彰銀擬1年後取得BS 10012個資認證

彰化銀行1年多前開始評估各種個資法因應做法，今年初拍板定案後，鎖定4大會計事務所公開招標，引進外部顧問資源，彰化銀行資訊處處長曾芳明預計，1年後要取得個資標準認證BS 10012。

個資法於10月1日正式上路之後，金融業無不著手調整作業流程。而彰化銀行為了取得客戶信任，決定以國際標準為目標，重新檢視每個作業流程，並藉此機會進一步取得英國個資保護認證BS 10012。

彰化銀行資訊處處長曾芳明指出，彰化銀行在1年多前就開始評估各種個資法因應做法，今年初，總經理拍板定案，鎖定4大會計事務所公開招標，引進外部顧問資源，於8月啟動個人資料管理制度專案，預計1年後取得BS 10012認證。

曾芳明指出，彰化銀行旗下將近有300個應用系統，要逐一完成個資盤點再進行調整並不容易。彰化銀行的原則是，以符合國際標準規範BS 10012認證為前提，然後由資訊處往外擴大到業務端，其中，又以含有個資比例高的業務為先。在這些原則下，彰化銀行優先鎖定資訊處8大科別以及3大業務，包括存款、信用卡以及財富管理業務等。未來是否進一步擴大到其他15個處級單位，目前還在研議。

為了因應個資法，彰化銀行特別成立專責小組，由資訊處處長擔任召集人，之下再擴及資訊處8大科別，比照過去導入ISO 27001認證的經驗。彰化銀行資訊處資訊風險科科長王信介表示，彰化銀行的個人資料管理制度專案，涵蓋5大重要階段，包括個資盤點、流程分析、個資分級控管、制度稽核、持續調整。

從資料生命周期的角度，擬定個資保護的權限分級控管做法
目前彰化銀行已經完成個資盤點，王信介表示，彰化銀行的作法是以資訊處的應用系統為核心，然後依據資料處理、資訊風險、應用發展、專案規畫、基礎工程、商品支援、資訊技術、電子銀行等8大構面，進行全方位的個資盤點，預計10月底前完成流程分析與相關程式修改，同時擬定出個資分級控管的作法。原則上，彰化銀行將從資料生命周期的角度，擬定出個資保護的權限分級控管做法。

彰化銀行為了落實個資保護，也決定將稽核程序納入個資管理程序中。王信介指出，銀行業原本就有許多稽核制度，彰銀為了因應個資法又新增了2個，其中一個是資訊處內部的資訊風險控管稽核，另一個則是BSI國際標準認證的外部稽核。

基於內外部的稽核作業，彰化銀行計畫11月開始讓25位資訊處同仁接受第一個階段的個資稽核種子訓練。

曾芳明表示，如果以BS 10012認證的標準來看，彰化銀行資訊處的完成度已經達到50％。但是，個資保護其實沒有真正做完的一天，而是必須持續優化才能真正落實。然而，每一個改善與優化，往往就是很大的成本投資。

以電子交易為例，過去彰化銀行的策略，是以真正完成交易作為是否保留Log記錄的基準，但是，在個資法實施之後，客戶的帳戶查詢紀錄也必須保留，如果加上備援作業，相關設備的投資至少就是現在的3倍。對於銀行業者來說，個資法帶來的衝擊，就是無法掌握要做到什麼程度才是剛剛好。文⊙楊惠芬