個資法施行細則第12條明定了11項安全維護措施中,而最後1項是「個人資料安全維護之整體持續改善」,從個資保護角度來看,持續改善包括了兩個意思,一個是因為發生事故後的檢討改善,另一個則是從既有個資保護制度中找出可以更優化的作法。
也就是說,改善並不是只有發生了事故才要執行,而更應該是定期執行的工作。
有三種常見需要採取改善動作的情況,分別是內外部稽核報告提出的矯正措施、法規修改或是驗證單位要求、企業營運事項更動以及其他重大變故。企業個資因應小組必須針對這三種情況採取對應措施,並檢討事情的始末,以及找出可以預防的方法。
法規修改或驗證單位要求要立刻改善
一般稽核報告中會檢討企業符合法規的情形,因不符合法規要求而需要矯正的項目,可以分成3種,包括了主要不符合事項、輕微不符合事項以及觀察事項。
企業必須盡快採取必要的措施,優先改善主要不符合項目,降低已發生問題的風險,並且預防及監視尚未發生的問題。
但是對於法規修改與驗證單位要求的改善事項,企業則要立即處置,因為企業若不馬上調整相關程序,就會違背了法律的規範,或是企業不遵循驗證單位的要求,最嚴重可能會被撤除證照,導致企業名譽受損。
至於最後一種須改善情況,當企業營運事項更動以及其他重大變故時,可能是企業組織改組或增加新的營運項目。
另一種則是企業發生了系統當機、個資外洩、資安事故等重大變故。這種情況潛藏的風險較大,一旦處理不妥,可能造成企業很大的衝擊,管理高層必須審慎考量因應措施,協調各部門的業務流程來改善這些重大缺失,以挽救公司的形象。
管理高層應定期召開審查會議,審視目前落實的程度
此外,管理高層應該定期或是遇到重大變故時召開審查會議,評估投入的各項資源是否足夠,檢討個資因應小組運作情況,以及審視目前個資保護制度落實程度,是否有符合制定的個資安全目標或是關鍵績效指標(Key Performance Indicators,KPI)。
而在BS 10012標準中第6章中也提供了一些持續改善的作法,企業亦可作為借鏡參考。
企業應該從內稽報告或是外部稽核的報告結果中,針對已經發現的不符合事項,實施矯正措施。另外也要監控潛在的不符合事項,通知需要知道的人員來採取預防措施,以防止這些項目導致不符合稽核要求的情形。
積極處理客戶訴怨也是持續改善的一種作法
企業也應該積極處理客訴、安全事件或是其他任何有助於持續改善的議題,了解客戶不滿意的地方是什麼,是不是有更圓融的處理方式,或從安全事件中找出可能忽略的漏洞或是檢討作業流程上是否有所疏忽。
除了持續改善之外,企業也必須投入相當的資源來維護現有的制度,而維護和持續改善這兩項作業,企業亦可聘請外部專業團隊協助。這些持續改善的措施、相關檢討會議、改善制度相關文書都需記錄保存,作為企業已善盡良善管理責任的證明。
個資法安全維護措施11:個人資料安全維護之整體持續改善
1. 要定期持續檢討,並非發生事故才需要改善
2. 三種常見需持續改善的情況:內外部稽核報告的矯正要求、法規修改或是驗證單位要求、企業營運事項更動以及其他重大變故
3.高層主管要定期召開審查會議,審視個資保護制度落實程度
4.持續改善制度文件、會議記錄與實施記錄都要保留
5.可參考BS 10012英國個資保護標準4.5、4.17和6條款
資料來源:iThome整理,2012年10月
相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20