資安個資委外廠商稽核監督服務

許多組織為了結省人力與開發成本，透過委外方式達成專案目標，或是進行資訊系統/資料的維護交給外包廠商處理已是稀鬆平常之事，但過程中注意事項與細節卻是委託者須特別注意，一般簽約廠商僅會遵循合約內容中有要求與規範之項目，若組織於資訊安全或是個人資料保護的安全上有所規範，應確實將內容加至合約中，並適時地進行監督與查核。但實務上的操作，會有兩種狀況發生：

1、業務承辦單位人員並無相關專業背景，不知對廠商該如何進行監督。
2、業務承辦人有相關專業能力，但礙於業務繁忙，無法撥出時間進行監督。

或許大多數對資訊安全並沒有太深的概念，但若以「國內個人資料保護法」內的委外條文來檢視的話，其實隱含著重要的委外監督概念，相關條文如下：

個資法第4條說明如下：

受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用 範圍內，視同委託機關。

個資法實行細則第8條說明下：

委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督 前項監督至少應包含下列事項：  一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。  二、受託者就第十二條第二項採取之措施。  三、有複委託者，其約定之受託者。  四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通知之事項及採行之補救措施。  五、委託機關如對受託者有保留指示者，其保留指示之事項。  六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持有之個人資料之刪除。 　　 第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。 　　受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者，應立即通知委託機關。

萬弘資訊資安個資廠商專業稽核服務如下：

您的需求如下：

1、如果您無相關專業背景，但又希望能依法依合約定期委外廠商稽核，您就需要我。

2、如果您有專業背景，但您業務繁忙沒時間到場進行委外廠商監督查核，您就需要我，。

3、依據委外合約內容提及的資訊安全要求，個人資料保護法要求事項由具國際相關標準稽核員進行查核，您就需要我。

4、若您進行滲透測試/或是弱點掃描後，須要定期進行技術面的稽核，您就需要我。

5、提供客觀公正的稽核報告，您就需要我。

個資網路移除刪除服務(資安顧問服務)

網際網路的服務已經多樣化到讓人吃不消的地步，作為網路使用者的我們常常不自覺就申請了很多帳號、留下了很多個人資料，這些個人資料可能包括：姓名、帳號、Email 、身份證字號、手機號碼、聯絡地址之類………等等，數量龐大到多不可數。但我們真的很難去了解保管我們個人資料的「公司」、「網站」、「網路服務提供者」是否有妥善地保護，人員無心過失、抑或系統漏洞、廠商安全服務能力不佳、駭客入侵，皆會造成您的個人資料公開於「什麼都找得到」的「網際網路」上。加上現在上網人口因為手持裝置與行動網路的普及，您不會擔您的個資時常曝光嗎？現代社會您的個人軌跡留存容易，但移除刪除卻不是件容易的事，往往需要
一些溝通、技巧、時間、與後續的追蹤才能確保自己的個人資料徹底消失於網際網路上，我們提供的服務如下：

1、與網路服務供應商或是公司行號進行協調進行個資網路的刪除

2、專人進行個資頁面的刪除

3、刪除後進行追蹤確認已完成

個資風險管理服務

個資風險管理服務說明

依據個資法施行細則第十二條安全維護措施/安全維護事項所提及之「個人資料之風險評估及管理機制」，萬弘資訊本項服務將依據組織業務流程、界定出個人資料範圍（進行個資盤點）後，並針對個資資產進行風險評估、提供個資風險處理建議或相對應管理機制。

個資法本法參考項目

第六條第一項第二款 所稱適當安全維護措施：
有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、
處理或利用。但有下列情形之一者，不在此限：
二、公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。

第十八條所稱安全維護事項：

公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人

資料被竊取、竄改、毀損、滅失或洩漏。

第二十七條第一項所稱適當之安全措施：

非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

個資法顧問輔導(個資法顧問)

• 個資法顧問服務方式
• 個資法輔導制度
• 個資法輔導個資盤點
• 個資法安全維護事項

---

前言

您認為個資法輔導該作些什麼事呢？花大錢請廠商訪談一下、並出個建議書就完成了嗎？ 或是請廠商來開個課，後續同仁就知道如何執行了嗎？或是花買個所謂的「範本」就算管理嗎？ 實務上，大多數手上拿著廠商給的個資現況建議書並無法 直接進行制度的落實與推動。（更不用說建議書內可能置入性行銷許多資安產品)

個資法制度輔導的關鍵精神在於管理制度建立後， 須可確實落實執行以便持續改善，所以正常的顧問輔導流程除了將個資法制度建立起來後，應該還要 陪著客戶一起去推動、協助執行與落實面，才能確保前期的規劃是正常運行的。（而不是建議書、範本交付完後就驗收。)

為了自身權益著想，錢要花在刀口上，有緣看到本段落內容的朋友，也希望您可以此方式進行監督與選擇，不要花了大錢買了無法用的東西。

個資法顧問輔導服務說明

萬弘資訊個人資料保護顧問團隊，提供個資輔導階如可參考上圖，於流程訪談開始前即預先確定組織期望個資管理制度建置的程度，所謂建置的程度，考量客戶預算成本可彈性分為：

• 1、滿足適法性。
• 2、滿足適法性，並整合管理流程運作
• 3、滿足適法性、整合管理流程再加上第三方驗証。

一般所建議的建置至少會滿足適法性前題下，整合管理流程運作，其階段分為

• 協助個資法專案編組成立
• 透過業務流程訪談，指導各單位進行個人資料盤點。
• 依據流程訪談所得之現況資訊、指導協助各單位同仁完成個資法風險評鑑 。
• 指導協助各單位同仁進行個資法管理落實
• 進行制度施行與宣導
• 進行個資法內部稽核 。
• 針對未完善之處再進行持續改善 。

個資法顧問輔導-個資盤點

個資盤點為個人資料保護的基礎工作，凡是屬於國人個人資料保護法所規定可直接識別或間接識別之個資，都應先盤點出來，以利後續的保護作業，盤點方法可依照個資生命週期與其流通範圍進行「流程分析」：

• 蒐集的來源(直接或間接、是否告知告事人且取得同意)。
• 處理的方式(內部傳送的過程、保存、檢索、查詢…等) 。
• 對外分享或是揭露、行銷…等

個資法顧問輔導制度建構說明

本國個人資料保護法於民國101年10月1日開始施行，除第 6 條、第54條條文施行日期尚須由行政院核定。於個人資料生命週期的考量下，公務機關或是非公務機關於個人資料的搜集、 處理、利用、保存、銷毀都須依法執行。因此本項服務依照P(規劃)D(運作)C(查核)A(執行改善)精神協助相關機構建立相關的管理程序以達到法令的遵循性，
包括：

• 個人資料生命週期的相關管理制度 （蒐集、處理、利用、保存、銷毀、委外）
• 因應當事人權利相相關管理制度（查詢或請求閱覽、複製本、補充或更正…等等）
• 個人資料受侵害後之通知相關管理制度
• 個人資料委外監監之相關相關管理制度
• 個人資料保護之安全維護事項（界定個人資料範圍、風險評估及管理機制、資料安全及人員管理……等等）

個資法施行細則第十二條所提及之安全維護事項：

• 一、配置管理之人員及相當資源。
• 二、界定個人資料之範圍。
• 三、個人資料之風險評估及管理機制。
• 四、事故之預防、通報及應變機制。
• 五、個人資料蒐集、處理及利用之內部管理程序。
• 六、資料安全管理及人員管理。
• 七、認知宣導及教育訓練。
• 八、設備安全管理。
• 九、資料安全稽核機制。
• 十、使用紀錄、軌跡資料及證據保存。
• 十一、個人資料安全維護之整體持續改善。

ISO 27001資安顧問服務曁個人資料保護內部稽核顧問服務

ISO 27001暨個人資料保護內部稽核服說明

資訊安全內部稽核屬於PDCA循環內的Check 階段，階段主要是透過獨立、公正之具相關專業技能資格的角色協助組織進行內部查核，服務內容包括：

1、稽核計劃的制定

2、稽核活動的進行

3、產出稽核報告

目的是向管理層級的人員確認組織內所實施的資訊安全管理制度，是否已經有效地落實，於外部稽核前若預先發現不符合事項，可先予以矯正。

ISO 27001暨個人資料保護內部稽核效益說明

1、此活動可作為管理層級人員有效改進組織的方法之一

2、可協助組織確認管理制度的有效性

3、可協助組織確認目前管理制度的符合性（例如：符合法令、法規、合約…等等）

4、協助管理人員制定有效的營運決策

5、協助管理人員發現目前組織須投入資源改善的地方。

個資管理制度與品牌(資安顧問簡述)

這陣子偶然與某上市公司高階營運主管討論個資管理制度於內部的實施狀況，從組織面而言，訪談中了解到其原先個資管理的代表窗口是由MIS的專人來代表，但因為整體上推行上的不易，加上個資管理的制度應屬於全公司應遵循之制度，並非僅僅只是資訊部門的責任，所以後來經過調整，個資管理制度的維運直接隸屬於董事長室下方管理。

其實該公司對於內部組組的調整作法是相當地正確，雖然現今社會中小型企業，其資訊化程度就已相當高，看似許多資料流的傳輸、儲存好像僅僅都在資訊系統內，例如：ERP系統、資料庫系統、供應鏈管理系統………等等。但是組織內許多業務單位才是該資料的擁有者，而資訊部門單位僅僅只是針對電子化資料（結構或非結構）提供儲存空間、穩定的網路、或是技術上安全機制而已。

由於過去也曾輔導客戶進行個資管理制度建置過程中，面臨到因為主導單位的層級不夠高，在溝通協調上的不易，令人印象深刻。


以該公司品牌而言，在國際享有高知名度，所以其管理階層事實上於國內個資法尚未實施前就已開始準備，並將相關管理的文件制度建構完成，該企業為何會如此謹慎的看待個人資訊保護的相關議題呢？？

其實答案很簡單，就是因為 「品牌」!!! 我們大家都知道許多知名企業是歷經數十年努力，才能將其公司品牌推廣至全球，若因為些許的大意疏忽進而引起消費者權限受損抑或是違反法令，則非常有可能在短時間內造成聲譽受損、企業形象之崩壞、進而財務面受損或是有相關法令的違反。

尤其於全球市場皆有營業據點與服務窗口的企業集團，對於個人資料的保護更要小心，其涉及與應考量的層面不光僅是國內個人資料保護法，甚至也必須遵循該國的個人資料保護相關規定。


以去年（2013年）為例，

曾在FB上的動態顯示中發現一則訊息，內容關於某金融機構因程式開發、上版的不嚴謹，造成許多民眾的線上繳費個人資訊曝光，同時間知名電子佈告欄PTT也討論這此問題，在google上面鍵入關鍵字也可以很明顯發現已經有網民的布落格在描述此一問題，由此可知安全性考量是必要的，在現今資訊傳遞如此快速的時代，企業形象瓦解的速度也會上升。

我們只要試想，若您是那一位資料被公開於網際網路的民眾，您還會相信該公司嗎？