凌群電腦率先全公司導入並通過PIMS(BS10012:2009)認證 同步發表『個資安全整合解決方案』 建構綿密個資防護網 建立保護隱私‧個資無虞的高度資訊文明社會

新版個人資料保護法預計10月1日正式上路,凌群電腦積極因應,不僅將客戶及員工個資的蒐集、處理、利用到銷毀的每個流程階段,全數納入管理,並全面導入個人資料管理系統PIMS(Personal Information Management System) BS 10012:2009認證,順利於8月通過,成為全國第一家全公司導入並通過BS10012:2009認證的系統整合公司,並於8月20日進行頒證,凌群電腦不僅以身作則,率先導入管理制度,並期號召國內所有系統整合業者一同支持新法,共同協助國內各企業建立個資安全保護機制與資訊應用環境,使台灣成為『保護隱私、個資無虞』的高度資訊文明社會。


根據以往台灣發生的個資事故來分析,個人資料外洩的數量由數百筆到數十萬筆之多,外洩的原因從承辦人員的疏失、到駭客的入侵不一而足,究其根本可歸納為:未設計或落實管理機制、未採用足夠有效的資訊技術進行資訊保護與稽核。當新版個資法正式實施後,個資事故的發生都將造成企業的損失,除了企業形象的無形損失難以估計外,每次事件都可能同時面臨個資當事人的求償與行政機關(包含縣市政府與目的事業主管機關)的罰款:個資當事人的求償損失每筆介於NT500~NT 20,000間,而單一事件累積最高罰款可達2億元,企業同時還得面臨行政處罰:單就個資法之行政罰款金額介於數萬到數十萬元不等,若是金融單位還可能面對其他法律的制裁。特別的是新版個資法另外針對企業主於事故發生時,除能證明已盡防止義務者外,否則必需接受同一額度罰鍰處罰。


為協助國內各企業建立個資安全保護,凌群電腦準備好了,率先導入管理制度,凌群表示,新版個資法為與國際接軌,較現行法規更符合歐盟及APEC揭示原則,對於個資的蒐集、處理及利用上的要求更為周延。因此由新版修訂條文發表之初,凌群即著手評估影響範圍及內容,2010年開始協助客戶提供『個資檢核服務』,由企業內現行的個資管理方式、資料安全技術操作及主管支持度等多方進行檢核。而凌群電腦自身則成立「個人資料保護推動委員會」,由總經理親自領軍,並由「財團法人中華民國國家資訊基本建設產業發展協進會(NII)」提供顧問服務,為徹底達成對個資保護的目的,依據完整的P(計畫)、D(執行)、C(查核)及A(矯正)流程,詳細檢視並管理個資使用與保護個資過程,進行流程的全面改善。


基於台灣普遍高度資訊化,凌群電腦根據個資生命周期中蒐集、處理、利用、銷毀的每個環節,引進全球知名資訊安全領導廠商:凌群電腦以『個資防護鐵三角概念(PIMS、文件加密、端點DLP安全防護)』出發,透過管理制度改善企業個資管理流程,建構個資外洩防護的第一道防線,陸續引進網站、資料庫安全、IT Log(資料軌跡)、SIEM(資安事件管理)平台以及資料銷毀等不同面向,向上整合完成『個資安全整合解決方案』,透過產業間合作結盟,建構綿密的個資防護網,有效防堵因資訊系統疏失造成個資外洩,即使產生個資事故時,亦可為客戶提供無故意或過失的保障。凌群個資安全整合解決方案的重要合作夥伴包括:

管理制度-個資防護基礎

  • NII-財團法人中華民國國家資訊基本建設產業發展協進會,為專業的顧問服務公司,與凌群電腦於個資法法規遵循和因應策略有充分的合作,除了協助凌群順利通過PIMS BS10012:2009認證外,亦與凌群電腦顧問團隊合作,推廣PIMS服務。

基礎防護-企業資安基礎架構

  • Fortinet,為全球防火牆及整合威脅管理(Unified Threat Management;UTM)領導廠商,為企業用戶提供網路資安基礎防護外,亦提供效能卓越的網頁應用程式防火牆,防禦企業網站安全。

Client端-防止企業個資外洩的最前線

  • Hitachi Solutions,為日立集團旗下專責IT和軟體服務的公司,凌群電腦代理該公司在日本端點安全加密市場中市佔率最高的HIBUN(秘文)加密軟體,凌群同時也協助進行HIBUN的中文化客製開發。
  • 趨勢科技,為全球知名的資安大廠,與凌群電腦在端點DLP安全防護及虛擬化防護有密切的合作。

網站及資料庫安全-

 網站安全:企業網路安全大門
 資料庫安全:個資防護最後一道防線

  • SafeNet,為全球知名企業金鑰安全管理廠商。當企業將重要而敏感的個資存在資料庫、網路儲存伺服器(Network Attached Storage;NAS)、甚至在儲存設備(Storage)上時,這些安全防護都將變得極重要,因此凌群結合SafeNet作為戰略合作夥伴,透過針對儲存資料的加密,讓企業資料庫安全高枕無憂。
  • Imperva,為全球網站與資料庫稽核、監控及安全的領導品牌,因應新型態網路威脅已逐步朝向網站攻擊以及針對資料庫的資料竊取,凌群與Imperva合作透過功能強大的網站應用程式防火牆與資料庫稽核系統,提供企業網站安全的平台機制。

IT LOG (資料軌跡)/SIEM(資安事件管理)平台-個資舉證平台

  • HP,為全球知名科技大廠,近年來不斷增加其產品線廣度,在新產品ArcSight加入後,更強化其於IT LOG (資料軌跡)稽核的服務,同時可整合HP其他資安產品線,如Fortify安全漏洞檢測,是凌群電腦在各項大型政府標案的重要合作夥伴。
  • RSA,為EMC公司資訊安全產品線重要的一環,凌群電腦在IT LOG(資料軌跡)收集及記錄產品與RSA EnVision等SIEM(Security Information & Event Management)專案上有著密切的合作關係,同時也是凌群電腦於因應新版個資法當中,提供資料保存記錄和資料舉證稽核的一項重要解決方案。

資料銷毀-個資生命週期最後階段

  • Orient,為日本市佔率第一的消磁機廠商,也是凌群電腦根據資料生命週期中『資料銷毀』解決方案的合作廠商,透過此一產品及搭配稽核報表,可確保客戶對於報廢硬碟及磁帶資料不致有任何資料外洩之虞。

新版個資法施行之後,各企業繼之而來將面臨『行政機關檢查』及『個資事故發生所引起的訴訟(個資外洩及個資誤用)』兩大挑戰。凌群『個資整合解決方案』已為客戶的個資安全佈下天羅地網,建構滴水不漏的資訊安全防護網,以近40年的豐富系統整合專業經驗與Know-How,將提供客戶最完整到位的技術與服務,讓客戶面對資安問題高枕無憂。

凌群個資安全整合解決方案產品聯絡人:(02)2191-6066分機8873林先生
凌群電腦新聞聯絡人:(02)2191-6066分機8044楊芝育

《參考資料》

什麼是BS 10012:2009

BS 10012:2009個人資料管理系統(Personal Information Management System;PIMS)是BSI英國標準協會於2009年6月正式發佈,此標準是參考國際組織OECD(經濟合作與發展組織)對於個人隱私權保護的八大原則*在內,針對個人資料保護提出的「個人資料保護標準」,此標準具體說明對個人資訊管理系統的各項要求,並依據完整的P(計畫)、D(執行)、C(查核)、A(矯正)循環流程,建立出完善的個資保護框架。

*OECD八大原則內容包括:

  1. 限制蒐集原則(Collection Limitation):經本人同意,以合法、公正手段於適當場所蒐集。
  2. 資料內容原則(Data Quality):符合資料使用之目的,並確保資料之正確性、完整性和時效性。
  3. 目的明確化原則(Purpose Specification):進行蒐集的目的必須在蒐集的當時就闡述明確,爾後使用也必須受限於當初所訂目的,不得他用。
  4. 限制使用原則(Use Limitation):若非經資料本人之同意或經法令規定許可,個人資料不得揭露、販售或用於明訂於第三條明確目的以外的用途。
  5. 安全保護原則(Security Safeguards):資料必須採取合理安全保護措施,以免資料遭遺失、盜用、毀損、竄改或揭露的風險。
  6. 公開原則(Openness):對個人資料之開發、運用、政策等必須採取一般的公開政策。
  7. 個人參與原則(Individual Participation):
    個人有權利:
    a.向資料管理人確認是否保有自己資料,保有哪些相關資料;
    b.資料管理人在合理時間內、以合理價格、可接受的態度及可理解的形式,向本人聯絡溝通協調其資料之保有與使用;
    c.如果本人提出以上兩樣請求被資料管理人拒絕,儘可要求合理解釋,並有權質詢此拒絕;
    d.有權質詢個人相關資料之外,若質詢不滿意可以要求刪除、校正、修改資料直到完整無誤為止。
  8. 責任義務原則(Accountability):資料管理者必須確保落實公司政策與執行措施以遵守上述各項原則。

資料來源:ODEC公開文件