個人資料保護法 第 29 條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限...
在9/26個人資料保護法施行細則正式版尚未公布前的施行細則草案第9條中第一項為〔成立管理組織,配置相當資源〕,但正式公布後第12條中第一項則改為〔配置管理之人員...
個資蒐集的基本原則,在個資法第5條及第6條中陳述,但許多人並未能抓到其重點,以下來進行相關觀念的分享。 個資法 第 5 條 個人資料之蒐集、處理或利用,應尊重當...
個人資料蒐集、處理及利用之內部管理程序與每個組織的業務流程有關, 此一部份最好由業務或行政部門起草. 研提內部管理程序時可依公務機關或非公務機關區分, 公務機關...
為展現對個資的良善管理,組織一定要妥善建立相關使用紀錄,並確保軌跡資料及證據能被安全的保存。 以下將說明對應ISO 27001的控制目標與措施的要求. Clau...
在台灣多數是由IT部門主導來導入ISO 27001, 然而ISO 27001只適用在IT部門嗎? 其實不是這樣的, 因為在ISO 27001的適用範圍就明言....
在談了許多個資法的要求之後,也希望以案例來分享經驗。 第一個案例以帳號註冊流程來討論其可能產生的個資風險。 話說個資法剛上路後,我就接到太座的指示到某一網路書店...
因應之道第1要務就是要先瞭解個資法與施行細則,以下先分享幾個網址與大家分享,請有興趣的IT人先看看,後續再就相關內容進行研討. 全國法規資料庫 http://l...
接下來我們來看看個資法對非公務機關之行政處罰較重的部份 第 47 條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上...
接下來, 我們先來瞭解個人資料的定義. 個人資料保護法第2條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特...
接下來我們來看看個資法刑罰的部份 第 41 條 違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳...
如果先不管業務流程, 光從IT面來看可能含有個資的地方有那些? 用戶端(PC, NB) 電子檔(.doc, .xls, .mdb, …) email 暫存區(包...
接下來我們來看看個資法之損害賠償 第 28 條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變...
本年度【企業資安日論壇】將於8/21(四)舉辦,主題為「內外兼顧的企業智慧資產防護策略與實踐」,探索當前雲端應用、個人化與行動化時代下,如何從內到外做好企業資料...
個資法第8條要求 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的...
個人資料保護法 第 1 條 開宗明義即提及 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。 所以只要涉及到[個人資...
有參與過ISMS的人員對於風險評估應該都不陌生才對,有人會問,個人資料之風險評估及管理機制也可走相同的機制嗎? 答案應是可行,但要看原本的風險評估及管理機制對於...
談到資料安全管理及人員管理,可對應於ISO 27001的A.7 & A.8, A.9, A.10, A.11也有相關控制措施對應.以下將說明對應的控制目...
持續改善為管理系統重要的精神,可直接參考現有的矯正預防措施處理程序進行持續改善工作。 以下將說明對應ISO 27001的本文的要求. Clause 4.2.4...
談到資料安全稽核機制,就是PDCA的Check機制之一, Check的目的不在找缺點, 而在檢視制度面是否落實, 以及制度面或執行面是否有可以改善的地方. 要建...
個資法第12條:公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或 其他侵害者,應查明後以適當方式通知當事人。 除此之外, 機關還應該公開提供詢問...
接下來我們來看看另一個個資風險案例 先前曾提及ISO 29100中資料最小化(Data minimization),蒐集限制(Collection limita...
接下來我們來看看個資法對非公務機關之行政處罰較輕的部份 第 48 條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改...
組織在處理個人資料時,如同ISMS一樣,要先界定好範圍, 然後進行個資的清查與盤點. 在新版個資法IT人因應之道#3-從IT面來看可能含有個資的地方 http:...
第一個案例以帳號註冊流程來討論其可能產生的個資風險。 也說明了網站加密與服務條款,一項過關,一項Fail,接下來看看此一網站蒐集的個資。 此一網站蒐集的個資包括...
先前已2次討論紙本文件有可能的風險案例. 現在再做進一步討論其它紙本文件的風險 有時個資只要保留很短的期間即可, 如有些單位在提供同仁教育訓練的同時, 也會請同...
我們再來看看第四個個資風險案例 這一次我們來討論紙本文件有可能的風險案例. 有時侯有些單位會將含個資的資料上鎖保管, 但只要上鎖就好了嗎? 電子資料我們會設定好...
談到設備安全管理,可對應於ISO 27001的A.9, A.11, 以下將說明對應的控制目標與措施. A.9.1 Secure areas安全區域 A.9.1....
讓我們再看看第二個個資風險案例, 有關查詢畫面的呈現. 以學校為例, 學校可能會將學生的資料建檔, 包含學生的基本資料, 含身分證字號, 生日, 地址, 手機,...
認知宣導及教育訓練要如何進行呢?以下分享我的想法 各類人員需要的訓練各有不同,主管部份可強化法規面的認知與如何善盡管理責任,以及個資風險的概念,此外主管通常也可...
fishk
iThome鐵人賽
看影片追技術