一、 法令依據
根據個人資料保護法條文第55條:本法施行細則,由法務部定之。目前法 務部擬定的施行細則草案第九條明定十一項安全維護事項(參考英國 BS10012:2009及日本JISQ15001:2006等個人資料管理系統之規範)所稱適 當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關 為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必 要措施。前項安全維護事項可以分成兩個層級:組織管理面與技術面,本篇 將討論組織管理面;技術面請參考 個資法安全維護事項技術篇
施行細則第12條: 適當安全維護事項
本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
1. 配置管理之人員及相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 必要之使用紀錄、軌跡資料及證據之保存。
11. 個人資料安全維護之整體持續改善。
第1項必要措施,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。

 

二、 個資法必要安全維護事項
個資法11項安全維護事項
項次 階段 重點說明 參與單位 因應對策
配置管理之人員及相當資源 PLAN
規畫階段
1.成立管理組織
2.配置相當資源
3.個資安全維護組織運作
組織高層負責
個資安全維護組織
個資處理業務
稽核部門與法務
配置管理之人員及相當資源
界定個人資料之範圍 PLAN
規畫階段
1.個人資料定義
2.個人資料盤點
3.個人資料管理權責規劃
IT
個資處理業務
稽核部門與法務
界定個人資料之範圍
個人資料之風險評估及管理機制 PLAN
規畫階段
1.個人資料隱私衝擊分析
(威脅分析)
2.個人資料之風險評估
(弱點分析)
3.個人資料之風險管理機制
組織高層
IT
個資處理業務
稽核部門與法務
個人資料之風險評估及管理機制
事故之預防、通報及應變機制 PLAN
規畫階段
1.事故之預防
2.事故之通報
3.事故應變機制
IT
個資處理業務
稽核部門與法務
事故之預防
通報及應變機制
個人資料蒐集、處理及利用之內部管理程序 DO
執行階段
1.個人資料蒐集流程管理
2.個人資料處理流程管理
3.個人資料利用流程管理
IT
個資處理業務
稽核部門與法務
個人資料蒐集
處理及利用之內部管理程序
資料安全管理及人員管理 DO
執行階段
1.資料安全管理
2.內部人員管理
3.第三方受託機關人員管理
IT
個資處理業務
HR
稽核部門與法務
資料安全管理及人員管理
認知宣導及教育訓練 DO
執行階段
1.認知宣導
2.教育訓練
IT
個資處理業務
HR
稽核部門與法務
認知宣導及教育訓練
設備安全管理 DO
執行階段
1.實體與環境安全管理
2.儲存設備安全管理
3.傳輸設備安全管理
IT
稽核部門
個資法防護方案
設備安全管理
資料安全稽核機制 CHECK
監控階段
1.內部個資處理流程稽核
2.內部個資記錄稽核
3.部署適當監控工具
IT
稽核部門
資料安全稽核機制
Email稽核/備份
稽核記錄
上網行為管理
資料庫防火牆
資料遺失防護(DLP)
使用紀錄、軌跡資料及證據保存 CHECK
監控階段
1.個資使用記錄之保存
2.軌跡資料之保存
3.證據之保存
IT
稽核部門與法務
使用紀錄、軌跡資料及證據保存
Email稽核/備份
稽核記錄
上網行為管理
資料庫防火牆
個人資料安全維護之整體持續改善 ACTION
改善階段
1.定期內部審查
2.定期個資安全維護組織會議
3.個資安全維護改善計畫
IT
個資處理業務
稽核部門與法務
個人資料安全維護之整體持續改善

 

三、 關鍵成功因素
個資法必要安全維護事項是法律層面要符合個資法的規範應當如何進行的最具體說明。所以新碩資訊也建議各界以回應這十一個必要安全維護事項做為個資法因應的出發點。
這十一個必要安全維護的關鍵成功因素:
高層領導、組織、流程、人員、資訊技術等五大基礎元素,環環相扣,缺一不可(都是執行必要安全維護事項所需要的,少了某一環節對於個資法的落實就會有很大的影響)。
高層領導
組織~個資安全維護組織運作
流程
1.個人資料風險評估及管理流程
2.個人資料蒐集流程
3.個人資料處理流程
4.個人資料利用流程
5.資料安全管理流程
6.資料安全稽核流程
7.事故之預防、通報及應變流程
8.持續改善流程
人員
1.內部人員管理
2.第三方受託機關人員管理
資訊技術
1.資料安全管理
2.設備安全管理
3.資料安全稽核
4.使用紀錄、軌跡資料及證據保存