隨著個人資料保護法的正式上路,身為資訊人員的您,除非本身具有法律背景,否則面對多如牛毛的法條與施行細則,在日常的IT維運中是否真能派上用場,若心中還是存疑的話,或許就該尋求其他的因應之道了。
CIPP基礎考試的時間為90分鐘,一共有90個單選題,考題所涵蓋的知識領域(Common Body of Knowledge)包括了個資保護與隱私維護的共通概念與國際通用的原則,無論是屬於哪個國家或產業的人員,都必須要對這些知識有一定程度的熟悉與了解,主要涵蓋的四個領域如下:
1. 隱私維護的一般原則與方法—應考人員必須了解近代隱私維護發展的歷史、個資保護的架構與原則、個人資料的類別與定義、個資保護與隱私維護對企業可能的風險與衝擊,以及資訊的生命週期。
2. 司法管轄與產業要求—應考人員必須了解不同地理區域與國家,對於個資保護與隱私維護的法令要求,也要了解包括健康醫療、金融、電信、線上網站、政府、行銷、人資等不同產業對於隱私維護的要求。
3. 資訊安全與個資保護措施—應考人員必須熟悉有關資安的各項基礎知識,像是確保資訊安全的關鍵要素、ISO 27001資安管理標準、資安威脅與弱點的識別、資安控制措施等。
4. 線上隱私維護—應考人員必須了解含有個人資料的網站,應如何落實個資保護與隱私維護,並且熟知網站安全機制和確保線上隱私的各項基本要求。
掌握資訊科技的隱私風險
在通過CIPP基礎考試之後,接下來還需要參加額外的單科考試,才能正式取得CIPP提供的任一專業證照,CIPP/IT的考試時間為70分鐘,需要完成作答60道試題,考題所涵蓋的知識領域包括:
1. 系統活動對使用者隱私的影響—應考人員需要了解系統中所包含的個人資料類別與處理流程、了解系統開發過程中的隱私維護、了解資料存取儲存與傳輸的安全,以及如何將隱私要求納入系統設計之中。
2. 使用者對隱私的行為要求與期望—應考人員必須了解當資訊系統作為服務提供給使用者時,使用者對於隱私維護的期許做法,例如在電子商務服務中使用確保個人隱私與權益,定義營運人員的個資保護職責,以及系統監控的做法與要求等。
3. 個資保護與隱私維護的方法—應考人員需要了解資訊系統可實施的保護做法來消弭與法規要求的落差,並且熟悉可以採用的安全技術與隱私維護工具。
4. 提供告知與選擇—應考人員需要明白如何在資訊系統之中,提供法律所要求的告知事項和使用者所需的隱私選項,並且獲得使用者的同意。
5. 稽核與實施IT相關隱私標準—應考人員需要了解在資訊服務中,所適用的個資保護與隱私維護法規標準,例如ISO 38500、COBIT、ITIL、PCI DSS、HITRUST等,同時也要熟悉如何進行個資保護與隱私稽核,以及明白IT稽核員應有的角色與職責。
6. 不同資訊技術所帶來的隱私衝擊—資訊科技不斷地發展進步,面對各項新興的資訊服務,像是雲端應用、RFID、GPS與GIS地理資訊系統、身分識別技術等,應考人員必須了解其可能帶來的隱私衝擊與風險。
學習是資訊時代最好的投資
對於資訊人員而言,透過準備並取得CIPP/IT認證的過程,可以強化自己對於個資保護與隱私維護要求的專業能力,尤其是一旦被組織指定為個資工作負責人或窗口,將有充分的自信與實務知識,能夠協調人員、分配資源、指派工作以達成個資法的各項要求。
CIPP/IT認證的好處是它不限定在國家、特定產業和工作職務,無論你是系統操作人員、程式開發人員、硬體研發人員、IT經理、網站管理人員、法務人員、資安人員等,都可以藉由閱讀考試教材或參加課程訓練,來補足自己在個資保護與隱私維護的專業認知與實務技巧。
目前,除了各國政府單位之外,包括IBM、HP、Intel、微軟、Ernst & Young、PWC、KPMG、Deloitte等四大會計事務所都是國際上認可CIPP證照的企業之一,在這新的一年,如果你有志於朝向個資保護與隱私維護的工作目標發展,或許CIPP/IT就是你的最佳入口了。