系統簡介
■個人資料保護法簡介
所謂的個人資料,舉凡自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料者均屬之。
■組織為什麼要建立個人資料保護法?
(一)台灣個資法已三讀通過。
(二)防止未來組織遭受到個資訴訟,無法提出管理制度,導致公司被罰款,最高罰兩億。
(三)提高組織人員對於個資法律及管理上的風險認知。
■輔導重點架構
(一)現況診斷
- 適法性調查。
- 界定個人資料的範圍。
- 訂定個人資料保護政策。
- 規劃、建立個人資料管理組織架構。
(二)個資清查與風險評鑑
- 分析現有的資訊安全與個人資料管理控制措施。
- 辦理個人資料檔案之盤點及資料流分析。
- 執行個人資料檔案之風險評鑑作業。
- 產出個人資料衝擊評估總表。
(三)擬定個人資料保護策略
(四)整合資訊安全流程
ISO 27701國際隱私保護標準
- ISO/IEC 27701:2019:安全技術-用於隱私資訊管理之 CNS 27001及 CNS 27002延伸-要求事項及指導綱要
- ISO/IEC 27001:2022:資訊安全、網宇安全及隱私保護-資訊安全管理系統-要求事項
- ISO/IEC 27002:2022:資訊安全、網宇安全及隱私保護-資訊安全控制措施
ISO 27701 的主要特點:
隱私管理的擴展:
在原有的 ISO 27001 信息安全管理框架基礎上,補充了管理個人資訊(PII,Personally Identifiable Information)的要求。
雙重角色管理:
涉及隱私管理的兩種主要角色:
資料控管者 (Data Controller):負責決定如何使用個人資料。
資料處理者 (Data Processor):根據控管者指示處理個人資料。
支援隱私保護法規遵循:
有助於組織符合像GDPR(歐盟一般資料保護規範)和CCPA(加州消費者隱私法)等隱私法規的要求。
風險導向方法:
透過風險評估和管理,幫助企業減少隱私相關的風險,保護個人資訊的機密性、完整性和可用性。
誰應該採用 ISO 27701?
收集或處理個人資訊的組織:如科技公司、金融機構、醫療機構等。
需要符合法規的企業:例如必須遵守 GDPR、CCPA 或其他隱私法規的組織。
外包處理個人資訊的服務提供商:希望證明自己在隱私管理方面的能力。
ISO 27701 的主要好處:
提升隱私資訊保護能力,降低數據洩漏風險。
為隱私合規性提供系統化方法。
增加與客戶、合作夥伴及監管機構的信任。
與 ISO 27001 兼容,適合已有信息安全管理系統的企業進行整合。
如果貴公司或組織需要提升隱私保護能力,ISO 27701 是一個非常值得考慮的標準。
科建輔導優勢