為了有系統地建立安全管理措施,企業除了自行研擬制度內容外,最常見的做法就是遵循第三方機構提供的認證標準,來引入整套的管理制度。雖然要投入不少人力和財力,但對企業而言,導入認證有3大好處,第一是可以直接採用業界成熟管理經驗和制度,減少企業自行摸索的耗損,第二是透過第三方驗證單位來證明企業的確有落實良善管理之責。

最後一項好處則是企業可以透過認證來建立內部共識,讓整體員工學習同一套管理制度來建立共同的管理觀念和思維。所以,過去,臺灣有不少金融業者為了強化和證明自身資安管理能力,紛紛導入了ISMS(Information Security Management System)資訊安全管理系統的ISO 27001資安認證。

英國與德國個資認證標準相繼進臺灣

隨著個資法的實施,近兩年來,與個資相關的認證標準也陸續出現在臺灣,包括了英國驗證公司BSI在2009年推出的英國個人資料保護標準BS 10012,經濟部商業司TPIPAS認證和個人資料隱私保護標章DP Mark,還有德國因應歐盟法規的TSP個人資料保護驗證與標章,以及由臺灣微軟所推出的高強度隱私保護驗證。

因為個資保護有許多措施仍屬於資訊安全的範圍,因此許多企業仍以導入ISO 27001來做為因應個資法的策略。在iThome個資法大調查結果中,高達38%企業要導入ISO 27001認證來因應個資法的要求。

除了臺灣企業熟悉的ISO 27001之外,新興的BS 10012是一個專為個資保護而訂定的標準。這個標準透過一套P(規畫)、D(執行)、C(稽核)和A(改善)的循環流程,來協助企業建立內部的個資保護制度。BS 10012標準中也針對不同執行階段提供了不同的最佳實務作法。

BS 10012標準也參考了OECD(經濟開發合作組織)提出的個人隱私權保護8大原則,這些原則也正是臺灣個資法訂定時的重要參考。所以,BS 10012有不少實務作法可供企業因應個資法之用。

金融公司與資服業者搶先導入BS 10012

為了因應個資法,陸續有不少企業開始取得BS 10012認證,如元大銀行、台新銀行、合作金庫、財金公司、精誠資訊、凌群電腦等,這些企業大多以金融公司與資服業者居多。

在iThome個資法大調查結果中,有5.5%企業已經採用或打算導入BS 10012來因應個資法。

此外,經濟部商業司也將從2013年開始,將原本只提供電子商務業者申請的TPIPAS(臺灣個人資料保護與管理制度規範,Taiwan Personal Information Protection and Administration System)驗證制度,擴大開放給經濟部商業司所主管產業的公司皆可申請,企業通過TPIPAS驗證後,則可以取得DP Mark(資料隱私保護標章)。

TPIPAS是經濟部商業司參考日本JIS Q 15001:2006個資驗證標準所訂定的個資保護與管理制度,並依據新版個資法內容調整而成的一套個資認證制度。

目前打算導入TPIPAS的企業以服務業居多,在iThome個資法大調查結果中,則有7.7%的企業打算導入TPIPAS來因應個資法。

不少金融公司或資服業者導入英國個資保護標準BS 10012來因應個資法。

相關報導請參考「防範資料外洩,IT總動員」

熱門新聞

Advertisement