Page 100 - 標檢局雙月刊195期
P. 100
資訊安全控制 如 ISO/IEC 27002 之現有安全標準對安全控制措施提供詳盡之建 措施 議,為確保資料安全宜明確地實作。尤其宜實作下列安全控制措 施:(下列清單非窮盡列舉) 對未經授權人員宜禁止存取資料處理設施 未經授權人員不宜被允許存取電腦系統 授權人員宜僅可在其存取權限範圍內存取 PII PII 之實體與電子運送或傳輸宜合理與適切地保持安全以免未經 授權的存取 宜保有日誌以記錄 PII 的任何存取與修改,特別是敏感 PII 宜保持 PII 安全以免意外或未經授權的揭露、修改、喪失、移除 或破壞 不同目的規格之 PII 宜分開處理 宜有適當的隱私危害管理程序 (隱私)遵循 遵循如 ISO/IEC 27002:2005(E)之安全標準提供保護 PII 的安全控 制要求項目之遵循,是執行隱私政策的前提。 資料來源:Information Technology-Security Techniques-Privacy Architecture Framework (ISO/IEC 29101: 2013), by International Organization for Standardization, 2013, Genéve, Switerland: Author, pp. 45-46 研究「標準化」的人是需要有「同情」與「推理」兩種能力,所謂「同情」 是指「標準」的制定者要有對等之情,那樣體驗的「標準」自然是立體、多元 的;「同情」加上「推理」,則「標準」是活的,每一份「標準」的頒布是因或是 果,是趨勢或是成績,「標準」的產生絕非偶然而是無數之努力的形成。「標準 化」從長遠的角度來看,便可以體察出是有一股流勢,有無法阻擋的推移力量; 個資安全的「標準化」更需要整合自然科學及社會科學之脈絡來解讀以及推理, 才能融入文化與數位台灣渾然為一體,「去識別化」標準的實作,宜參照圖5、圖 6及圖7進行深入之分析以及探討,並制定適當的工作項目之行動方案。 四、結論 個資法針對個人資料安全維護之要求事項,並無具體執行控制措施的規定, 僅於其第18條要求公務機關應指定專人辦理安全維護事項,防止個人資料被竊 取、竄改、毀損、滅失或洩漏;而在非公務機關方面,則於第27條要求必須採行 94 Bureau of Standards, Metrology and Inspection
