iT邦幫忙

0

個人資料保護法推行在即,大家都如何因應?

匿名 2012-03-19 13:03:368393 瀏覽

最近老闆要我個人資料保護法提出辦法?不知該怎麼辦才好?大家怎麼推行?有可以參考的相關辦法嗎?
老闆說要一整套,連使用單位該如何因應,也需編出一整套辦法供使得者可具體參考,大家能提供參考資料
一下嗎?麻煩一下

6
intern
iT邦新手 5 級 ‧ 2012-03-26 23:39:09
最佳解答

若希望找到一整套的參考資料,恐怕會有很大的困難,尤其是個資保護的方法需跟組織內所有業務單位、行政單位的作業流程相結合。

若您是IT單位,可以先建議老闆將個資保護推行的層級拉高,而不是IT單位自己悶著頭做,不然業務單位究竟有哪些個資(尤其是紙本資料),可能都只有業務負責人自己知道。

制度的建立上,有些單位作法是在目前組織既有的ISO 27001制度上再強化,但問題是這個制度原本導入的範圍很可能不是全公司。因此,就必須確認這些制度推行至驗證範圍外的單位是否可行?

另外,您可以參考法務部施行細則草案第九條所提到的11項「適當安全維護措施」。雖然只有標題,但至少可以給您一個方向。

匿名 檢舉

感謝各位大大提供辦法
公司高層認為是IT的事情
我是有想請專家來公司演講屆時請全公司主管都出席的構想
可是老闆認為不可行

8
heiyelin
iT邦新手 5 級 ‧ 2012-03-19 14:18:30

請專業安全顧問與資訊安全設備廠商評估,依評估表稽核後做修改公司資訊安全模式與資訊安全設備添購建置。

10
wildox
iT邦新手 3 級 ‧ 2012-03-19 14:20:07

我記得 iThome 有開論壇,您可以去報名聽一聽,有助多瞭解一點
報名網址:http://weekly.ithome.com.tw/seminar/20120330/

12
carrieyu
iT邦新手 5 級 ‧ 2012-03-19 15:41:58

要因應個資法 不論你是甚麼企業單位 都要先有盤點個資的做法 但是甚麼是企業裡的個資 要怎麼盤點 都是大學問

再來 個資要如何加密 身分認證要做得好 都是重點

我覺得電子時報這篇還滿清楚的

首先就是要把個資生命周期的規畫都做出來才行 這光靠IT應該是不夠的

希望您參考囉!

http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?id=0000272776\_PSJ8S7H76RJN7A7J9UCP2

看更多先前的回應...收起先前的回應...
匿名 檢舉

我需要管理辦法,那裡有範本?

yamichen iT邦新手 5 級 ‧ 2012-03-20 16:40:16 檢舉

軟協於3/23下午在集思交通部國際會議中心3樓國際會議廳舉辦個資保護交流會
議程內容資訊附於附件

可以去看看 當天2F也有相關服務展式 可以去參考看看

carrieyu iT邦新手 5 級 ‧ 2012-03-21 15:21:45 檢舉
carrieyu iT邦新手 5 級 ‧ 2012-03-21 15:23:26 檢舉
10
yamichen
iT邦新手 5 級 ‧ 2012-03-20 16:43:35

yamichen提到:
軟協於3/23下午在集思交通部國際會議中心3樓國際會議廳舉辦個資保護交流會議程內容資訊
http://www.cisanet.org.tw/Services/MACreate/e9489a66-e063-45b9-91f2-67c053e9efb8

可以去看看 當天2F也有相關服務展式 可以去參考看看

6
lionab
iT邦新手 2 級 ‧ 2012-03-21 09:37:22

大家不是還在觀望, 就是還在寫你想要的個資管理辦法, 現在網路上還找不到寫好的範本的.
個資法包含範圍太廣, 不是一個人能作到的, 辦法要寫個幾個月也不是不可能.
現行的各部門流程及辦法都要加入個資管控流程或Point, 應由各部門組成的個資小組統一研擬.
建議您還是去聽聽樓上幾位大大建議的研討會.

8
dojumi
iT邦新手 4 級 ‧ 2012-03-21 14:06:48

關於這個是既簡單又困難
因為你沒有說貴公司是哪一行業
基本上要快 請參閱資訊安全標準(包含技術跟管理)例ISO27001
把握幾個原則
1.什麼層級的人看什麼文件
2.查得到公司人員及客戶資料的人,其電腦設備不可以讓他可以藉由,網路或載體,可以攜帶出去。故做法上可以限定某幾台可以查到別人或客戶的資料;又或限制電腦功能...等,視產業不同,而有不同做法,甚至資料庫內容密碼化
3.若公司有對外網站,必須確認是否有做防火牆,及確定網站有一定強度,確認不會被有心人攻破,導致取得相關人員或是客戶資料
4.資料的廢棄,例如硬碟、文件等,一但廢棄、汰換,要經哪些工作?
5.確實有落實這些規範(<--超重要)
最後只要證明你的防範措施,合乎多數一般人無法輕易取得他人資料,而取得他人資料需要超常規,那麼在法律上就站的住腳。

6
victor0912
iT邦新手 5 級 ‧ 2012-03-22 22:23:59

這個部分還是建議您 先往DB著手進行,畢竟個資的部分約60-70%大約都儲存在DB裡面

公司目前有再導入 一些solution

還有個資法要完全符合 是非常困難之事 可謂天價阿~還是建議一步一步慢慢來 先從DB導入

具有不可否認性的 可以舉證的 soloution

4
ufgeorge
iT邦研究生 2 級 ‧ 2012-05-10 22:39:55

首先你要了解貴公司的風險在哪裡?
個資法絕對不是買買設備/軟體就解決的...
在我們來看,個資法絕對要『以訴訟為前提』去思考
你想只要任何一個人,跟主管機關(可以是縣市政府)去檢舉,甚至媒體爆料,主管機關公務人員一定要有作為,所以一定會來到公司做『檢查』,檢查之後如果有重大缺失,不但企業本身會被處罰(通常罰錢),連負責人個人都會連帶處罰喔
所以我們要思考的是不論我們做甚麼事情,都要能在訴訟或檢查發生時,證明我們有『善盡管理之責』,這絕對不是買產品就能解決的!!

請先讓老闆知道他個人也會因為個資法的缺失被連帶處罰! 我不相信這樣老闆還會置身事外!

看更多先前的回應...收起先前的回應...
匿名 檢舉

老闆說:聽你在....

鐵殼心 iT邦高手 1 級 ‧ 2012-05-17 10:39:30 檢舉

老闆說...誰去當抓扒仔的話, 全公司的薪水都去找那個人拿

jachal iT邦新手 5 級 ‧ 2012-06-27 09:57:38 檢舉

法律是保障懂法律的人,我們遇過很多人都在觀望。其實許多主管機關都已經開始動起來了,甚是有些主管機關在研擬針對個資檢查進行招商每次檢查可以開 2~50 萬罰單,而且這罰單繳交時間通常是很快的就像交通罰單,不像上法院還可以慢慢拖。而且對公司而言會當爪耙子的都是不爽的離職員工。就像BSA抓盜版都是不爽離職的MIS去當爪耙子。
所以建議貴公司實施個資法的步驟:
1.先建立管理組織,做教育訓練,讓大家知道個資法的嚴重性,形成共識,這樣後面才能推動盤點。
2.做個資缺口自我診斷(身體健康檢查就是個資盤點),因為只有貴公司同仁才真正瞭解公司流程。
3.針對個資缺口提出因應作為
世界上沒有個資綜合維他命,因該先把公司20%資源,放在80%高風險上,其實可以透過許多管理機制就可以降低風險了。
建議先由管理制度下手,再透過系統權限的控管例如把匯出及列印功能拿掉,最後才是花錢買資安產品。畢竟資安產品都很貴。

carrieyu iT邦新手 5 級 ‧ 2012-11-14 16:23:39 檢舉

我要發表回答

立即登入回答