新版個資法施行細則第十二條必要措施問題探討

Q1：如何配置管理之人員及相當資源?

A：

可依所須支出之費用與所欲達成之個人資料保護目的符合適當例者為考量，建議架構如下:

Q2：如何界定個人資料之範圍?

A：

除了公司以會議檢核個人資料所保存地點與設備外，建議可使用McAfee DLP-Discovery自動化方式自動搜尋整個網路各主機(File Server / Database / Desktop / Storage / Mail Archive)是否仍有漏網之魚，以確保個資盤點之完整性。

Q3：如何作好個人資料之風險評估及管理機制?

A：

應先進行目前公司既有IT作業流程與因應個資法之保護政策作一差異化比較, 如下圖所示:

建議同時可利用客觀自動化工具McAfee Vulnerability Management協助自動找出網路及系統是否仍存有弱點待補強。

Q4：如何作好事故之預防、通報及應變機制?

A：

(a) 預防

建議可考量以下的資安設備作自動降低個資被竊之危險

1) 資料防止外洩- McAfee Host/Network DLP

2) 終端全方位防護 – McAfee Total Protection for Endpoint

3) 弱點管理系統 – McAfee Vulnerability Management

4) 統一日誌管埋系統 – Sawmill

5) 上網側錄系統 – AboCom Content Recorder

6) 統一型威脅防護 – Fortinet Fortigate

7) 入侵防禦 – McAfee IPS(NSP)

8) 網頁應用程式防火牆 – TrustWave WAF

9) 資料庫存取稽核管理 – Chalet ADS/CSI

10) IP-MAC管理系統 - ARPScanner

11) 作業系統特權稽核管理 – BeyondTrust Powerbroker Server

12) 行動裝置資安管理 – McAfee Enterprise Mobility Management

(b) 通報

對於個資外洩事故的客戶通報，可以用書面、電話、傳真、電子文件或其他適當方式為之，但建議對系統本身的重要資安事件應用自動化方式以email/簡訊/電話主動告知。

屬企業自行規劃範圍，從個資外洩事件發生後的應變到最後通報當事人的流程，都必須清楚規定。同時建議應該要定期演練及作好如何備妥進行數位證據鑑識相闗程序。

Q5：如何作好個人資料蒐集、處理及利用之內部管理程序?

A：

公司應進行相關程序書的撰寫，建議以以下原則為基礎:

產出的對應的文件類別建議如下: