面對個資法遵循的需求,對個資使用的清查與評鑑是許多企業會遇到的問題。個資清查只是第一步,但接下來要該怎麼做,很多公司的作法莫衷一是。

我們在網路上搜尋個資相關工具時,意外發現以金融風險管理顧問服務知名的勤業眾信,也親自下海做產品,開發個資清查相關的系統工具。這款去年推出的企業風險管理平臺RiskCare,當中即包含個資清冊、資訊資產清冊與風險評鑑模組,可對應個資管理的應用。

如果企業要分析個資流向、製作個資清冊,過去可能需要自行土法煉鋼來完成,而現在勤業眾信提供一套集中管理化的系統可便於個資清查的應用。

從個資檔案生命週期面向管理

這個系統平臺是勤業眾信針對臺灣市場研發,最大特色是發展出個人資料管理制度建置的方法,以個資檔案生命週期的管理方式,從業務流程掌控個資流向、傳遞方式等,並為企業提供單一窗口管理方式掌控個資風險。

以個資清冊的應用而言,這套系統的使用方式結合了勤業眾信發展的企業資訊流概覽圖(Business Information Framework,BIF)方法論,具有自動建立清冊,以及風險評鑑的功能,藉以增進企業組織掌控個資風險的能力。操作上,這套系統提供網頁式的管理介面,並提供對應不同使用權限的管控機制,企業分別建立不同角色的使用者,例如系統管理員、清冊管理人員、清冊維護人員與一般使用者,便於企業管理時,可以依據不同權責賦予對應的系統權限。

企業在導入這套系統時,系統平臺主要建置在企業內部系統主機上,它的管理伺服器系統需求環境,包含Windows Server 2008作業系統、微軟SQL Server 2008資料庫,並安裝應用程式伺服器Apache Tomcat 7或IBM WebSphere 7。企業可以選擇顧問服務另外搭配選購導入,也可以僅購買系統建置及導入服務使用,它的計費方式是以同時上線使用者數量的級距為單位,以專案方式議價,價格並未公開。

可將個資流程圖,自動轉換為個人資料檔案清單

使用上,該系統的個資清查應用,是以業務流程面向掌握個資動向,涵蓋個人資料檔案蒐集、製作、傳輸、使用的生命週期。在個資清冊模組的管理介面上,可定義清冊、生命週期、部門與流程,以及設定資產群組、屬性欄位及生命週期欄位。

當企業新增業務流程時,首先,個資小組需通知流程相關部門,並與各單位訪談,透過微軟Visio流程圖工具,繪製完整業務流程與個資流向的BIF圖(VSD檔案格式),以清楚界定業務流程與個資流向,然後上傳至系統。

RiskCare也提供了一個迅速建立個資清冊的方式,在系統平臺上匯入圖像形式的BIF圖時,系統便能夠自動分析圖形,並轉換成Excel資料表形式的個人資料檔案清冊。過程中,像是將資料來源、接收來源、傳遞方式、傳輸種類等項目都能自動填入,相較於人工製作個資清冊、逐筆填寫,這種更自動化的方式,可加快建立清冊的速度,並減少人工回填錯誤的可能性。

若是未來業務變動,修改也很方便,只需修改原本的BIF圖,透過轉換便能使清冊結果與BIF圖一致,管理者並可透過比對功能,比較異動前後的差異。現場我們實際匯入一份BIF圖,只要不到10秒的時間即轉出為清冊,相當迅速。不過,自動轉換也有其限制,部分欄位仍須人力手動補充,像是資料的保存年限、刪除的方式與理由等。

對於管理者而言,建立格式化的個資清冊,可以方便地進行總覽、統計、分析的作業,資料匯出、匯入也很容易,便於後續的集中化管理,像是日後的維護、更新與查詢。

舉例來說,在清冊異動管理時,管理者可利用匯出入管理功能,將流程相關清冊匯出,即可從工作流程檢視個資使用狀況,或是將表單生命週期與部門關連資料匯出,以便檢視企業所有個人資料檔案名稱,從檔案面向掌握個資使用範圍與單位,查詢方式彈性。而且,從清冊異動的歷史資料中,可檢視異動歷史記錄。

此外,RiskCare並對於銀行、證券、保險、零售、電信、電子商務等不同行業提供作業流程樣板,如果使用者本身屬於這些行業,應用上會比較容易。

提供風險評鑑功能,可協助企業記錄風險事項,並計算風險值

RiskCare除了用於個資清查方面,同時也可導入簡便的風險評鑑應用,系統將能依據企業設定計算風險值,輔助企業管理者判別高風險項目,進而改善。由於是集中化的系統管理,讓風險評鑑作業不需各部門分頭執行節省資源。

在這套系統平臺的介面上,管理者可以設定資產類別、弱點、威脅與控管項目,並針對資產群組與價值屬性設定風險權重。它的風險評鑑輸入項包含衝擊分析、查核發現事件與威脅事件設定。舉例來說,當新增威脅事件記錄時,透過系統介面便能快速記錄內容,包含日期、說明與處理說明,以及權責單位與影響單位。

在系統查詢上,企業能夠依據各群組快速檢視風險評鑑結果;面對風險較高的事項,系統中也提供風險改善處理計畫的選項,管理者可以通知負責人員改善事項,並請負責人員至系統填寫風險計畫,並依據制定的風險處理準則處理。而且,在系統上,管理者可檢視、追蹤各單位更新風險處理計畫執行進度,相當實用。

此外,RiskCare也有提供圖像化的報表,像是風險處理計畫的進度追蹤、弱點分布與風險分布情形,系統均能以圓餅圖、長條圖等視覺化的呈現方式,輔助管理者檢視風險概況。

綜合來說,此系統平臺提供個人資料清查與風險評鑑的輔助應用,便於企業組織掌握個資風險,以便依據制訂的風險處理準則改進。

具有風險評鑑記錄與計算的功能

這套系統平臺並提供風險評鑑功能,風險評鑑輸入項包含衝擊分析、查核發現事件與威脅事件記錄,且可透過系統來計算風險值,便於風險管理人員操作。

勤業眾信提供製作個資清冊的單機版工具

勤業眾信也推出單機版的企業個人資料流分析工具,它的功能性較簡單,主要就是能夠將BIF圖轉換成個人資料檔案清冊,並具有比對既有清冊,以及彙總統計的功能,但它不是集中化的系統平臺,因此無法像RiskCare平臺提供跨流程的查詢與風險評鑑等功能。

此單機版工具的計費方式,是以安裝個人電腦臺數級距計算。


產品資訊
●建議售價:未提供。以同時上線使用者數量級距為計算方式(含個資清冊、資訊資產清冊與風險評鑑模組) ●原廠:勤業眾信(02) 2545-9988 ●網址:www.deloitte.com.tw ●管理伺服器作業系統需求:Windows Server 2008 ●資料庫:SQL Server 2008 ●其他軟體:Apache Tomacat 7或IBM WebSphere 7 ●用戶端軟體需求:微軟Excel 2007、微軟Visio 2010

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】 


Advertisement

更多 iThome相關內容