金控之個資保護架構研究

陳淑芬

Unknown Date

金控公司整併後，無不投入物力、人力，建置一個安全、有效率的資訊安全架構來保護客戶資料，但近年來仍頻傳客戶資料外洩，不但讓客戶失去信心，甚而影響公司業務營運。金控公司在個人資料保護管理上是否仍有疏失而未防範到? 目前立法院審議中的「個人資料保護法」草案內容，個資外洩賠償上限從現行法2千萬元大幅提高到10億元。若該法案依此通過後，金控公司如未能安全地防護龐大客戶資料，再發生重大個資外洩案，除造成公司被告外，勢必面臨逾億或動輒高達數億元的超高額賠償。 本研究透過業者訪談瞭解當前金控公司在客戶之個人資料保護資訊架構之現況。並以產險子公司客戶從通路投保，登打客戶資料後儲存至核心系統資訊平台，再將資料流傳送至金控公司共用資訊平台，及資料後續的應用，逐一探討資料流程中之各個可能產生風險之管控點；並瞭解當前金控之整合及法規、資安規範，應用ISO 27001之管控點精神及資訊資產分類，希望能規劃適用於金融公司客戶個人資料保護之資訊管理架構，達到保護客戶資料之可用性、完整性以及機密性。 最後，本研究提出金控公司業者在客戶個人資料保護資訊管理架構之規劃建議，是希望以客戶觀點，能讓金控公司在防範外洩的管理措施上更嚴密，期使客戶能信任地將個人資料、理財活動交給金控公司，並增加金控公司共同行銷之機會。

個人資料保護

資訊安全

資訊資產

ISO27001

ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例 / Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C

孫天貴, Sun, Tien Kuei

Unknown Date

隨著資訊科技的蓬勃發展，資訊技術可以提昇組織效率與競爭力，資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生，資訊犯罪手法不斷翻新，所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮，對單位或公司而言風險不斷提高，傷害亦相對嚴重，甚至導致公司信譽破產，面臨倒閉威脅，為保護組織內部資訊相關資產與個人資料，並保持組織持續正常運作，資訊安全管理系統（ISMS）與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法；ISMS與PIMS分兩次來導入，造成組織增加工作負荷，有疊床架屋情形，成本有部分重複投資現象。本研究試著以資料的生命週期，資訊安全的機密性、完整性、可用性，PDCA運作模型...等角度進行本質上探討，來進行整合ISMS與PIMS的整合工作。 經文獻探討與專家學者建議，本研究突破各項盲點，從各角度分析進行多面向整合工作，並提出4點可有效整合具體作法：1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件，產出ISO27001適用性聲明須包含個資法。 本研究以國防部網站系統為例，運用整合結果進行實作，將實作經驗分享給未來有意導入ISMS與PIMS之IT人員，實作結果也證實本研究提出論點確實有效，更有效且更有邏輯性的面對各種資安與個資問題，以作業流程面來分析資安與個資，讓每個控制點更加明確，最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作，也證明本研究整合後，在實施（Plan-Do-Check-Act）管理系統確實有效，均能符合相關標準與法規。

資訊安全管理系統(ISMS)

個人資料管理系統(PIMS)

MSS

個人資料保護法

ISO27001

TPIPAS

BS10012