圖片來源: 

彰化銀行1年多前開始評估各種個資法因應做法,今年初,總經理拍板定案,鎖定4大會計事務所公開招標,引進外部顧問資源,8月啟動個人資料管理制度專案,彰化銀行資訊處處長曾芳明預估,1年後取得BS10012認證。

彰化銀行從資料生命周期角度分級控管個資,並在個人資料保護管理程序增加稽核制度

個資法於10月1日正式上路之後,金融業無不著手調整作業流程。而彰化銀行為了取得客戶信任,決定以國際標準為目標,重新檢視每個作業流程,並藉此機會進一步取得英國個資保護認證BS10012。

彰化銀行資訊處處長曾芳明指出,彰化銀行在1年多前就開始評估各種個資法因應做法,今年初,總經理拍板定案,鎖定4大會計事務所公開招標,引進外部顧問資源,於8月啟動個人資料管理制度專案,預計1年後取得BS10012認證。

曾芳明指出,彰化銀行旗下將近有300個應用系統,要逐一完成個資盤點再進行調整並不容易。彰化銀行的原則是,以符合國際標準規範BS 10012認證為前提,然後由資訊處往外擴大到業務端,其中,又以含有個資比例高的業務為先。

在這些原則下,彰化銀行優先鎖定資訊處8大科別以及3大業務,包括存款、信用卡以及財富管理業務等。未來是否進一步擴大到其他15個處級單位,目前還在研議。

為了因應個資法,彰化銀行特別成立專責小組,由資訊處處長擔任召集人,之下再擴及資訊處8大科別,比照過去導入ISO 27001認證的經驗。彰化銀行資訊處資訊風險科科長王信介表示,彰化銀行的個人資料管理制度專案,涵蓋5大重要階段,包括個資盤點、流程分析、個資分級控管、制度稽核、持續調整。

彰化銀行的個資盤點,主要依據顧問公司的業務流程框架(BIF),也就是經由業務流程來檢視資料流向、資料分類方式、控管機制以及資料傳遞方式等,過程中,如果遇到跨部門的業務流程,針對個資流向有所爭議時,就需要進行跨部門的溝通,同時並藉此機會將所有的業務流程重新界定清楚。

從資料生命周期分級控管個資
目前彰化銀行已經完成個資盤點,王信介表示,彰化銀行的作法是以資訊處的應用系統為核心,然後依據資料處理、資訊風險、應用發展、專案規畫、基礎工程、商品支援、資訊技術、電子銀行等8大構面,進行全方位的個資盤點,預計10月底前完成流程分析與相關程式修改,同時擬定出個資分級控管的作法。原則上,彰化銀行將從資料生命周期的角度,擬定出個資保護的權限分級控管做法。

彰化銀行為了落實個資保護,1年前就已經開始著手修改程式,同時並針對隨身碟使用,進行全行控管,預計今年底前還將擴大到光碟機控管,原則上,除非經過部門單位主管核可,否則一律禁止使用隨身碟以及光碟機等移動式儲存裝置,進而避免客戶的個資外洩。

針對電子郵件的個資管控,彰化銀行也計畫從兩方面著手提升個人資料保護,其中除了保留Log記錄,以供訴訟之需提列證據之外,還計畫導入DLP資料遺失防護,進一步針對電子郵件內容進行過濾,彰化銀行將建立個資辨識關聯性的判斷原則,鎖定符合目標條件的電子郵件,進而在郵件寄出去之前就能擋下。

此外,彰化銀行也把個資納入標準作業程序中,例如:針對新開戶,制定新的開戶約定書以及信用卡申請書等。既有用戶的個資保護,原則上,只要使用範圍沒有超過既有授權範圍,將不另行通知。

將個人資料保護管理程序納入稽核制度
此外,彰化銀行也決定將稽核程序納入個資管理程序中。王信介指出,銀行業原本就有許多稽核制度,彰銀為了因應個資法又新增了2個,其中一個是資訊處內部的資訊風險控管稽核,另一個則是BSI國際標準認證的外部稽核。基於內外部的稽核作業,11月開始將會有25位資訊處同仁接受第一個階段的個資稽核種子訓練。

如果以BS 10012認證的標準來看,目前彰化銀行資訊處的完成度已經達到50%。但是,曾芳明認為,個資保護其實沒有真正做完的一天,而是必須持續優化才能真正落實。然而,每一個改善與優化,往往就是很大的成本投資。

以電子交易為例,過去彰化銀行的策略,是以真正完成交易作為是否保留Log記錄的基準,但是,在個資法實施之後,客戶的帳戶查詢紀錄也必須保留,如果加上備援作業,相關設備的投資至少就是現在的3倍。對於銀行業者來說,個資法帶來的衝擊,就是無法掌握要做到什麼程度才是剛剛好。

曾芳明表示,彰化銀行雖然是在年初就已經確定要引進外部顧問,同時並以BS 10012國際標準為目標,但是,因為彰化銀行對於外部顧問有嚴格的篩選條件,除了必須有導入BS 10012標準的經驗之外,還必須曾經有金融業的輔導經驗,因此,花費了一段時間過濾,最終才鎖定4大會計事務所招標。

彰化銀行個資法因應作法
1. 引進外部顧問,預計1年後取得BS10012認證,先從資訊部門導入,再擴大到業務端。
2. 比照導入ISO 27001認證的經驗成立專責小組,由資訊處處長擔任召集人
3. 彰化銀行的個人資料管理制度專案,涵蓋5個階段,包括個資盤點、流程分析、個資分級控管、制度稽核、持續調整。
4. 新增2個管控機制,其一是資訊處內部的資訊風險控管稽核,另一則是BSI國際標準認證的外部稽核。
5. 10月底完成流程分析與相關程式修改,同時擬定個資分級控管作法
6. 11月開始有25位資訊處員工參加第一個階段個資稽核種子訓練

相關報導請參考「戰勝個資法第一步:成立個資因應小組」

熱門新聞


Advertisement