自101年10月1日個資法正式上路,其源自於ISO/IEC 27001:2005(資訊安全管理)、BSI 10012:2009(個人資訊管理)及ISO 29100是現行針對在管理系統中,提供建置個資保護框架,並明確依據個資保護要求項目,讓您自個資的蒐集開始,到資料運用、保護保存、至最後銷毀過程,能根據個資生命週期 (Life Cycle) 的特性,使組織能達成適法適切地管理個資。
ISO-27001與個資法共通點
現今多數公司多以取得 ISO 27001的認證,如何取得與個資共通點:
- 個資盤點之實作:如何確認與盤點所有組織內之個人資料(包含紙本及電子資料)。
- 背景審查之必要性:如何在資訊安全與個人資料保護兩者之間取得平衡。
- 儲存與備份管理:如何確保資料的生命周期已妥善定義與管理。
- 存取管理:資料之存取管理如:權限管理、USB管制。
- 資訊安全事故管理:如何整合事故通報與處置程序(存取個資記錄保存、風險管理)。
個資資料實際處理方式:
- 定義甚麼是公司須保護個資。
- 盤點個資在結構化及非結構化資料放置位址。
- 結構化資料須做遮罩處裡,委外與廠商定義權責。
- 非結構化資料在端末用DLP阻斷資料外漏,並將在端末的個資資料存放File Server固定地方,在File Server需要好的工具如:Varonis。
- File Server 需作權限管理,風險管理。
- 並依最後存取時間依據作資料生命週期,分為一年未存取放置在一個區域,二年以上未存取放置另一個區域。
- 存取過個資者的軌跡紀錄,保存五年以資備查。
- 作出各式報表稽核改進達到PDCA方向。
Varonis 在 File Server 個資實作案例
Varonis 只有在非結構化 File Server 上作權限管理、電腦紀錄稽核、個資資料盤點與紀錄
- 權限管理
- 個資清查
- 風險管理
- 軌跡紀錄
沒有留言:
張貼留言