【資安大趨勢】光只做好資安不夠 ? 企業應由ISO 27701指引做好個資數位證據保存

ISO / IEC 27701：2019是世界上第一個用於個人身份信息（PII）的隱私權管理的標準，此版本中不僅整合了 資安稽核證照ISO/IEC 27001 與 ISO/IEC 27002 隱私保護要求和控制措施，更能有效地落實個人資料保護原則與控制措施，是目前相關標準中最新的版本，也與全球關注議題有相當程度的接軌，就如國內的台灣個資法、資通安全管理法與歐盟GDPR等。深入探討可參考iThome展望後疫新趨勢。

資訊安全與個資保護的延伸關係

過去因為個人資料保護法規定複雜，並且無法符合國內企業成本架構，面對太多的監管要求導致企業因應困難，新版ISO 27701 通過導入一組通用的管理與控制措施，使組織透過ISO的通用框架，可以整合多個法規要求，實現管理的一致性與有效性。

5G時代來臨 帶來更具威脅的資安挑戰

行政院的資通安全管理處是一個國家級的資安專責單位，英文名稱「Department of Cyber Security」，儘管有了資源和新法案之後，但是行政院發現，就是推動資安業務的人力不足。

資安法將八大關鍵基礎設施提供者納入規範，包括：能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等，包括今年電信業者完成競標的5G，也會是資安法列管對象，公務與非公務機關，都負有資安通報和資訊分享的義務及需接受資通安全行政檢查。

資安法新三大議題已在在各產業全面啓動

金融業的保險、銀行與證期業者就要遵循法規照辦，，只要是資本額100億元以上的公司，或是上年底為臺灣50指數成分的公司，或是電子商務與人力銀行業為主的公司，必須要設置資安長以及專責單位。至於其他上市櫃公司，則要求在2023年底前，必須設置資安專責主管及至少1名資安專責人員，而且，即便是每股淨值低於10元、近三年稅前純益連續虧損的公司，政府也採鼓勵態度，建議至少設置1名資安專責人員。(資料來源iThome)

而資安危機的背後也是龐大的商機，在金管會拍板定案下推動Open banking計畫的前提下，銀行資安標準因自我要求導入ISO 27001和ISO 27701，這也是未來一定要做的事情。

資訊安全及個資管理不可偏廢

GDPR的特性，就是在談個資保護時，裡面有安全方面的處理要求，ISO 27701剛好又是兼顧兩者，而不是個資保護及安全處理分開，經由這樣的管理制度運行，相關的證據就比較容易保存出來，如果再配合第三方的稽核機制，它的可信度又更具公信力。

ISO 27701相當強調數位證據，如紀錄、軌跡資料的保存，又比如說誰可以存取、誰不行存取，以及保存的時間與方式。企業在運作ISO 27701管理制度時，須定義紀錄保存期限到底要多長，如果有適法性的因素存在，就應按照適法性的要求處理。

近期有些洩漏個資的案例在法院上攻防時，如果沒有建立「個人資料檔案安全維護計畫」就導致敗訴；就算有作資訊安全防護如防火牆，但是沒有建立管理制度也還是敗訴；還有一個案例是某企業委託資安公司做弱點掃描，也有導入PCI-DSS（支付卡產業資料安全標準），但最後法院是以「缺乏個資保護的有效性」而被判敗訴。也就是雖然你做了資安，但是洩漏的是個資，而且不是只有一次，因此法官認定為無效，最終還是敗訴。

目前在公部門、電信業、金融業最熱門的隱私稽核員認證

ISO / IEC 27701：2019目前是世界上最權威的隱私保護標準之一，臺灣金融業因為開放銀行的趨勢，金管會要求所有參加開放銀行（Open banking）和開放API（Open API）的生態鏈業者，都必須落實「Open API業務安全控管作業規範」在這個前提之下，已經成為金融業在今年必須遵從的個資安全標準。

透過實際角色演練，了解資訊安全管理與個人資料隱私保護管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。

由金融從業人員現身分享課程培訓心得：「個資保護議題逐年受到重視，企業在處理個人敏感性資料若稍有不慎，可能造成客怨，甚至是法律問題，這已經是我第3次來恆逸培訓國際標準法了，在這裡除了學到管理系統知識，對於工作上的想法也有很大的幫助...詳細證言內容」

✅業界熱門課程推薦

🔰以下課程為恆逸「行政院國家資通安全會報」認可之資通安全專業證照

📌ISO 27701個人資料隱私管理系統稽核員/主導稽核員培訓課程

📌ISO 27001資訊安全管理系統主導稽核員訓練課程
📌ISO 22301:2019 主導稽核員 (BCMS, 營運持續管理系統) 培訓課程

✅2023年最新熱門課程推薦

📌雲服務資訊安全管理 (ISO/IEC 27017)與

雲服務個人資料保護管理 (ISO/IEC 27018)主導稽核員訓練課程

以上內容文獻參考

1、行政院資安處-國家資通安全發展方案

2、「NACS台灣文官學會」T&D 飛訊第262期刊

3、「國土及公共安全治理」108年12月季刊-整合資安與個資管理系統的國際標準-ISO/IEC 27701 簡介與應用
4、iThome
5、CIO IT經理人

6、國立台灣大學計算機及資訊網路中心 第0050期刊