[個資法施行細則第12條安全維護事項特別講座3/11]
今天我們來談談第二項第3款:「個人資料之風險評估及管理機制」
這個要求是承繼第2款,「界定個人資料之範圍」而來。因為當一個組織或單位,確認應蒐集的個資種類後,接著就應該針對機敏性高低不同的個資,採取嚴密度較高或一般的管理手段。
舉例來說,個人月薪金額的機敏性必定比個人畢業的學校名稱更高,就應該對個人月薪金額採取更高規格的管理措施。如果這些月薪資訊是以資料庫系統的形式存在的話,組織或單位就應該特別加以處理,例如加密、稽核等等措施。
但是,台灣企業資訊部門普遍人力不足的狀況下,大家身兼多職是常態。因此,要將資料庫的管理做到切實的分權分責在實務上相當困難。所以資料庫管理人員能讀取資料庫中所有資料的狀況,其實相當普遍,因此稽核就成為非常重要的管理機制。至少留下記錄,以便釐清資料庫管理人員取用敏感資料的原因。
http://twblog.chalettech.com/
http://www.chalettech.com/en
chalettech
iThome鐵人賽
看影片追技術