個資盤點的3大原則

訂閱電子報│RSS訂閱 │手機版

全站文章

iT邦幫忙

iThome Online提供免費電子報，現在就訂，最新IT訊息每日寄達。

iThome 每日新聞報

iThome 產品技術報

加入iThome Online會員，立即使用討論區、Blog等服務。

‧登入 / 登出

‧	12' E政府專刊no.6(46)
‧	12' 個資法專刊No2(45)
‧	12' iTcloud No.2(44)
‧	12' e政府專刊No.5(43)
‧	12' 個資法專刊(42)
‧	11' CIO專刊(41)
‧	11' e教育專刊No.3 (40)
‧	11' e政府專刊No.4 (39)
‧	11'iTcloud專刊(38)
‧	10' e教育專刊No.2 (37)
‧	10'e政府專刊No.3 (36)
‧	09'e政府專刊No.2 (35)
‧	09'e教育專刊(34)
‧	09'e政府專刊(33)
‧	08'企業資安專刊－端點安全防護(32)
‧	08'企業採購情報誌(31)
‧	07'資訊安全技術應用專刊(30)
‧	07' 新世代資料中心專刊(29)
‧	07'企業資安技術應用專刊(28)
‧	企業採購情報誌'06冬季號(27)
‧	企業軟體技術應用專刊(25)
‧	企業資安技術應用專刊(24)

個資盤點的3大原則

文/黃彥棻 (記者) 2012-07-17

個資盤點是企業因應個資法時面臨的最大挑戰之一，從業務流程面開始進行個資盤點，掌握個資種類比數量重要的關鍵，若組織流程改變就重新個資盤點一次，都有助企業正面面對個資盤點

既然施行細則草案中的安全維護事項，已經將企業應該做的個資盤點列為必要，企業就得開始審視，個資盤點到底應該從何著手才是？範圍應該如何界定？都是企業面對個資盤點時最迷惑的部分。

個資盤點的困難在於過於分散
要符合個資法規範，得先行掌握企業內部到底擁有多少個資，才知道需要保護的標的為何，並在合理的資源應用範圍內，採用最適當的個資保護方式。

根據「iThome 2012年CIO大調查」，臺灣多數企業都認為，新版個資法所面臨最大的困難與挑戰就是「個資分散在各部門」（39.8％），其次為「因應個資法為視為只是IT部門的責任」（37.7％），第三名是「缺乏一勞永逸的因應作法」（30.2％），第四名為「高階主管對個資法的了解不足」（26％），第五名則是「投入的人力和資源不足」（23％）。從上述五點都可以發現，第一名和第三名的困難，都和企業應該如何落實個資盤點息息相關。

若從其他產業別的數據來分析，包括金融業、服務業和醫療業面臨的最大挑戰都是「個資分散各部門」；對於高科技製造業、政府與學校都是排名第二名的困擾，只有對於一般製造業而言，個資分散在各部門的問題，並不在其面對的前三名挑戰排行榜中。從這份調查中也可以發現，「個資分散各部門」是企業進行因應個資法時的最難的關卡。

盤點原則1：個資盤點要涵蓋全公司的業務流程
信義房屋集團資訊長蔡祈岩表示，法律規範其實是道德最低標準，公務機關只需要做到依法行政就不會有問題，但對於非公務機關而言，既然要做個資盤點，一定得要全公司每個部門，都對其業務流程是否擁有個人資料進行盤點。蔡祈岩說，唯有當企業全部流程都盤點過一次後，就知道哪一些業務流程看來很複雜，其實並沒有個資在內，哪一些業務流程看來很簡單，但個資含量其實很高。若能夠透過流程圖顯示個資流向，也將更為一目了然。

臺灣勤業眾信（Deloitte）企業風險管理部協理曾韵表示，一般對於輔導的企業都會建議從業務流程開始尋找、分析其所擁有的個資到底有多少。曾韵說，透過畫分業務流程，針對個資的資料流向、傳遞方式、記載類別、活動控管等方式，可以清楚區分清楚後，透過Visio的流程圖繪圖方式，將所有的業務流程清楚界定，一目了然。當然，中間如果遇到跨部門流程的個資流向產生疑義時，就需要進行跨部門的溝通，也必須同時在這個流程圖中清楚的界定出來。

曾韵指出，這個流程圖就是勤業眾信所謂的BIF（業務流程框架），而透過勤業眾信開發的工具，已經可以做到自動化將BIF轉成個資清冊的Excel檔案了。另外一種情況就是，部門業務流程清楚也少跨部門作業者，就可以以部門別做個資的業務流程分析。

盤點原則2：個資類別比數量更為重要
很多企業非常在意個資的數量多寡，只有個資數量夠多，才會吸引企業的重視。但是，蔡祈岩卻認為，個資盤點時，要掌握個資的類別比掌握個資的數量更為重要。如果能找到的個資類別越多，表示企業進行個資盤點的流程拆解的越細緻，越不容易因為遺漏的業務流程而漏盤相關的個資。

蔡祈岩舉例，很多企業會架設官方網站吸引會員加入，許多企業的網站伺服器內就隱藏有很高的個資含量。不過，即便網站資料庫的會員個資數量已經超過一百萬筆，但在他的認定上，如果該份個資的來源、蒐集、處理、利用和流向其實都是一樣的，在企業進行個資盤點時，就可以把這一大類的網站伺服器的會員資料視為同一類的個資來看，而且，不論其數量多寡，其風險對應策略都是一模一樣的。但他也提醒，只要蒐集、處理或利用有任何一個環節有差異，就應該視為另一類的個資看待。

盤點原則3：個資盤點是持續性工作，而非做一次就好
不過，勤業眾信（Deloitte）會計師事務所副總經理萬幼筠也提醒，很多企業為了因應新版個資法的施行，開始在進行各部門業務流程的個資盤點，但個資盤點不是「只做一次」就可以大功告成、永遠不需要再調整的工作項目。

萬幼筠強調，只要企業的組織有新的異動，部門同仁業務有新的調整，公司營運項目有新的增減，對於個資法規定的個資盤點流程而言，只要經歷過類似上述業務、組織或作業流程上的變動時，企業就必須重新進行一次個資盤點。當然，相較於第一次進行的個資盤點而言，因為異動而必須進行的個資盤點內容，所花費的心力就沒有像第一次執行時那麼勞心勞力。

他舉例解釋，曾經有一個金控公司做完個資盤點後，就面臨到組織改組，當時該金控重新進行一次個資盤點，盤點結果與組織異動前的結果相同，萬幼筠指出，這也證明了，原先該金控每一個業務流程所進行的個資盤點，沒有遺漏任何業務流程環節的個資。「這種因為組織變動而必須重新進行的個資盤點，也是一種個資盤點的QA（品質保證）和驗證過程。」萬幼筠說。

1 / 2

‧	6/20-6/21 Enterprise Cloud EXPO 企業雲資源應用博覽會與企業雲端論壇
‧	2013 Openfind Solution Day - 台灣區年度郵件安全與個資保護盛會
‧	省錢、安全、效率-最適合中小企業的商用電腦體驗會
‧	2013 Java Developer Day
	更多研討會

▼ ADVERTISEMENT ▼

▲ ADVERTISEMENT ▲