【The Proof - 2021/07期】隱私管理對保護您重要資訊的重要性
【The Proof - 2021/07期】隱私管理對保護您重要資訊的重要性
近年來全球組織中與資料保護相關的大起事件,已提高選民/顧客對嚴密保護措施的注意,本文會帶你進入有效隱私管理系統的基本要件,以保護您的資料財產。
資料隱私/資料保護的區分
雖然可以互用,但資料隱私和資料保護以不同的功能運作。因此,這兩個名詞的區分,對如何勾勒出有效隱私管理的意義是很重要的。資料隱私涉及資料如何分享、收集、使用的治理,尤其是針對第三人。
而另一方面,資料保護會保障和解、貪汙或徹底損失案件的這類資訊,它是資料隱私在組織中,可針對適當收集、使用或資料修改情況加以解釋的一種 “強制單位”。
資料隱私原則
資料隱私的指引原則如下:
- 透明化:本原則會找出個人資料收集者,以提供各個資訊相關的收集目的、資料保留、資料處理或其他任何進一步的揭露。
- 品質:資料收集者囿於維持資料生命週期及準確度,藉由自收集至銷毀階段的有效管理及流程,以捕捉唯一準確的資料,並即時更新。
- 比例原則:比例原則是為達到所收集資料須能完成其目的的效果。
- 安全性:安全措施必須能保留資料至完全保密、誠信及可用,且適當的回應流程應到位,以防任何有關資料的緊急情況發生。
- 限制性:限制原則使資料蒐集者排除目的以外之非必要資料蒐集。此類資料不得於原始目的以外進行其他任何目的之處理,同時限制了此類資料的保留期間。
關鍵資料隱私風險及商業威脅
某些執行資料隱私的威脅詳列如下:
- 法規遵循性:針對國際企業,在境內之外管理廣泛的法規遵循性可能會很棘手。
- 清楚而明白地說明檢視個人資料動機的法規訊息。
- 若組織有較複雜的資訊流,尤其是跨多重資料處理的流程,應始終關注資料隱私議題。
- 稽核組織合夥人/處理人員網絡的成本影響可能會高到難以應付。
無法符合此網絡任何部份的規定可能會導致供應鏈的法遵議題。因此,即便這些組織已 (互相) 簽字署名,仍需要確認其遵循性。
透過ISO 27701執行資料隱私
ISO/IEC 27701個人資訊管理系統 (PIMS) 是用來協助組織更佳管理其隱私法規要求。
由隱私專家及內部/第三人審核的個人資訊管理系統,納入許多運作的管控方式、多重法規要求及一般資料保護規則為考量範圍,其可為潛在驗證及一致性的證據提供絕佳機會。
執行過程
ISO 27001認證是用來推薦給無論規模大小、且是否為資料管控者或處理者的組織,其可協助執行適當控管以便以下列方式保障個人資料、減少資料外洩的大量風險:
- ISO 27001要求組織採取完整的風險評估、辨識受損及潛在威脅,以便在組織的監控狀態下承諾資料的隱私性。
- 其明確指出減少資料安全風險的管控程度。然而,組織會被要求辨識哪些資產是容易受損或需要保護的。
最後,組織在取得 ISO 27001 + ISO 27701的驗證前,應持續努力評估其是否真正需要驗證。在公司面對承包商或供應商資訊的案例中,他們應考量針對 ISO 27001 + IS0 27701驗證的要求,以避免資料外洩所帶來的潛在責任。
SGS解決方案
IBM的調查顯示,所有安全漏洞中,95%的結果都是人為疏失。可見人們學習識別潛在威脅和維護關鍵數據的正確程序至關重要。
SGS提供全方位的服務,以協助組織以有效及具成本效益的方式,保護其資料及系統的正確與可信。與 SGS合作進行 ISO/IEC 27001資訊安全驗證,可帶給您更佳流程表現、技術能力的增加、及更永續的客戶關係。我們具有成功執行與進行大規模、複雜的國際專案的經驗,且全球各個區域的據點分布,SGS同仁能精通當地語言並了解當地市場的文化。