就IT角度來想
個資外洩跟機密資料外洩是一樣的事
能做的不外乎是權限與行為控管(DLP/RMS...) 與 Log archive
上網查過後,IT除了權限控管外
對於公司必需能舉證沒有違反個資法,這點倒是有點難度..
法案未出, 無以置評
但一樣的
你有沒有做到完善的資訊安全是可以被驗證的 (From access log)
直接證明是否做到該做的管理與保護
http://forum.icst.org.tw/phpbb/viewtopic.php?t=20
但是這僅是IT系統面所能做的
若有正當權限的人故意洩露
幾乎沒有辦法可以擋的
這是一場武器不對等的戰爭,如果真的個資外洩,你是要爭取罰500元,而不是20000,這差異很大,請先把基本工做好吧,在細則有11項必要措施,就先做吧,因為這個算是大原則,不太會改,所以建立組織,教育訓練,個資盤點,如果你們有仔細盤點就知道公司還欠缺什麼東西
,這時候管理辦法,就會慢慢長出來,絕對不要任意去抄別人的,因為每家公司狀況,文化,大小都不一樣
不然有說,卻沒做,在稽核來說,這算是重大缺失。
下面是11條要做的事情,
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。
以u8526425所提及的Log archive來說,可以考慮到iThome download 下載試用一個log 全收的軟體:http://download.ithome.com.tw/Chalet-DB-Logger/12342?from=Enew,說不定適用。
你可以去參加個資建置的相關課程, 課程會教, 劣者就去參加過五天的訓練課程, 也拿到個資顧問證書. 下面是一些一定要作的事, 你可以參考加以展開:
成立管理組織、配置相當資源
產業適法性調查
界定個人資料之範圍
訂定個資保護政策
認知宣導及教育訓練
個資盤點
個人資料檔案之衝擊評鑑
個人資料檔案風險評鑑
建立個資管理暨保護機制
資料暨設備安全管理
人員安全管理
事故之預防、通報及應變機制
資料安全稽核機制
資料保存
個人資料安全維護之整體持續改善
個資當事人行使個資權利處理機制
個資委外監督管理機制
業務終止後個人資料處理方法
http://www.ettoday.net/news/20130110/150765.htm
最近有很多新聞有在討論
1.同步重視「紙本」文件和「電子檔案」,進行個資盤點。
2.PDCA「規畫」、「執行」、「稽核」、「改善」:個資法及施行細則中所謂的「適當安全措施」在訂立時所必須參考的標準。
3.個資文件的使用紀錄、軌跡資料進行保存。這個步驟,首先可以確保所有的個資控管環節之落實,其次也能做到個資文件流向的事後舉證,在萬一意外發生時得以進行自保。
詳細的請自行爬內容囉
sylvie0710提到:
http://www.ettoday.net/news/20130110/150765.htm
+1