上一期談到未來在個人資料保護法正式實施之後,對各行各業可能帶來的衝擊,以及違反法律將會面臨的行政裁罰與刑責,同時也建議組織在等待施行細則公布之前,應該提早作好因應措施,本期將說明建議實施的方法。
最近,許多朋友和筆者聊到新版個人資料保護法(以下簡稱個資法)的議題,對於法條的內容要求都存有一些疑義,尤其是面對未來可能的罰責,以及針對個資保護實施的應有作為,皆感到茫然而不知所措。 雖然,目前僅通過個資法的母法,施行細則還在修訂之中,預計最快一年至一年半的時間才會公布,但若是等到實施之後才來因應,恐怕為時已晚,因此在新法尚未實施之前,組織的因應做法,建議可分成以下三階段來進行:
1.實施教育訓練
組織應邀請所有和個資有關的人員,例如人事、法務、行銷、客服、資訊等單位,進行個資保護教育訓練,實施的內容包括了個資法的法條內容逐一討論,了解個資蒐集、處理、利用應注意事項,以及個資保護的資安控制措施等,讓大家清楚明白法律的要求,才可準備相關的因應作為。
2. 評估技術防護
組織應執行一次完整的資安體檢,尤其是個資所在的位置,例如實體環境的文件櫃、檔案室、辦公處所、機房等,還有資訊設備像是資料庫、應用系統、儲存媒體及網路設備等,針對個資的存取、傳輸、儲存、銷毀方式,逐一進行清查確認,這方面可參考以下的支付卡行業資料安全標準(PCI DSS)要求來進行。
3.導入管理系統
若組織已經導入資訊安全管理系統(ISMS),並且已取得ISO 27001的認證,那麼就可以將個資保護納入現行管理制度的範圍,並針對各項需識別的個人資料,增設個資資產清冊,或是進行個資風險評鑑與處理等。若是沒有導入ISMS的組織,則可以參考網管人4月號所提到的BS 10012標準,導入個人資訊管理系統(PIMS),藉由管理系統的文件化與PDCA的持續改善要求,來確保和個資有關的作業流程,均受到妥善的監控與保護。
PCI DSS的資料安全評估
PCI DSS是由American Express、DFS、JCB、MasterCard、Visa等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council所制定,要求所有提供信用卡服務的商店和相關業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準要求的安全控制措施。
此一提供給全球產業共同遵守的資料安全標準,雖然是用來保護信用卡持卡人的資料,但其主要目的就是為了要保護個人敏感資訊,以確保交易的安全。因此,對於想要保護個資的企業,若是能夠參考PCI DSS中所明訂的12項要求作為個資保護的安全基礎,並且將這些要求融入和個資安全有關的評估之中,藉由自我檢視這12項要求,將可協助組織了解現有的資料保護安全現況。
首先,組織必須要建立防火牆的安全配置,項目包括防火牆的規劃拓樸圖、防火牆規則的設定說明,以及DMZ區中的安全設定與網段區隔。基本上,除了必要的網路協定之外,其他不必要的網路服務與通訊埠皆不應對外開放,而且只要是儲存含有個人資料的系統,它和公用伺服器之間的任何連線,都要建立防火牆來加以區隔,同時也藉由實施IP偽裝的機制(NAT),來避免內部主機位址暴露在網際網路上,以限制任何儲存敏感資訊的系統可以被外部公開地存取。
若是透過外包的設備供應商來安裝各式系統和網路元件,例如防火牆、路由器、無線網路基地台等,應該修改系統管理的預設值,並針對所有的管理連線進行加密,以避免駭客直接以系統預設帳號及密碼,繞過防線直接侵入到系統之中。另外,若是自行開發各項擴充的系統元件,應採取業界建議的安全開發配置標準。(更多精采文章詳見網管人第54期)