【The Proof - 2021/07期】隱私管理對保護您重要資訊的重要性

【The Proof - 2021/07期】隱私管理對保護您重要資訊的重要性

近年來全球組織中與資料保護相關的大起事件，已提高選民/顧客對嚴密保護措施的注意，本文會帶你進入有效隱私管理系統的基本要件，以保護您的資料財產。

資料隱私/資料保護的區分
雖然可以互用，但資料隱私和資料保護以不同的功能運作。因此，這兩個名詞的區分，對如何勾勒出有效隱私管理的意義是很重要的。資料隱私涉及資料如何分享、收集、使用的治理，尤其是針對第三人。

而另一方面，資料保護會保障和解、貪汙或徹底損失案件的這類資訊，它是資料隱私在組織中，可針對適當收集、使用或資料修改情況加以解釋的一種 “強制單位”。

資料隱私原則
資料隱私的指引原則如下：

1. 透明化：本原則會找出個人資料收集者，以提供各個資訊相關的收集目的、資料保留、資料處理或其他任何進一步的揭露。
2. 品質：資料收集者囿於維持資料生命週期及準確度，藉由自收集至銷毀階段的有效管理及流程，以捕捉唯一準確的資料，並即時更新。
3. 比例原則：比例原則是為達到所收集資料須能完成其目的的效果。
4. 安全性：安全措施必須能保留資料至完全保密、誠信及可用，且適當的回應流程應到位，以防任何有關資料的緊急情況發生。
5. 限制性：限制原則使資料蒐集者排除目的以外之非必要資料蒐集。此類資料不得於原始目的以外進行其他任何目的之處理，同時限制了此類資料的保留期間。

關鍵資料隱私風險及商業威脅
某些執行資料隱私的威脅詳列如下：

1. 法規遵循性：針對國際企業，在境內之外管理廣泛的法規遵循性可能會很棘手。
2. 清楚而明白地說明檢視個人資料動機的法規訊息。
3. 若組織有較複雜的資訊流，尤其是跨多重資料處理的流程，應始終關注資料隱私議題。
4. 稽核組織合夥人/處理人員網絡的成本影響可能會高到難以應付。

無法符合此網絡任何部份的規定可能會導致供應鏈的法遵議題。因此，即便這些組織已 (互相) 簽字署名，仍需要確認其遵循性。

透過ISO 27701執行資料隱私
ISO/IEC 27701個人資訊管理系統 (PIMS) 是用來協助組織更佳管理其隱私法規要求。
由隱私專家及內部/第三人審核的個人資訊管理系統，納入許多運作的管控方式、多重法規要求及一般資料保護規則為考量範圍，其可為潛在驗證及一致性的證據提供絕佳機會。

執行過程
ISO 27001認證是用來推薦給無論規模大小、且是否為資料管控者或處理者的組織，其可協助執行適當控管以便以下列方式保障個人資料、減少資料外洩的大量風險：

1. ISO 27001要求組織採取完整的風險評估、辨識受損及潛在威脅，以便在組織的監控狀態下承諾資料的隱私性。
2. 其明確指出減少資料安全風險的管控程度。然而，組織會被要求辨識哪些資產是容易受損或需要保護的。

最後，組織在取得 ISO 27001 + ISO 27701的驗證前，應持續努力評估其是否真正需要驗證。在公司面對承包商或供應商資訊的案例中，他們應考量針對 ISO 27001 + IS0 27701驗證的要求，以避免資料外洩所帶來的潛在責任。

SGS解決方案
IBM的調查顯示，所有安全漏洞中，95%的結果都是人為疏失。可見人們學習識別潛在威脅和維護關鍵數據的正確程序至關重要。

SGS提供全方位的服務，以協助組織以有效及具成本效益的方式，保護其資料及系統的正確與可信。與 SGS合作進行 ISO/IEC 27001資訊安全驗證，可帶給您更佳流程表現、技術能力的增加、及更永續的客戶關係。我們具有成功執行與進行大規模、複雜的國際專案的經驗，且全球各個區域的據點分布，SGS同仁能精通當地語言並了解當地市場的文化。