組織在處理個人資料時,如同ISMS一樣,要先界定好範圍, 然後進行個資的清查與盤點.
在新版個資法IT人因應之道#3-從IT面來看可能含有個資的地方
http://ithelp.ithome.com.tw/question/10100353
有提及IT面可能存在的個資, 但組織內絕不只在IT面存在個資, 也可能存在紙本, 何況即使是存放在電腦中, 也不是IT人能全面掌控, 許多都是業務/行政人員在控管. 既然如此, 個資的清查與盤點也要請這些人員一同參與, 找出可能有個資的業務流程.
ISO 27001對應的條款為Clause 4.2.1提及界定範圍, A.7則包括了資產責任與資訊分類, 組織可在相關程序或做法上律定清楚相關的責任與分類方式, 如果發現各部門都很被動, 則IT部門則能輔以工具(用google search:個資盤點工具)來協助找出隱藏在各個資訊設備的個資, 相信可使各部門保管個資就會一一現形. 也可以釐清與找出誰是組織中的個資大戶.
iThome鐵人賽
看影片追技術