有參與過ISMS的人員對於風險評估應該都不陌生才對,有人會問,個人資料之風險評估及管理機制也可走相同的機制嗎?
答案應是可行,但要看原本的風險評估及管理機制對於資料的分級與管控措施是否已涵蓋個人資料,如果沒有則需要針對此一部份進行補強。
補強的部份包括適法性分析的加強,因為個資法的强制要求如果沒做到,即使你將蒐集的個資保管的滴水不漏,還是可能被告發,如沒有適當法規可允許蒐集個資,蒐集時又未善盡告知的責任.
此外,在衝擊面的評估,也可將可能洩漏個資的數量與可識別度納入因子,如此一來,也可進一步識別可管控的措施.
iThome鐵人賽
看影片追技術