資安個資法顧問輔導-供應商監督實戰案例說明
TRANSCRIPT
2
何謂組織高風險
任何人不須使用複雜技術,在有意無意間就能利用組織弱點造成資產機密性、完整性、可用性的喪失。
高風險的影響範圍往往會波及全組織:
組織聲譽受損
違反法令之疑慮
客戶信任度/消費者信心下降
影響競爭力
工商秘密/營業秘密/機密資料外洩
例1:機密文件未經銷毀就被送至資源回收場。
例2:手機app,無意間撈出完整的陌生人個人資料
例3:當事人網路搜尋,發現自己的個人資料被曝光
高風險說明
4
稽核人員人力不足
僅能針對集團、組織內的財務內控進行稽核,無資訊安全或是個人資料保護稽核相關經驗
委託機關業務承辦人時間、專業能力有限
人力不足,造成無閒暇時間進行委外廠商監督管理
未具備相關的專業能力,不知如何監督
組織資訊安全組織權責範圍受限
資安組織權責往往無法涵蓋到各業務單位委外的情形。
組織陎臨的困境
5
資格能力
國際相關標準之主導稽核員 (ISO 27001/BS10012)。
豐富的顧問輔導與稽核經驗。
具獨立及客觀性。
服務說明
依據業主對於「外部廠商」資訊安全要求、個人資料保護要求、法令法規的要求進行稽核,包括
稽核計畫制定。
實際到場進行稽核。
稽核報告的製作。
顧問角色協助 (1)
6
顧問角色協助(2)
說明:依據國際資訊安全標準、國內個人資料保護法與供應商合約要求,進行供應商稽核活動,確保資訊安全管理、與個人資料保護的相關要求落實與執行。
效益:透過定期稽核或是制度建立的方式,確保委外廠商於合約要求的資訊安全、個資保護落實與執行。
7
案例說明:XX旅行社委託資訊服務廠商進行網站建置與資料維護,但因業務承辦人員未具備資訊能力,且忙碌之餘無暇進行監督,導致旅客權益受損,資料不當揭露於網際網路,包含:姓名、身份證、護照影本、出生年月日…等。
接觸案例1-旅行業
8
案例說明:某上櫃資訊科技公司大量員工資料與公司內部組織的檔案,因進行員工旅遊時所產出的個人資料檔案保存不當且未進行銷毀,於遠端進行備份的機房發生資料不當揭露於網際網路之狀況包括:。
姓名、身份證、聯絡方式、出生年月日…等。
註:此案狀況為不知情人士於網際網路上查詢某旅遊景點即可輕易發現,非常誇張。
接觸案例2-上櫃資訊科技公司
9
案例說明:某上市傳統產業報名政府舉辦相關之活動所產出之個人資料檔案,因為妥善監督,導致受託廠商將其資料不當揭露於網際網路上,且暫存頁陎仍留,可於搜尋引擎或是手機程式app
可發現。資料類型包括:姓名、身份證、出生年月日
接觸案例3:上市傳產公司
10
接觸案例4:政府單位
案例說明:某政府單位委外廠商資料保存不當,造成指向該政府機關的某項業務活動資料不當揭露於網際網路,且不知情人士僅僅輸入「XX研習活動」即可搜尋發現。不當揭露資料類型包括:姓名、身份證、出生年月日…等
註:該政府機關所採用的資訊安全防護設備,並無法有效掃描出該外洩檔案之來源。
11
案例說明:某政府單位委外廠商資料保存不當,造成指向該政府機關的某項業務活動資料不當揭露於網際網路,原因始於系統執行刪除功能失效,造成部份個資檔案仍被保留且未適當保護。資訊包括:姓名、身份證、出生年月日、聯絡方式…等
註1:該政府機關所採用的資訊安全防護設備,並無法有效掃描出該外洩檔案之來源。
註2:該政府機關業務承辦人甚至不知保有哪些個人資訊 。
接觸案例5:政府單位
12
案例說明:某財團法人委託資訊服務廠商進行網站建置與資料維護,但因業務承辦人員未具備資訊能力,且忙碌之餘無暇進行監督,導致其業務招纜之對像,資料不當揭露於網際網路,包含:姓名、身份證、聯絡方式、緊急聯絡人資料…等。
接觸案例6:某財團法人
13
步驟1:
凡業務活動涉及個人資料之蒐集、處理、利用請於合約中將個資法於委外監督事項之要求填寫進去。或以「備忘錄」方式補充之。
步驟2:
定期/不定期進行稽核,可委由專業顧問協助進行維持公正性與專業性。
步驟3:
保留所有監督與管理所產出的相關紀錄與表單,用以佐證以遵守法令盡良善管理之責。
受託廠商管理步驟
14
個資法委外監督稽核查核服務(資安顧問服務)
網路個資刪除移除服務與諮詢(資安顧問服務)
個資法管理制度輔導(資安顧問服務)
個資法風險管理評估服務(資安顧問服務)
個人資料管理(個資法)制度輔導(資安顧問服務)
資訊安全案例(Virus shield)資安顧問提供
最大風險說明與實務經驗分享(資安顧問觀點)
資訊安全例例_申請網上支付 (資安顧問案例)
個資法管理制度與品牌(資安顧問案例)
資訊安全範例分享(資安顧問提供)
whoscall個資外洩與追蹤(資安顧問案例)
資訊安全內部稽核案例(資安顧問服務)
資訊安全內部稽核實務(備份)_資安顧問觀點
萬弘資訊相關資料連結參考
15
ISO27001顧問輔導pdf(資安顧問)
ISO27001:2013顧問輔導資安管理制度相關文章
ISO 27001:2013轉版控制項介紹(資安顧問簡述)
資訊安全管理系統ISO 27001:2013本文簡介 (資安顧問簡述)
ISO 27001:2005與ISO 27001:2013重點差異說明pdf (資安顧問簡述)
ISO 27001:2013新版簡介
ISO27001顧問服務文章
16
資訊安全範例分享(資安顧問提供)
whoscall個資外洩與追蹤(資安顧問案例)
資訊安全內部稽核案例(資安顧問服務)
資訊安全內部稽核實務(備份)_資安顧問觀點
資訊安全案例分享 (資安顧問實戰經驗分享)
17
ISO 27001:2013資安管理制度建置實務
ISO 27001:2013轉版教育訓練
相關教育訓練
18
免費Email顧問諮詢項目 ISO 27001:2013顧問諮詢
BS10012顧問諮詢
國內個資法輔導顧問諮詢
營業秘密法制度輔導顧問諮詢
其它ISO管理標準(ISO50001、ISO 13485、ISO 14001、ISO 9001、ISO 20000、ISO 22000)
公開發行公司之內控內稽
諮詢管道 Lineid:wanhung1911
Email:[email protected]
線上留言顧問諮詢
顧問諮詢