24h購物| | PChome| 登入
2013-10-09 09:32:46| 人氣157| 回應0 | 上一篇 | 下一篇

維護個資的正確性 都是資安部門的責任?

推薦 0 收藏 0 轉貼0 訂閱站台

 

* 你在乎網路的隱私權嗎?
* 你的資料還在裸奔嗎?
* 你擔心程式被竊取嗎?
* 你擔心機密文件被駭客入侵嗎?
* 你擔心假期個資遭駭客入侵嗎?
* 資訊安全專家正新電腦將提供給您資訊保安的產品和服務。

不知在稽核的訓練課程中是否有這樣一個章節,要在受查單位最忙亂的時候進行查核,每次稽核來進行查核的時間,都是手邊工作量最大的時候。今年還碰到內部稽核和會計師事務所選在相同的時間來查核。個資法當然是今年的重點,雖然相關的工作不是我們在執行,但後面的解決方案幾乎都算是資安的工作,稽核們有時就抓著一個人從頭問到底,往往覺得回應稽核的問題比執行專案還要麻煩。

 

今年的狀況也不例外,進到稽核的會議室劈頭就被問:「因應個資法,你們怎麼去確認個人資料的正確性?」

 

「我們有資料修正的流程,你是指這個嗎?」

 

「我知道你們有這樣的流程,但我是說你們拿到這樣的需求要怎麼去確認裏面資料的正確性,還是使用單位提什麼你們就改什麼?」

 

「資料修正當然是依照需求單位所提出的內容,然後確認最後的結果是不是一樣。」

 

「那這樣不行喔,你們接到需求時沒有再和當事人確認他的資料是不是正確,如果需求單位提出來的資料就是錯的怎麼辦?」

 

「很多時候我們修正的資料都只有某幾個欄位,我們也沒有客戶的聯絡資料,更何況如果是客戶提出來的,我們再打電話過去不是很奇怪嗎?」

 

「但是個資法有提到維護資料的正確性,最後這一關就在你們這,如果你們再不確認,害了公司違反法令,那你們要付這樣的責任嗎?延伸下來的例子,如果有大量個人資料需求的時候,你們一定也不會去確認是否和當初蒐集目的一致。」

 

「這應該是使用單位的責任啊,只有他們最清楚當初的蒐集目的,客戶的同意書我們也不會有,那我們以後是不是只要有個資需求的時候,就要請使用單位先提出所有的同意書之後再執行?」

 

「你們怎麼做我不管,反正你們也不確認資料的正確性,也不知道使用目的為何,這些都是嚴重違反個資法的行為,你們到時候等稽核報告出來,再來回覆要怎麼做就好了。」

 

對於個資法的條文內容,現在還有很多需要討論的空間,但最基本的觀念,個資法針對的對象,是公務機關、非公務機關及自然人,絕對不是xx單位的某部門,也正因為如此,沒有辦法要求組織內每一個部門每項作業均依照個資法來執行,必須要從整體面來考量,但也因為很多單位沒有一個專責的部門在負責這項業務,所以到頭來就是誰做誰倒楣。如果真的如稽核所言,那未來作業流程的時間一定要延長,到時候難保類似個資法本身不符合實際作業的理論又會出來,甚至要求立法從嚴、執法從寬,只要有幾項符合個資法就可以了,但這些都不是我們所預見的。只是我要怎樣回覆稽核核查核報告,這可能才是我的當務之急。


友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7658


SafeNet資訊安全保護鎖系列  , 歡迎來電借測!


正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。

更多產品資訊來源 : www.pronew.com.tw
:  TEL : 04-2473-8309 

您也可以加入我們的 Twitter  (資安專家-正新電腦隨時獲得最新訊息哦!
https://twitter.com/keypro_pronew

台長: 正新電腦 - 軟體加密保護專家
TOP
詳全文