2012年1月10日 星期二

ISO27001 vs 個資法導入遇上的問題

最近在ISO27001和個資法(PIMS)導入的討論中,長官和前輩給了不少意見,在Blog跟大家分享,以供類似情況之參考。

1.資產盤點與個資盤點是否應該同時進行!? 

   個資盤點的部分,因為先進行個資盤點能幫助釐清個資處理(保存)的狀況
    所以先進行個資盤點 再進行資訊資產盤點  將有助於兩系統整合
     特別是個資清冊的建立。
    當然資產盤點與個資盤點是可以同時進行盤點,
    但原則是要先請組織鑑別其保有之個資來源,再併入ISO 27001資產盤點。
     建議先上個資盤點課程,並先收集個資來源項目,
     之後再進行資訊資產盤點,確認後再進入風險評估階段。

2.ISO27001似乎對人力資源安全控制領域中
   對聘僱人員的資格有其標準,有些例如信用核對或犯罪紀錄檢核的部分
    是涉及敏感個資或是法規所不允許蒐集、處理及利用的
    這個部份在資安環境審查的階段,個資法是否就應該一同進場討論?
    還是分開討論後 再作修正?
   
   某公司人事專員處理新進人員報到時,新進人員提出:“公司詢問她是否有犯罪紀錄是違法的,因為個資法載明犯罪前科屬於特種個資,依法不得蒐集”,是故該員堅持不填該員工資料表中需揭露事項。(from 個資法及ISO 27001共通性與操作概述~黃小玲」)
     關於ISO 27001所提到的人力資源安全控制,主要區分為面試錄取前在職過程離職過程。手法可能是:面試錄取前向前公司徵信當事人是否有資安犯罪不良紀錄或不良評價;在職過程的教育訓練與ISO 9001相同,將課程著重在資訊安全;而離職過程主要是在談停權時間點與離職流程的控管。
 而對於聘僱人員的信用核對與犯罪紀錄徵信,只要在面試資料表中不揭露,也就是不收集,就沒有個資的問題。(詳細作法應以個資法施行細則或各行業別個資法行政命令/法規公告為準)
 所以ISO 27001與個資資料管理,在人力資源安全控制領域同時討論時,是必要整合兩個系統上對人理資源管理上的要求,設計一套兼顧資安管理制度與法令遵循的控管措施。當然重點是該組織的面試錄取前、在職過程與離職過程要很了解,才能一次整合到位。

3.個人資料處理及利用的事項包括資訊處置、存取控制、權限管制等等...
   可以等到ISO27001系統建立後,再依ISMS的作業流程來作管理,
    如此一來便於將個人資訊安全處理整合在資安系統之中管制。
    (BS10012標準就有將ISO27001資訊安全認證列在條文中描述,條文4.13)
  
4.資安之緊急事故處理程序、法規識別個資威脅事件管理程序、法規遵循等等....
   可以作整合處理,因為過程中的工具與作法都相同。

5.另外是個資銷毀的部分原先自己的想法是納入各作業個資處理的流程之中,
    經過前輩的提醒,我複習一下法規中的敘述:
    個資法27條除提到須採行適當安全措施以保有個人資料檔案外,
     另外針對業務終止後同樣也要求訂定相關個資處理方法!
     所以
      將個資銷毀的項目獨立出來,
      一方面 統一的銷毀辦法及規定可以加強組織對個資銷毀的管理
      另一方面也可以對應到外部驗證要求或是行政檢查項目,
      真是恍然大悟阿!

以上~