在PDCA循環中,不可避免的,在完成規畫與執行後,要有一個機制來驗證機關所有採取的作業是符合當初規畫的、是合法的、是有效的。這就是資料安全稽核機制。這個稽核機制必須由一獨立之單位或機構來執行,可以是獨立於個人資料專責組織,也可以是外部第三方公正機構。不管是哪一種,他必須確保機關所有採取之個人資料管理與保護措施暨符合當初規畫的機制,同時也必須達到個人資料保護法之規範。
需進行稽核之範圍如下:
8 管制區域:
Ø 存放基敏性資料區域是否定義為管制區域
Ø 進出需是否有控管機制
Ø 進出記錄之保管
8 人員:
Ø 進出管制區域人員身分確認
Ø 進出管制區域之檢查項目
8 儲存媒體:
Ø 透過系統接觸存有個人資料之媒體:
§ 不同業務需求,設定不同之存取權限
§ 存取行為必須被記錄:
- 存取者帳號
- 存取者使用之設備
- 存取者使用之網路IP
- 存取時間
- 存取資料內容
§ IM管控稽核
§ E-Mail外送管控稽核
§ 人員進出廠區是否有檢查攜帶可攜式資訊設備
Ø 直接接觸存有個人資料之媒體:
§ 是否備有可存取之人員清單
§ 人員接觸個人資料媒體之記錄
§ 存有個人資料之媒體移出廠區之相關檢查機制與記錄
8 委外管理
8 針對各項接觸個資之記錄必須由有被法律認可之機制進行記錄與儲存(例如:以數位型式儲存之記錄必須是無法被人為新增、修改、與刪除)
8 機關必須指定專人定期稽核上述所提及之記錄以及相關作業流程是否被落實。稽核記錄需定期呈送機關高階主管進行核覆且妥善保管以備查。
8 其他個人資料管理計畫中所有執行之措施。
資料安全稽核機制
機關所持有之個人資料檔案之儲存媒體區分為『非數位式媒體』以及『數位式媒體』。但不論是哪一種,機關暨持有個人資料檔案,就必須盡到保護之義務。機關所採取之保護措施是否有被落實執行,亦或只是虛應故事,將牽涉到一旦發生個資事件時,機關以及相關管理人員是否能免責。故機關為能表現對所持有之個人資料檔案有高度之責任,必須對機關所採取之個人資料保護措施以及個人資料檔案之安全進行必要之稽核行動,以確保所有之保護機制以及個人資料檔案皆在一定之安全保護機制下被使用。
機關個人資料安全稽核機制說明:
1 機關應設置一運作具獨立性或聘請外部公正單位作為機關內部稽核業務之權責單位。
2 該稽核單位應擬定對機關內部以及委外個人資料業務之稽核計畫。
3 稽核計畫應依據『個人資料保護法』、『個人資料保護法施行細則』、『個人資料保護法之特定目的及個人資料之類別』以及機關內部之個人資料管理與保護政策與計畫制定稽核內容。
4 稽核單位應定期對前述對象進行個人資料管理與保護業務之稽核,並留下完整之稽核記錄,同時,必須定期追蹤所有稽核之缺失,確保權責單位已有制定改善計畫以及落實執行。
5 稽核單位稽核之內容必須包括下列兩項:
5.1 所有個人資料管理與保護作業是否依『個人資料保護法』以及機關所制定之管理機制落實執行。
5.2 執行個人資料管理與保護業務過程所留存之紀錄、軌跡資料及證據是否符合法律之規範並具備法律鑑識之效力。
組織應建立資料安全稽核機制,可透過技術及管理手法進行稽核,監控資料存取及流出狀況。整體資料安全稽核機制應區分為:
1 管制區域:
1.1 對於存放個人資料之空間,儲存媒體不論是數位式或是非數位式,該區域是否設為管制區域,是否設有進出管制設備或機制。
1.2 所有人員進出是否留下進出時間、目的、以及接觸個人資料範圍之記錄以供備查。
1.3 該管制區域是否有攝影設備,記錄所有進出之人員以及接觸過之儲存媒體。
1.4 前述所提之記錄以及相關攝影影像檔案是否另行保管,欲取得這些記錄,需保管單位之主管正式核可後始可取得,但嚴禁對內容作任何之異動。管制區域之進出記錄為避免被人員竄改,可以紙本進行簽到與記錄。
2 人員:
2.1 所有人員進出前述管制區域是否經過身份確認(例如:使用識別證通行)。
2.2 人員進出廠區是否檢查攜有儲存個人資料檔案之資訊設備。
2.3 人員離開廠區,是否檢查攜有儲存個人資料之媒體(例如:紙本、USB隨身碟)。
3 儲存媒體:
3.1 透過系統接觸存有個人資料之媒體:
3.1.1 存有個人資料之資訊系統屬機敏性應用系統,是否針對不同業務需求,設定不同之存取權限==>可利用ACL、Role-Based權限設定機制,搭配存取個體之識別與認證機制,確保存取個人資料者之身份。
3.1.2 所有透過資訊系統存取個人資料檔案之行為,是否被確實記錄,記錄內容是否包括:
3.1.2.1 存取者帳號
3.1.2.2 存取者使用之設備
3.1.2.3 存取者使用之網路IP
3.1.2.4 存取時間
3.1.2.5 存取資料內容
3.1.3 機關內是否禁用IM軟體、非公司控管之Web Mail以及所有Internet所提供可以進行資料交換或儲存之網路空間。
3.1.3.1 若因業務需求,需使用前述之網路服務,是否透過監控機制,記錄所有之行為以及傳輸之資料內容。
3.1.3.2 在技術可支援情況下,啟動資料封包攔截檢查機制,若發現有與個人資料檔案相關者,系統是否啟動警示機制,通知相關技術人員以及主管。
3.1.4 對外發送電子郵件是否經過組織指定之主管檢視後,確定未攜有機敏性之個人資料或已被授權傳送之個人資料後始可進行寄送。
3.1.5 機關是否設置資料庫活動監控工具(Database Activity Monitoring, DAM)記錄所有存取資料庫之行為,避免資料庫之管理人員迴避資訊系統之權限控管,直接取得儲存於資料庫之個人資料。
3.1.6 人員進出是否檢查是否攜有儲存個人資料之電子媒體(例如:USB隨身碟、數位相機)。
3.1.7 前項所提之記錄是否另行保管,欲取得這些記錄,是否經保管單位之主管正式核可後始可取得,且嚴禁對內容作任何之異動。
3.2 個人資料之輸出:
3.2.1 機關內容易被疏忽之輸出設備存放區域是否有適當之管理機制,例如:進出管制。
3.2.2 輸出設備是否有專人定期進行管理,降低資料輸出後被非法取用。
3.2.3 輸出至紙本之資料是否經適當之保護與身份確認管制措施後始可進行輸出,例如:取件人需輸入帳號與密碼後始可從輸出設備取得列印之紙本。
3.2.4 輸出至紙本之資料是否經過必要之保護,例如:浮水印警語、機敏性資料去識別化。
3.3 直接接觸存有個人資料之媒體:
3.3.1 機關是否明確說明,因業務所需而必須接觸存有個人資料媒體之員工所能接觸之媒體清單,且需稽核是否設定各種確認程序,確保接觸存有個人資料媒體者是已被授權之人員。
3.3.2 人員除進出存有個人資料檔案之管制區域需有記錄外,對於所接觸之媒體是否詳實記載。
3.3.3 存有個人資料檔案之媒體若因業務需求需要移出公司外部(例如:硬體故障),是否進行下列程序:
3.3.3.1 是否透過正式申請程序取得權責主管之同意,並開立放行單。
3.3.3.2 所有儲存在媒體上之個人資料是否進行清除,若實務上無法達成,是否對這些個人資料進行必要之保護措施(例如:對個人資料檔案進行加密)。
3.3.3.3 是否與運輸、處理這些媒體之廠商簽訂保密協訂,廠商需明確保險不蓄意存取這些個人資料,即便無可避免一定會接觸到資料,需保證不能外洩。
4 委外管理:
4.1 依據『個人資料委外作業管理』,機關是否明確在委外合約上要求受委託者建立個人資料檔案保護機制,同時,是否要求受託者執行前述所有機關內對資料安全之控管機制。
4.2 受委託者是否對委託機關所要求之資料安全保護事項之執行情況留下記錄。
5 針對各項接觸個資之記錄是否由有被法律認可之機制進行記錄與儲存(例如:以數位型式儲存之記錄必須是無法被人為新增、修改、與刪除)。
6 機關是否指定專人定期稽核上述所提及之記錄以及相關作業流程是否被落實。稽核記錄是否定期呈送機關高階主管進行核覆且妥善保管以備查。
留言列表