close



個資保護從ISO27001認證出發


本公司有專業的ISO27001顧問師,讓您導入資訊安全管理系統!


                   保證專業  保證服務  保證優


                          聯絡專線: 0800-222007 領導力企管
 


2010年最大的資安焦點,國外當屬維基洩漏(Wikileaks),而國內最大的資安進香活動則是:參加個資法研討會。這場大拜拜從年頭熱鬧到年尾,不過,事後有還願的少之又少。這是怎麼回事呢?聽了那麼多場的研討會,經過多少法律專家、資安業者的文攻武嚇後,大家不知道是被嚇懵了還是怎麼的,共同的結論不約而同都是:「還是等施行細則出來再說吧。」


這並不代表大家認為個資不重要。現在,到處是漏洞,個資滿天飛。2008年五千萬筆個資的洩漏案,不只現任前任總統的資料都有,就連當時刑事局長、承辦檢察官的個資也都詳列其間。直到最近,我兩個月前線上購物也還在碰上個資外洩事件,不堪其擾。個資保護的確很重要,其實是社會的共識,問題是不知道如何做,才能滿足個資法的條件。要夠公信力,又要全面性,要能夠證明自己無過失,其實答案就是ISO27001。




ISO 27001是資安萬靈丹?!


有人問:「為什麼要遵守個資法就得是ISO27001?難道不能是別的?資訊安全的準則那麼多,為什麼就得是ISO27001呢?個資法哪一條裡面有ISO27001這幾個大字?又難道通過了ISO27001,就代表沒有漏洞?難道喝有CNS認證的果汁就保證不拉肚子?我還可以舉出兩間以上的公司跟政府機關通過ISO27001照樣被入侵!」在思考上述問題時,必須先介紹一下個資法的背景。


個資法第二十七條說:「非公務機關保有個人資料檔案者,應採行適當之安全措施」,何謂適當的安全措施?不會是我們自己說很適當就說了算,很顯然會是一個公認的標準。尤其,同樣在二十七條:「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法」。也就是說,將來,中央主管機關非常可能會指定某個標準,或者參考某個標準來訂定這個計畫。


目前,最適合的標準,很顯然會是ISO27001。原因如下:首先,AB級以上政府機關大多數都已通過ISO27001,熟悉度最高,他們絕不會憑空自己生出一份文件來,而是參考現有標準,這樣才有公信力,一方面也節省力氣。第二,輔導的人才好找,近年來,政府一直當火車頭在推動ISO27001,在中央主管機關、各地縣市政府與民間輔導機構已經培養了不少人才,難道現在要轉舵來個大轉彎改為參考NIST-800.x系列,重新來過一次,重新培養人才,讓之前花掉的公帑全數打水漂?


兼俱深度與廣度的資安良藥


的確通過ISO27001不代表絕對安全,不代表資安絕對無漏洞,憑什麼通過認證就能在個資法中暢行無阻?這要分兩方面來談。第一,ISO27001其實是很多人經驗、思考後智慧的結晶,思考的廣度較廣。要能夠通過有其難度,複雜度也較高。不僅僅是防火牆、防毒牆、IPS、VLAN、SSL VPN等等單一產品針對單一風險的一對一對應。從ISO27001附錄A的A5到A15包含了安全政策、資訊安全組織、外部團體、資產管理、人力資源安全、實體與環境安全、通訊與作業管理、存取控制、軟體開發及維護、資安事故管理、營運持續管理,及法律的遵循性等十一個控制措施,可見其全面性。
第二,ISO27001有一個特性,它的確不保證通過就是一百分,但是它卻是要求你每一次都要比上一次進步的制度。可以視公司的經濟能力,逐步提昇水準。其實這個壓力,不比每次都要求九十五分以上來的小。所以,有些公司雖然環境條件不見得很好,卻能夠以自己的步驟通過認證。各位不必擔心自己的公司條件不足以匹配,反而應該盡早去接觸並學習ISO的精神,才能在個資法相關議題上取得有利地位。


如果貴公司已經通過ISO27001,其實個資法的對應便不見得困難。例如個資法第五十條:「除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰」,在ISO27001當中,原本必要條件就是「管理階層責任」,必須建立資安政策、目標、計畫、分配角色及責任、提供資源、進行內部稽核及管理審查,加上平日的各項記錄、查核的結果、內部稽核、管理階層審查結果之改進,環環相扣。在這一大串全面執行並可供查核的資料面前,要指責企業沒有盡到義務,實在很困難。


依ISO27001逐步思考與行動


同理,在個資法第二十九條:「但能證明其無故意或無過失者,不在此限」的證明上,也會比沒通過ISO27001的公司,還要占上優勢。通過ISO27001的公司,只要針對個資的部份,納入原本便已成形的資訊安全管理系統,針對公司內部現有的個資,做一次清查,必要時擴大範圍,或者把原來較不嚴謹的資料分類,根據風險等級將其更加細分實施相對應保護即可。實作時,從個資來源進入公司開始思考:如何蒐集、儲存、如何編輯、誰會傳送、傳送到何處、會不會傳出組織之外、如何消滅,思考個資整個生命歷程。這些問題都需要各部門的專才、電腦跟時間去處理,不能等到個資法實行細則通過之後才開始準備!


而許多IT人員在滿滿的個資法研討會當中不斷發出質疑:難道採用某某產品就能夠在個資法當中免責?其實,背後的管理系統才是關鍵,管理系統才是那失落的環節。你購買的資安產品等於你生的孩子,孩子如果不爭氣不如預期,父母親只能含著眼淚繼續打拼,繼續勞碌命。但這也是廠商的悲哀,因為他們不見得有ISO27001導入的經驗,不知產品可以如何協助客戶完成任務,甚至產品本身便不合乎ISO27001的精神。有鑑於此,精品科技於2008年全公司導入ISO27001,不僅全面保護研發資料、客戶資料等機密資料的安全,同時更能體認企業客戶的資安需求;並在研發產品時,將ISO27001的精神融入資安產品中,解決ISO當中用一般手段難以封閉的資安問題,協助IT人員為企業達成ISO27001的要求,同時保護個資安全無虞。



【本文摘自精品科技 FineArt Express 2011年 春季號】



arrow
arrow
    全站熱搜

    isoedisonwang 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄