Page 89 - 標檢局雙月刊195期
P. 89
廣 角 鏡 整合性資訊安全管理系統實作初探之一: 根基於ISO/IEC 27001 與個人資料 管理系統的全景 樊國楨/國立交通大學資訊管理研究所兼任副教授 蔡昀臻/國立交通大學管理科學研究所研究生 摘要 我國在2012年10月1日施行之「個人資料保護法施行細則」第17條,明文規 定:「本法(個人資料保護法)第九條第二項第四款、第十六條但書第五款、第十九 條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方 式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他無從辨 識該特定個人」,其實作攸關於兼及「個人資料保護」與「開放資料」之方開啟 的 <去識別化技術 (de-identification techniques)>國際標準之新工作項目建議書 (NWIP(New Work Item Proposal):2015 – 05,Information technology – Security techniques – Privacy enhancing data de-identification techniques),亦即通稱「去識 別化(De-identification)」之技術控制措施實作的標準。 依據行政院104年5月27日「研議大數據潮流個人資料去識別化機制分工事 宜」會議結論,2015年7月14日,經濟部標準檢驗局提出以「ISO 29191要求事項 (亦需符合ISO29100) 其他標準或項目」之驗證標準與 「驗證制度及規範建議 與國際資安(如ISO 27001)或個資驗證制度一致,以因應未來整合趨勢」的「個人 資料去識別化之運作機制」建議規劃方案。標準可以累積知識與經驗,標準化則 是冀求以系統的、共同的、協調一致的方法來強化標準實作之知識以供傳承。國 際認證論壇(International Accreditation Forum,IAF)自2013年3月25日起,已發行 整合性管理系統(Integrated Management Systems,IMS)之第三方稽核的強制性文 件;預訂 在 2016 年 完成的包 含「個人 資料保護 」之「資 訊安全管 理系統 (Information Security Management Systems, ISMS」遵循 的標準 (The Use and ʕശ͏ɓ´ʞϋʞ˜ 195 ಂ 83
