽核員 (BCMS, 營運持續管理系統) 培訓課程
✅最新熱門課程推薦
以上內容文獻參考
1、行政院資安處-國家資通安全發展方案
2、「NACS台灣文官學會」T&D 飛訊第262期刊
3、「國土及公共安全治理」108年12月季刊-整合資安與個資管理系統的國際標準-ISO/IEC 27701 簡介與應用
4、iThome
5、CIO IT經理人
4、iThome
5、CIO IT經理人
6、國立台灣大學計算機及資訊網路中心 第0050期刊
0 意見:
張貼留言