個資法看來來勢洶洶, 我的團隊想先開始, 可是上面的老闆要求要先看到業界是否已有相關的參考資訊, 例如: 有哪些公司已開始因應? 因應方式有哪些?
已邀請的邦友 {{ invite_list.length }}/5
個資法受衝擊最深的依序是政府、金融、醫療,兩年幾乎七成以上的機關與企業都已經開始著手因應個資法的法規遵循義務。大約三成左右的機關與企業有導入各種解決方案。
可以就個資的蒐集、處理、利用三個階段來看因應方式:
蒐集:應該重新審視企業與客戶的契約內容或是機關職掌,以確立個資蒐集的合法性,與告知義務的遵循。
處理:必須重新盤點個資,清理個資,釐清組織內處理個資的各項流程。
利用:建立個資利用的安全稽核機制,留存軌跡資料與證據保存。
其餘的資安義務都與一般的資訊安全工作雷同,可以參照ISO27001等規範,建立個資防護的組織與流程,分階段與優先順序逐步完善。
基本上個資法還有很多實際執行上的問題, 例如 : 何謂 "善盡個資管理責任" ?
這就是一個很大又很模稜两可的問題。
我覺得你應當要先從資料的移轉和輸出作管控,一定要有能夠辨識某種行為是哪個 "人" 進行的證據。
只要大家覺得能夠查到他自己,就會好好的保護個資了。也就降低了個資外洩的風險。
千萬不要一開始就把各部門都搞得人仰馬翻,開一大堆會、指定誰當甚麼個資職務
,不但沒效果,搞死大家還搞臭你自己。
或許,你可以參考,法務部的資源
先盤點,定方向,下政策,最後思考技術工具與規範員工問題。
法務部個人資料保護法
http://www.moj.gov.tw/lp.asp?ctNode=28007&CtUnit=805&BaseDSD=7&mp=001
iThome鐵人賽
看影片追技術