設立隱私長(CPO)管理制度
所謂「隱私長」(Chief Privacy Officer,CPO),就是負責處理企業跟隱私相關的所有業務,針對各國不同的法律規範,為企業提供敏感資料的安全與使用管理政策,認識隱私資料對企業策略的影響,去訂現行的工作流程符合隱私保護規定,避免企業因侵犯個人隱私而觸法,CPO 同時也是CEO、CIO、CSO、企業員工、律師與客戶間的聯繫與溝通管道。
目前包括花旗銀行、美國銀行、AE、微軟、HP、IBM和寶鹼等跨國企業都有設有CPO,多由具有法律或公共事務背景的人出任。
導入BS7799
BS7799是由英國標準協會(BSI)所制定的資訊安全管理標準,目的在於保護與管理企業資訊和資料,指導並建立一個資訊安全管理體系,確保公司隱私資訊的控管,達到保密性、完整性及有效性。
BS7799包含上百種的管制措施,規範導入單位應該採取哪些管制措施,第一部分提供資訊安全的操作準則。
第二部分則對資訊安全管理系統提出規範,包括提出安全方針、建立安全組織、進行資產的分類與管制、確保人員安全、促進實體與環境的安全、落實通訊與運作管理、進行接觸管制、資訊安全的系統建立與維持、保持與管理商業活動的連續性及符合法律等10大目標,36個執行目標,第二部分改版後控制項目將由原來的127個增加到144個。
BS7799協助企業建立資安架構、制定資安政策、管理工作流程與教育訓練工作人員的方法。目前臺灣地區以政府機關、金融業、電信業最積極導入BS7799,他們也是屬於接觸大量個人資料的族群。
加強員工訓練與管理
企業定期對員工進行安全教育訓練是必要的,根據公司的安全政策,權衡每個部門所需的訓練程度,針對不同的安全政策,設計不同的安全課程。員工經過訓練後,更能強制執行既定的安全政策。
最好有獨立的審查機制,檢視每位員工是否需要接觸機密資料,嚴格限制使用權限,如果確實有業務需求,也應該留下存取記錄以便查核,藉此追溯問題的源頭,必要時企業可以要求員工簽署保密同意書。
一般只要對員工加強教育訓練,就能避免人為因素導致機密資料遭竊,或是工作流程中產生資安漏洞。文⊙高雅欣
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31