研討會Q&A解答-Risk

Q1：ISO 27001著重CIA重點放在資訊單位似乎認證IT單位還合理，但個資認證僅認證某些單位，實務上可行嗎？有實質意義嗎？（方先生，某金融機關）

A1：未來各組織在面對到個人資料保護法要求的法令遵循上，組織當不會有面對或思考選擇範圍的問題，而在組織透過認證時，以目前經濟部商業司與資策會所推動之臺灣隱私權標章(TP Mark)即主張需全組織均不得排除的認證前提即是考量到認證與法令遵循的差別，唯有鑑於組織要大幅度的推動全組織認證，以無店面零售業者當前之規模尚屬可行，但在推動到其他產業，如金融業、電信業等，具有高度的資訊化及橫跨多通路之特性下，要一次性全面推行的難度時不言而喻。
在考量到BS 10012個人資訊管理系統下，依照條款3.2個人資訊管理系統的範圍與目標中，將組織在面對到定義或選擇個人資訊管理系統的範圍時，應該考量下列因素：
a) 對個人資訊管理的要求；
b) 組織的目標和義務；
c) 組織可接受的風險程度；
d) 可適用的法律、管制規定、合約及／或專業職責；以及
e) 個人及其他重要利害關係人的利益。
也藉此組織可以從上述五點中，評估最值得高度關注之範圍，作為組織推動個人資訊管理制度建置時的優先選擇，則可將大幅度之風險能先一次性掌握為宜。