風險評估的目的是要降低企業資產的損失,但要先分辨出資產的價值,才知道如何採取適當的避險因應措施。企業完成內部個資盤點後,所找出來的個人資料都是企業可利用的資產之一。企業要符合個資法施行細則11項安全維護措施中第3項的「個人資料之風險評估及管理機制」要求,企業就要先找出所有個資並識別其價值,才能評估可能會遇到的風險,分析風險發生的機率與對企業影響的程度,然後再依據管理高層訂定的風險接受準則(Risk Acceptable Criteria),來實施相關的處理措施降低風險,才能減少了事故發生的機率。

風險評估只是風險評鑑的部份流程

若參考ISO/IEC 27005標準中規範的資安風險管理流程,風險評估(Risk Evaluation)僅是風險評鑑 (Risk Assessment)流程中的其中一項程序。風險評鑑的流程要先進行風險分析(Risk Analysis),然後才能進行風險評估,風險分析則又包含了風險識別(Risk Identification)與風險預估(Risk Estimation),也就是說,企業要符合個資法的規範,最好也借鏡風險評鑑的兩階段作法,才能完善地評估可能的風險。

企業進行風險評鑑前,管理高層應該依據法律的規範、企業的個資政策以及業務流程上的需求制定出風險評鑑的計畫,並建立出企業適用的風險評鑑表單或是工具。

依資料價值來評估風險等級

執行風險評鑑的第一步,就是要識別個資的價值,而評定標準可依據機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)這三項特性來給分,再將這三項的分數以相乘或相加的方式累計,就可以計算出一個數據來代表個資的價值。而機密性代表個資的重要程度,像是敏感性個資,其重要程度一定較高;完整性則表示個資不能被修改或刪除;可用性則是指當需要個資時能否馬上存取。

找出個資的價值後,接著要估算事故發生的可能性,並依據可能發生的程度來給予不同的分數,可能性越高的分數越高。個資價值和事故發生可能性這兩者分數相乘後的數字就是風險等級的數據,通常可以依此來區分為高風險、中風險或是低風險。得知了風險等級後,企業就可以依據不同的風險等級來實施對應的控制措施,通常來說,企業考量成本與人力的問題,會優先處理高風險等級的事項,因為最有可能造成重大事故。

也可採用隱私權衝擊分析評估風險

除了風險評鑑的方法之外,在BS 10012標準的條款4.4中提到另一個作法是隱私權衝擊分析(Privacy Impact Assessment,PIA),這個作法就像是個人資料的風險評鑑,目的是為了協助企業執行個資相關流程時,會牽涉到的人員、系統、運用技術能否確保個人隱私的要求,並以此來識別和管理風險,以避免個資事故的發生,達到法規的要求。

不論是執行PIA或是風險評鑑,它們的目的都是一樣的,作法也是類似的,企業可自行選擇其中一種來執行,達到有效的風險管控,但企業必須詳盡地記錄所有的過程,以供日後行政檢查所需。

此外,企業執行風險評鑑時可聘請專業顧問團隊協助,也可參考行政院國家資通安全會報網站提供的資訊系統風險評鑑介紹,雖然這些是針對資訊系統的評鑑,但相關作法是可以適用於個資保護的,或者是派員參加相關風險評鑑的研習訓練。企業風險評鑑執行的越徹底,越能掌握可能的風險,也越可以減少事故發生的機率。

 個資法安全維護措施3:個人資料之風險評估及管理機制 

1. 先評估資料的價值才能採取適當的風險措施

2. 可依資料機密性、完整性和可用性來評估價值

3. 不同等級的風險要有不同的應變措施

4. 可參考ISO 27001風險評鑑的作法來評估個資風險

5. 可採取隱私權衝擊分析的作法來評估個資風險

6. 可參考BS 10012英國個資保護標準4.4條款

資料來源:iThome整理,2012年10月

相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」

熱門新聞

Advertisement