為了日後舉證需求,企業必須保存各種個資法因應措施的實施記錄,甚至追蹤這些因應措施的實施情況,個資法施行細則第12條11項安全維護措施的第9項為資料安全稽核機制,正是要求企業採取個資保護措施時必須建立配套的稽核機制。

稽核一般分為三種,包括了第一方稽核,第二方稽核以及第三方稽核。第一方稽核即所謂的內稽,稽核的人員為企業內部的人員;第二方稽核則是由主管機關來稽核,也就是行政檢查的意思;第三方稽核則是驗證稽核,也就是由外部的稽核公司或是驗證機關來執行,審視企業是否達到了國際標準的要求。

內部稽核要涵蓋所有擁有個資的部門

企業要定期舉行內部稽核,內稽可以提早發現問題然後針對問題進行改善,才不會日後主管機關行政檢查或是要進行驗證時,無法達到要求而造成企業形象的損害。

執行稽核活動前,要先依照待稽核的範圍以及稽核準則進行事前的稽核規畫,考量接受稽核部門(受稽方)的規模、系統或是文件的複雜度,進而成立稽核小組,選定小組的成員,然後排定時程表。依據個資法的規範,稽核的範圍就是涵蓋所有擁有個資的部門,即使該部門沒有保存個資,但在業務上有個資流通的部門也必須納入稽核。稽核準則就是個資法及施行細則,用來判定企業的作業流程、保護措施等是否符合法律要求。

稽核小組通常包括主導稽核員、稽核員這兩個角色,有的小組也會多了觀察員的角色。主導稽核員負責和受稽方洽談稽核的相關需求,規畫和管理所有的稽核活動,訪談受稽方的高階主管,控制衝突並處理困難情況以及報告稽核的結果;而稽核員則必須支援主導稽核員,撰寫稽核報告,協助各項稽核活動:至於觀察員的角色則是要觀摩稽核活動如何進行,不過這個角色並非必備的。

內部稽核人員不能稽核自身工作

而挑選稽核小組成員時,應該確認稽核員是否熟悉個資法及施行細則,了解應該如何進行個資稽核活動,最重要的是,是否擁有良好的溝通技巧。稽核過程會碰到許多的問題,像是受稽方的人員閉口不言或是極度不配合稽核活動,尤其內稽活動特別容易讓部門間發生衝突,稽核員該如何拿捏與處理就非常重要。稽核員自身態度必須堅定有禮貌,不能因為自己的私心而有所偏頗,更不能因此忽視了不符合的事項。此外,企業進行內稽活動時,必須要注意,所挑選的成員不能稽核自身的工作。

而稽核過程通常分為二階段,第一階段是文件審查,審查企業制定的各種管理手冊、各式各樣的文件記錄,事先了解企業落實的程度,以及從文件中找出可以進一步查核的訪談項目。第二階段就是實審,也就是前往受稽方的辦公處,實地訪談,稽核員可事前根據文件的缺失或是法條設計檢查表,檢查表可用於訪談時,幫助稽核員維持原先要稽核的目標。

依據稽核的結果及報告實施矯正措施或預防措施

在訪談的過程中,稽核員可能會發現有問題的地方,必須將所有的發現做成文件記錄,待整個稽核活動結束後,和主導稽核員討論,然後產出最後的稽核報告,企業就可以依據稽核的報告進行改善措施。

此外,企業可參考ISO 20000對於內稽的各項條款規範,熟悉內稽各項作業流程。從稽核結果可以看出企業個資保護落實的程度,也可以評估員工是否都熟悉了企業的相關規範,企業也可以依據稽核的結果施行矯正或是預防的措施。若是第三方稽核的話,通過稽核還會由驗證單位核發證照,可以提升企業的知名度。

 個資法安全維護措施9:資料安全稽核機制 

1. 舉行內稽可了解企業個資保護制度落實程度,找出須改善的問題

2. 稽核有三種,分別是內部稽核、行政檢查或是外部稽核

3. 稽核過程分為文件審查及實地審查兩階段

4. 稽核小組成員要有良好的溝通技巧

5. 內部稽核人員不能稽核自己的職務

6. 可參考BS 10012英國個資保護標準的條款5或是ISO 20000的稽核作法

資料來源:iThome整理,2012年10月

相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」

熱門新聞

Advertisement