機關導入個資保護經驗分享...v分析組織內各服務 內容之作業流程...
28
Transcript of 機關導入個資保護經驗分享...v分析組織內各服務 內容之作業流程...
緣由
行政院研考會為因應國內個資法之實施,委託國家資通安全會報技術服務中心執行「個資保護規劃與實作」研究案。期望建立一套可協助政府機關進行相關個資保護與管理的方法。同時選擇試行單位試辦,作為政府機關的參考示範
v試行目標§ 協助試行單位就選定的試行範圍,完成因應個資法相關要求之個資保護規劃與管理機制建立。同時單位未來可依此試行經驗自行擴大與複製此方法至其他有關範圍
§ 蒐集與分析單位在試辦過程的回饋意見與建議,以持續改善個資保護與管理方法和未來將發行之「個人資料保護與管理建置指引」內容的參考
2
本局參與歷程
3
確立試行範圍及試行單位
確立試行範圍及試行單位
試行前本局個資維護推動情形
4
國稅業務流程概述
5
稅籍
管理
申報
收件
試行業務範圍
6
試行單位
7
試行案採行之PDPS方法論(Personal Data Protection System )
8
推動過程~盤點個資檔案
9
個人資料檔案列表-基本資訊
v分析組織內各服務內容之作業流程
v識別各作業流程之個資項目(含類別、蒐集依據及蒐集目的)
10
個人資料檔案列表-利害關係人
v清查個資項目與外部利害關係人彼此間之關聯,以做為建立委外管理控制之依據
v綜整個資項目基本資料,做為後續個資衝擊分析與評鑑之依據
11
個人資料檔案欄位
v識別個資項目之蒐集範圍
v後續將檢視各個資項目蒐集是否符合最小需求
12
個人資料檔案生命週期
v個資管理相關活動(蒐集、處理、利用、國際傳輸及刪除或銷毁)之人/事/時/地等內容分析
13
推動過程~隱私衝擊分析及管理
14
行使當事人權利時之聯繫窗口與方式
行使當事人權利時之聯繫窗口與方式
委外管理委外管理
資料蒐集符合最少欄位資料蒐集符合最少欄位
建立個資蒐集告知作業程序與範本
建立個資蒐集告知作業程序與範本
確認間接蒐集的個資之告知程序是否完整
確認間接蒐集的個資之告知程序是否完整
確立個資檔案之機密等級與對應之資訊安全處理原則
確立個資檔案之機密等級與對應之資訊安全處理原則
建立個資事故通報與處理作業程序和範本
建立個資事故通報與處理作業程序和範本
進行適當方式供公眾查閱之公開事項
進行適當方式供公眾查閱之公開事項
個人資料隱私衝擊與風險評估
v檢核個資在蒐集、處理及利用過程中,是否提供當事人相關權利(如查詢、閱覽及複製等)
15
個資風險等級檢核
PIA/RA安全控制項目基準值
16
v檢視個資保護管理措施等機制符合所處理之隱私保護等級需求
個人資料管理流程方案分析(1/3)
17
個人資料管理流程方案分析(2/3)
18
個人資料管理流程方案分析(3/3)
19
技術控制措施分析基準表
Ye s N o N / A
10
6
2
6
7
11
5
6
13
4
4
4
8
9
5
3
14
To t a l 117
項次
技術控制措施類別:(4 )遠端存取
技術控制措施類別:(6 )可攜式行動裝置之存取控制
技術控制措施類別:(7 )事件監控
技術控制措施類別:(2 )職責分工
技術控制措施類別:(3 )最低限度存取
技術控制措施類別:(5 )使用者資訊共享
技術控制措施類別:(1 7 )資訊系統與網路監控
技術控制措施類別:(8 )定期稽核與報告
技術控制措施類別:(9 )使用者身分識別與證明
技術控制措施類別:(1 0 )媒體存取
技術控制措施類別:(1 1 )存放個資媒體等級標示
技術控制措施類別:(1 2 )妥善存放個資儲存媒體
技術控制措施類別:(1 3 )妥善運輸個資儲存媒體
技術控制措施類別:(1 4 )媒體淨化
技術控制措施類別:(1 5 )傳輸保密
技術控制措施類別:(1 6 )硬碟及備份資料保護
技術控制措施類別:(1 )存取控制之執行
Ch e ckb o xN o Le ve l Co n t ro l
20
技術控制措施分析
Ye s N o N / A
1 V 普 是否已建立個資處理授權表 包括加密應用於設備、檔案、紀錄、程式、網域等存取活動
2 V 普 是否已建立應用層之存取控制
3 V 普 是否已依據密碼原則設定密碼
4 V 普 是否已啟動逾時未操作之密碼保護設定 例如啟用螢幕保護密碼、連線逾時等
5 V 普 是否已啟動使用者瀏覽器安全設定 例如限制執行非信任網站之程式碼
6 V 中 是否已依據風險評鑑與人員職責開放必要之最小權限 包括可執行之應用程式、系統功能、通訊埠、通訊協定及服務;或
採用以角色為基礎的存取控制機制
7 V 中 建議採用資料外洩防護(DLP )工具管理使用者傳送個
資或機密資料之行為
DLP : Da t a Lo ss P re ve n t io n
8 V 中 建議與外單位交換個資時採用數位版權管理(DRM )工
具以限定個別使用者之存取權限
DRM : Dig it a l Rig h t M a n a g e m e n t,依據個資敏感/機密性決定使用
者存取限制,例如列印、郵件轉寄、檔案複製、螢幕畫面擷取等
9 V 高 是否已採用DLP與DRM工具 若個資為特種個資,必要時應側錄使用者存取行為,並由指定之高
階主管審視或抽核是否有不符合個資規範之行為
10 V 中 是否已依據獨立性原則採用職責分工 例如負責系統管理者不應同時負責管理系統日誌(lo g )
11 V 中 職責分工是否已應用於系統管理、程式開發、組態管
理、系統測試、網路管理等活動
建議結合存取控制,採用以角色為基礎的存取控制機制
12 V 中 執行存取控制者是否禁止稽核自身相關工作
13 V 中 系統管理角色是否已分開使用管理者帳號,而非全部
使用最高權限或僅使用單一帳號
例如系統管理可分為3個部份交由3位同仁負責,則每位應擁有其負
責之系統管理權限,而非3位擁有相同系統最高權限,若有輪調或代
理之需要,則建議採密碼彌封交由主管負責保管
14 V 高 Le ve l等級中之內容是否完全符合
15 V 中 「職責分工」Le ve l等級中之內容是否完全符合
16 V 普 「存取控制之執行」Le ve l等級普之內容是否完全符
合
遠端存取管制範圍除與本機關之外部連線外,亦包含使用者於本機
關非使用本機登入,而透過虛擬私有網路(VPN )、撥接(d ia l- u p )、寬
頻網路(b ro a d b a n d )及無線網路 (wire le ss)連線至本機關資訊系統之
存取活動
技術控制措施類別: (4 )遠端存取
技術控制措施類別: (2 )職責分工
技術控制措施類別: (3 )最低限度存取
技術控制措施類別: (1 )存取控制之執行
Ch e ck b o xN o Le v e l Co n t ro l N o t e
21
22
推動過程~建置個資維護措施
個資安全維護措施之行動方案(1/3)
23
對應安全維護措施 (2/3)
24
對應安全維護措施 (3/3)
25
試行歷程及盤點結果試辦活動主題與參加人數統計
會議場次 1 2 3 4 5 6 7 8 9 10 11 12日期 100/8/25 9/1 9/9 9/22 10/4 10/14 10/20 10/28 11/3 11/11 11/17 11/24
活動主題
個資管理認知訓練課程
個資項目與作業流程盤點 I.
個資項目與作業流程盤點 II.
隱私衝擊分析與風險評鑑
流程與技術控制需求分析 I.
流程與技術控制需求分析 II.
流程與技術控制需求規劃 I.
流程與技術控制需求規劃 II.
流程與技術控制項目建置 I.
流程與技術控制項目建置 II.
流程與技術控制項目建置 III.
流程與技術控制項目建置 IV.
參加人數 38 20 20 21 17 16 17 17 19 19 23 19累積人次 246
參與試辦活動之科室、分局及稽徵所局內科室 認知課程 試辦活動 分局與稽徵所 認知課程 試辦活動綜合規劃科 三民分局服務科 V V 鳳山分局徵收科 V V 新興稽徵所 V V法務一科 V V 鹽埕稽徵所 V V法務二科 V V 苓雅稽徵所 V監察室 V 鼓山稽徵所 V秘書室 V V 楠梓稽徵所政風室 V V 前鎮稽徵所人事室 小港稽徵所會計室 左營稽徵所審查一科 岡山稽徵所審查二科 旗山稽徵所審查三科
審查四科
稅務資訊科 V V
試行作業範圍個資盤點項目統計
業務別\蒐集方式直接蒐集
間接蒐集
直接+間接
小計
新興稽徵所(綜合所得稅) 3 2 5徵收科 5 59 64法務一科 0 43 43鹽埕稽徵所(全功能櫃作業) 0 32 32鹽埕稽徵所(各類所得扣繳) 21 3 24稅務資訊科(記帳士) 1 31 1 33稅務資訊科(保管股) 1 23 24稅務資訊科(整理股綜所稅) 0 36 4 40稅務資訊科(整理股營所稅) 1 2 3稅務資訊科(整理股營業稅) 0 7 7稅務資訊科(資理組) 0 71 71稅務資訊科(系統一二三股) 3 15 8 26
合計 35 324 13 37226
個資試行案執行成果
27
28
![[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225](https://static.fdocuments.net/doc/165x107/54b7a4c84a795993718b47ed/cblp-ox-20130225.jpg)
