衝擊分析報告框架說明 - ibat.org.t衝擊分析報告範例 3...
TRANSCRIPT
衝擊分析框架
衝擊分析
現況差異分析
決定策略方向
透過問項查核的方式,判斷公司對於個人資料保護之整體現況與個人資料保護法、APEC隱私保護九大原則之符合程度,並給予改善建議。
整理個資衝擊分析框架
執行個資衝擊分析
產生個資衝擊分析結果
2
衝擊分析報告範例 3
針對個資法令及作業程序,依據問卷查核、實地查核及索取證據之結果,區分為三種等級:
問題項目 公司作業現況 改善建議
「問項」設計基本上以APEC隱私保護九大綱領為架構,並且每個問項都能對應到個資法及其施行細則之規定與要求。
問題項目
等級 數量 百分比
已有完整規範
已有部分規範
尚無任何規範
TOTAL
評估項目 問項編號 檢查項目 查核方式 整體現況 符合度 改善建議
PIA-01
是否已辨識及記錄部門內含有個人資料之檔案?是否已建
立個人資料檔案清冊?是否已清楚定義所蒐集個人資料之
類別?
問卷查核
專案範圍內的業務/流程,已由德勤商務法律事務所協助
辨識及記錄部門內含有個人資料之檔案,並建立「個人
資料檔案清冊」。
專案範圍內的業務/流程,已由德勤商務法律事務所協助
初步識別所蒐集個人資料之類別,並記載於「個人資料
檔案清冊」中。
已有部分規範
指派專人負責定期或不定期檢視[個人資料檔案清冊],
確保內容之正確性及完整性,並註明更新人員姓名及日
期以供備查。
PIA-02
重要的個人資料檔案 (如含有合法蒐集之特種個資 )是
否有以顯著方式標示以資識別,並依照其重要性分別進行
控管?
問卷查核
1. 專案範圍內之業務/流程已由德勤商務法律事務所協助
識及記錄部門內重要的個人資料檔案。
2. 目前重要的個人資料檔案大部分部門尚未以顯著方式
加以標示以資識別,或依照其重要性分別進行控管﹙如
對部分文件之敏感性欄位進行遮蔽﹚。
已有部分規範制訂[資料類與文件類之分類分級原則],依照個人資料
檔案的機密等級分別進行標示並加強其控管方式。
PIA-03針對重要的個人資料檔案,部門內是否有指定專人負責維
護及更新?問卷查核
1.針對重要的個人資料檔案,目前部門內已有指定專人
(科)負責鎖櫃列管。
2.針對重要的個人資料檔案,目前部門內有指定專人(
科)負責維護及更新。
已有完整規範
制訂[個人資料檔案管理監督辦法],其內容至少應包括
個人資料檔案的建立、修訂、存取與銷毀等,並指派專
人負責管理及維護含有高風險、特種個資的資料與文
件。
B1-事件緊
急應變機
制
PIA-04
1. 發生個人資料外洩或資訊安全事件時,是否有統一通報
機制?人員是否知悉通報對象及程序?
2. 發生個人資料外洩或資訊安全事件時,是否有緊急應變
機制?是否會考量蒐證相關議題?採行緊急應變措施時,
是否會留存相關紀錄?是否包含事後檢討?
問卷查核
目前針對個人資料外洩或資訊安全事件,公司已建立統
一通報及緊急應變機制,並且留存相關紀錄及事後檢
討。
已有完整規範
1. 制訂[緊急應變及危機處理作業要點],並透過教育訓
練或E-learning的方式,讓同仁們了解通報機制、對象
及程序,以便將來發生個人資料外洩或資訊安全事故時
,能夠在第一時間通報完成;針對跨部門的個人資料外
洩或資訊安全事故,應明確劃分各部門的權責範圍,以
免事故發生時,因部門間權責範圍未明而耽誤黃金處理
時機。
2. 制訂[個人資料侵害事故緊急應變計畫]及[事件鑑識程
序],以便將來發生個人資料外洩或資訊安全事故時,
能夠儘速查明事故始末並以適當方式通知當事人,及時
評估事故可能招致的法律衝擊 (損害賠償、罰則等 )
,並研擬相關對策降低風險。
B2-個資管
理政策與
目標
PIA-05 是否已制定並發佈個人資料保護政策? 問卷查核 並無制定或發佈的隱私權政策。 尚無任何規範
制訂[個人資料管理政策],其內容至少應包括PIMS之內
涵及下列項目:
1. 恪遵我國個人資料保護相關法令之規定。
2. 個人資料之蒐集、處理或利用,應於特定目的必要範
圍內,並依誠實及信用方法為之。
3. 應採行適當之安全措施,防止個人資料被竊取、竄
改、毀損、滅失或洩漏。
4. 應提供當事人諮詢、申訴及行使權利之窗口或管道。
5. 發生個人資料外洩或資訊安全事故時,應有統一通報
及緊急應變機制。
6. 委託他人為個人資料之蒐集、處理或利用者,應對受
託者為適當之監督。
7. 持續運作及維護本計畫,確保個人資料檔案之安全。
B3-公司治
理架構PIA-06
1. 是否已建立個人資料管理組織?
2. 是否有定期舉辦管理審查會議?問卷查核
目前已著手規畫個人資料管理組織,但尚未定稿。待組
織成立後,將定期舉行管理審查會議。已有部分規範
1. 制訂[個人資料管理權限與責任管理辦法],建立個人
資料管理組織,並定期舉行管理審查會議。
2. 管理審查會議討論之議題,至少應包括下列項目:
(1 )PIMS使用者所回饋之意見
(2 )經人員發見並呈報之風險
(3 )稽核之結果
(4 )有助於改善個人資料管理體系有效性之技術或
程序
(5 )主管機關所提出之個人資料管理相關要求
(6 )當事人申訴
(7 )已發生的個人資料外洩或資訊安全事故
PIA-07是否已依照《個人資料保護法》之要求,制定個人資料檔
案安全維護計畫及業務終止後處理辦法?問卷查核
目前尚未制定個人資料檔案安全維護計畫及業務終止後
個資處理辦法。尚無任何規範
依據將來中央目的事業主管機關所頒布之範本,制定[
個人資料檔案安全維護計畫]及[業務終止後個人資料處
理方法],從個人資料生命週期的角度出發,檢討各項
執行程序並研擬各式文件表單,確保個人資料之蒐集、
儲存、使用、傳遞、歸檔及銷毀均合乎法令要求。
PIA-08 是否已辨識個人資料保護相關法令,並定期維護及更新? 問卷查核
專案範圍內之業務/流程,已由德勤商務法律事務所協助
完成初步辨識,並彙整製作成個人資料管理基準,方便
日後定期維護及更新。
已有部分規範
建立定期維護及更新[個人資料管理基準]之機制,除目
前已辨識之其他相關法令外,並應納入法務部日後作出
的函釋及相關法院判決見解。
PIA-09
1. 是否會定期執行內控作業?對於內控作業人員之資格是
否有所要求?
2. 是否有執行定期稽核?對於稽核人員之資格是否有所要
求?
3. 執行內控作業或稽核時,是否會針對「重要敏感個資是
否經遮蔽」或「合約個資條款是否完備」等事項進行查
核?
問卷查核
1. 內部稽核每每月執行一次,且內部稽核人員均須符合
證券商高級業務員資格。
2. 目前尚未針對個人資料保護措施(如「重要敏感個資
是否經遮蔽」或「合約個資條款是否完備」等事項)執
行定期稽核。
已有部分規範建議將個人資料保護措施納入內控作業及定期稽核之範
圍,並依照內控查核計劃或稽核計劃所定週期執行之。
PIA-10
1. 過去執行內控作業或稽核時所發現之缺失 (與個人資料
保護無關之事項 ),是否均已改善完畢?
2. 執行內控作業 (或稽核 )及改善措施時,是否會留存
紀錄?
問卷查核過去執行稽核時所發現之缺失,均已改善完畢,並留存
執行稽核及改善措施之紀錄。已有完整規範
目前已有規範,建議將來因應新個資議題再作調整,貫
徹PDCA之概念。
B5-教育訓
練PIA-11
1. 人員是否有施以認知宣導及教育訓練,使其知悉個人資
料保護相關法令之要求、所屬人員之責任範圍及各種作業
程序?
2. 是否有留存教育訓練之紀錄?
問卷查核
1. 目前尚未將「個人資料保護法因應與衝擊認知教育訓
練 (T01 )」納入新進人員教育訓練及每半年進行一次
的法令遵循宣導課程。
2. 各單位尚未開始不定期舉辦教育訓練及宣導說明。
尚無任何規範
1. 建議定期舉行個人資料保護認知宣導及教育訓練,如
將「個人資料保護法因應與衝擊認知教育訓練 (T01
)」納入新進員工教育訓練和員工在職訓練,並不定期
舉辦法令遵循測驗及個資法令增修、內稽缺失案例分享
,提高同仁們的個人資料保護意識。
2. 建議留存上述認知宣導及教育訓練之教材、資料及人
員參與紀錄。
PIA-12
直接蒐集個人資料時:
1. 是否於蒐集時向當事人告知依法應告知之事項?
2. 若未向當事人踐行告知義務,是否已確認符合依法得免
告知之情形?
3. 蒐集個人資料時,是否已按照實際情況,採取適當的告
知方式 (口頭、書面、電話、傳真、電郵或其他告知方式
)?
4. 告知時是否有留存紀錄?
問卷查核
蒐集個人資料時,目前各單位均未告知《個人資料保護
法》規定應告知之事項,亦未確認是否符合依法得免告
知之情形。
尚無任何規範
制定[個人資料蒐集、處理及利用管理程序],將制式告
知事項列入蒐集個人資料時所使用的表單,增加簽名欄
位,並留存告知記錄。
1. 確認負責踐行告知義務之權責單位,考量其成本及客
戶特性,調整告知方法及流程,並確認留存告知紀錄。
2. 各類流程與執行要點說明:
(1 ) 當事人以書面形式提供個人資料時:於書面
文件上註明《個人資料保護法》第八條第一項規定應告
知之事項。
(2 ) 當事人以電子檔案提供個人資料時:於表單
或電子郵件中加註《個人資料保護法》第八條第一項規
定應告知之事項。
(3 ) 當事人來電提供個人資料並以錄音記錄時:
於語音系統歡迎詞中說明《個人資料保護法》第八條第
一項第一、二、三、六款規定應告知之事項,並於專人
答覆完畢時告知《個人資料保護法》第八條第一項第
四、五款規定應告知之事項。
(4 ) 由同仁代為記錄當事人個人資料時:於蒐集
前告知《個人資料保護法》第八條第一項規定應告知之
事項,並於記錄完畢後請當事人簽名確認。
3. 指派專人定期維護及更新[業務流程概覽圖] (BIF圖
)、[個人資料檔案清冊]及[資訊資產清冊],確認已識別
出所有直接蒐集個人資料之資訊流,並均已踐行告知義
務;將來更新[業務流程概覽圖] (BIF圖 )、[個人資料
檔案清冊]及[資訊資產清冊]時,應註明更新人員姓名及
日期以供備查。
PIA-13
1.是否設有隱私權公告 (或政策聲明 ),並發佈於網站
上?
2.直接蒐集個人資料,應建立一定之程序,確保在蒐集之
前,提供隱私權公告或線上隱私權聲明,並使個人能取得
此等公告或聲明?
問卷查核
1. 目前網站並無隱私權公告。
2. 據瞭解目前網站雖以電腦室為管理單位,惟線上隱私
權保護政策的內容目前並無相關權責單位。 尚無任何規範
[隱私權公告]或[隱私政策聲明]之內容,至少應包括蒐
集、處理及利用個人資料之情況,並建議可將蒐集之目
的、個人資料安全維護措施等事項列入隱私權公告或隱
私政策聲明中,將來新增特定目的或調整告知事項時,
亦應適時調整。
C2-間接蒐
集之告知
時機與程
序
PIA-14
間接蒐集個人資料時:
1. 是否於處理或利用前向當事人告知依法應告知之事項?
2. 若未向當事人踐行告知義務,是否已確認符合依法得免
告知之情形?
3. 蒐集個人資料時,是否已按照實際情況,採取適當的告
知方式 (口頭、書面、電話、傳真、電郵或其他告知方式
)?
4. 告知時是否有留存紀錄?
問卷查核
蒐集個人資料時,目前各部門均未告知《個人資料保護
法》規定應告知之事項,亦未確認是否符合依法得免告
知之情形。
尚無任何規範
1.制定[個人資料蒐集、處理及利用管理程序],各部門
可透過[業務流程概覽圖] (BIF圖 )、[個人資料檔案清
冊]及[資訊資產清冊],掌握非由當事人提供之個人資料
,判斷蒐集之必要性後,再於處理或利用前向當事人告
知個人資料來源及《個人資料保護法》第八條第一項第
一款至第五款規定應告知之事項。
2. 指派專人定期維護[業務流程概覽圖] (BIF圖 )、[個
人資料檔案清冊]及[資訊資產清冊],確認已識別出所有
間接蒐集個人資料之資訊流,並均已踐行告知義務;將
來更新[業務流程概覽圖] (BIF圖 )、[個人資料檔案清
冊]及[資訊資產清冊]時,應註明更新人員姓名及日期以
供備查。
3. 間接蒐集非本公司客戶之個人資料時:
(1 ) 若本公司係受第三人委託蒐集、處理或利用
個人資料,應由委託機關自行向當事人告知《個人資料
保護法》第八條第一項第一款至第五款規定應告知之事
項。
(2 ) 若本公司非係受第三人委託蒐集、處理或利
用個人資料:
a. 若有蒐集其個人資料之必要性:
(a ) 應確認內部權責單位,規劃踐行告知義
務之方式,自修正施行之日起一年內完成告知,並留存
告知紀錄,以符合《個人資料保護法》第五十四條之規
定;
(b ) 未來應儘量於直接蒐集時確保間接蒐集
而來的個人資料,均已向當事人告知依法應告知之事項
A1-個人資
料索引與
清冊
B4-管理制
度實行機
制
APEC資訊隱私
保護九大原則
原
則
二
預
防
損
害
原
則
告
知
原
則
原
則
一
保
護
標
的
與
生
命
循
環
C1-直接蒐
集之告知
時機與程
序
原
則
三
3
風險評鑑執行規劃 2. 確認公司管控措施之建置狀況控制措施、弱點值
序號 建議控制措施 建置狀況
1 公司設有代理人機制,確保人員請假、外出、職位異動或離職時,組織亦能正常運作。 已建置
2 公司設有職務輪調機制,培養人員相關業務經驗,確保職務能夠有效代理。 已建置
3 個人電腦設定定時螢幕鎖定。 已建置
4 電腦工作站設定定時螢幕鎖定,包括伺服器、資料庫等。 待建置
5 個人電腦及公共資料夾安裝防毒軟體。 已建置
6 定期更新病毒碼並執行掃毒程式。 已建置
7 建立防火牆機制,阻擋外部非法存取,並監控網路傳輸。 已建置
8 禁止員工使用非法軟體,定期推廣資訊安全觀念。 已建置
3. 確認已建立之管控措施是否有偏離情形弱點值調整
1. 「偏離情形」說明
為確保已建置項目已依制度執行,故設計「偏離情形」予以衡量;倘個別項目有未依
制度執行或僅有部分執行情況之情形,在風險評鑑之效果上視為「未建置」,並據以
調整弱點值。
2. 填寫說明
待建置項目並沒有是否偏離之情況,故其「偏離情形」應填寫「N/A」。
已建置項目倘有未依制度執行或僅有部分執行之情形,其「偏離情形」應填寫
「有」。
4. 確認個資流程的頻率與個資檔案的總量衝擊值
5. 確認個資檔案的類型威脅值 6
風險評鑑執行規劃
價 值 分 析
威 脅 分 析 弱 點 分 析
衝 擊 分析
風 險 值
依BS規範,評鑑至少必須具有以下四要素:「資產價值」、「威脅值」、「弱點值」 及「衝擊值」 。
6. 取得以上要素,將其彙總加權風險值
7
Always One Step Ahead.
©2014 勤業眾信版權所有 保留一切權利 Deloitte (“德勤”)泛指Deloitte Touche Tohmatsu (“德勤全球”,一依瑞士法律成立的組織 )及其會員所中的一或數者。“德勤全球”及其會員所,為法律上各自分離的個體,獨立就自身行為負責,對其他個體之行為不負任何責任。有關“德勤全球”及其會員所法律架構的詳細說明,請參見 關於勤業眾信。