植基於ISO 27001建立符合BS 10012之個人資訊管理自我評鑑模式

Abstract

我國「個人資料保護法」已於99年5月26日於立法院三讀通過，讓個人資料保護成為一個重要的議題。未來不論組織規模大小、擁有個人資料數量多寡，皆受到個資法的規範。又國內已有眾多組織導入ISO 27001資訊安全管理標準，已具備良好的資安防護基礎，但就個人資料保護面向而言，其防護深度及廣度仍有不足。為提供已導入ISO 27001的組織一套可自我評鑑個人資料管理現況的方法，本研究參照BS 10012：2009英國個人資訊管理標準之精神，比對ISO 27001與BS 10012條文精神之差異，再自「個資政策」、「管理組織」、「人員訓練」、「作業流程」、「技術措施」、「紀錄管理」、「合約管理」及「管理審查」等八構面，建立以ISO 27001為基礎並符合BS 10012標準之自我評鑑表。經歸納產出自我評鑑表雛形後，再經以專家訪談法邀集專精於管理面、技術面及法律面之專家分別提供修正意見，以修正自我評鑑表，修正後評鑑項目合計244項。為確保自我評鑑表之可用性，最後以實證組織進行驗證，經由邀請實證組織內資訊、法務及稽核部門人員代表，分別依其認知填具自我評鑑表，以了解組織內推動個資保護推動之情形，本研究亦針對實證組織評鑑結果尚未建置完成的評鑑項目提供改善建議，以作為該實證組織精進個資保護的參考方向。冀望藉由本研究成果，提供不論是否導入ISO 27001的組織皆可參考運用的一套自我評鑑參考機制，以協助各組織符合個資法令相關要求，善盡個人資料保護與管理責任並降低訴訟風險。