彰化銀行個資分級控管，管理程序納入稽核制度

彰化銀行從資料生命周期角度分級控管個資，並在個人資料保護管理程序增加稽核制度

個資法於10月1日正式上路之後，金融業無不著手調整作業流程。而彰化銀行為了取得客戶信任，決定以國際標準為目標，重新檢視每個作業流程，並藉此機會進一步取得英國個資保護認證BS10012。

彰化銀行資訊處處長曾芳明指出，彰化銀行在1年多前就開始評估各種個資法因應做法，今年初，總經理拍板定案，鎖定4大會計事務所公開招標，引進外部顧問資源，於8月啟動個人資料管理制度專案，預計1年後取得BS10012認證。

曾芳明指出，彰化銀行旗下將近有300個應用系統，要逐一完成個資盤點再進行調整並不容易。彰化銀行的原則是，以符合國際標準規範BS 10012認證為前提，然後由資訊處往外擴大到業務端，其中，又以含有個資比例高的業務為先。

在這些原則下，彰化銀行優先鎖定資訊處8大科別以及3大業務，包括存款、信用卡以及財富管理業務等。未來是否進一步擴大到其他15個處級單位，目前還在研議。

為了因應個資法，彰化銀行特別成立專責小組，由資訊處處長擔任召集人，之下再擴及資訊處8大科別，比照過去導入ISO 27001認證的經驗。彰化銀行資訊處資訊風險科科長王信介表示，彰化銀行的個人資料管理制度專案，涵蓋5大重要階段，包括個資盤點、流程分析、個資分級控管、制度稽核、持續調整。

彰化銀行的個資盤點，主要依據顧問公司的業務流程框架（BIF），也就是經由業務流程來檢視資料流向、資料分類方式、控管機制以及資料傳遞方式等，過程中，如果遇到跨部門的業務流程，針對個資流向有所爭議時，就需要進行跨部門的溝通，同時並藉此機會將所有的業務流程重新界定清楚。

從資料生命周期分級控管個資
目前彰化銀行已經完成個資盤點，王信介表示，彰化銀行的作法是以資訊處的應用系統為核心，然後依據資料處理、資訊風險、應用發展、專案規畫、基礎工程、商品支援、資訊技術、電子銀行等8大構面，進行全方位的個資盤點，預計10月底前完成流程分析與相關程式修改，同時擬定出個資分級控管的作法。原則上，彰化銀行將從資料生命周期的角度，擬定出個資保護的權限分級控管做法。

彰化銀行為了落實個資保護，1年前就已經開始著手修改程式，同時並針對隨身碟使用，進行全行控管，預計今年底前還將擴大到光碟機控管，原則上，除非經過部門單位主管核可，否則一律禁止使用隨身碟以及光碟機等移動式儲存裝置，進而避免客戶的個資外洩。

針對電子郵件的個資管控，彰化銀行也計畫從兩方面著手提升個人資料保護，其中除了保留Log記錄，以供訴訟之需提列證據之外，還計畫導入DLP資料遺失防護，進一步針對電子郵件內容進行過濾，彰化銀行將建立個資辨識關聯性的判斷原則，鎖定符合目標條件的電子郵件，進而在郵件寄出去之前就能擋下。

此外，彰化銀行也把個資納入標準作業程序中，例如：針對新開戶，制定新的開戶約定書以及信用卡申請書等。既有用戶的個資保護，原則上，只要使用範圍沒有超過既有授權範圍，將不另行通知。

將個人資料保護管理程序納入稽核制度
此外，彰化銀行也決定將稽核程序納入個資管理程序中。王信介指出，銀行業原本就有許多稽核制度，彰銀為了因應個資法又新增了2個，其中一個是資訊處內部的資訊風險控管稽核，另一個則是BSI國際標準認證的外部稽核。基於內外部的稽核作業，11月開始將會有25位資訊處同仁接受第一個階段的個資稽核種子訓練。

如果以BS 10012認證的標準來看，目前彰化銀行資訊處的完成度已經達到50％。但是，曾芳明認為，個資保護其實沒有真正做完的一天，而是必須持續優化才能真正落實。然而，每一個改善與優化，往往就是很大的成本投資。

以電子交易為例，過去彰化銀行的策略，是以真正完成交易作為是否保留Log記錄的基準，但是，在個資法實施之後，客戶的帳戶查詢紀錄也必須保留，如果加上備援作業，相關設備的投資至少就是現在的3倍。對於銀行業者來說，個資法帶來的衝擊，就是無法掌握要做到什麼程度才是剛剛好。

曾芳明表示，彰化銀行雖然是在年初就已經確定要引進外部顧問，同時並以BS 10012國際標準為目標，但是，因為彰化銀行對於外部顧問有嚴格的篩選條件，除了必須有導入BS 10012標準的經驗之外，還必須曾經有金融業的輔導經驗，因此，花費了一段時間過濾，最終才鎖定4大會計事務所招標。

彰化銀行個資法因應作法
1. 引進外部顧問，預計1年後取得BS10012認證，先從資訊部門導入，再擴大到業務端。
2. 比照導入ISO 27001認證的經驗成立專責小組，由資訊處處長擔任召集人
3. 彰化銀行的個人資料管理制度專案，涵蓋5個階段，包括個資盤點、流程分析、個資分級控管、制度稽核、持續調整。
4. 新增2個管控機制，其一是資訊處內部的資訊風險控管稽核，另一則是BSI國際標準認證的外部稽核。
5. 10月底完成流程分析與相關程式修改，同時擬定個資分級控管作法
6. 11月開始有25位資訊處員工參加第一個階段個資稽核種子訓練

相關報導請參考「戰勝個資法第一步：成立個資因應小組」