資安合規方案
號稱有史以來舉世最嚴格的資料保護令—歐盟一般資料保護規定(General Data Protection Regulation;GDPR),預定在2018年5月25日施行,距今已迫在眉睫;深究此法最讓企業畏懼之處,在於罰鍰相當重,最高可處以2,000萬歐元、或年度全球總營業額的4%金額,且取兩者當中較高值,足見違規的代價十分慘重。
儘管對GDPR有所顧忌,但不少台灣企業仍存疑惑,甚至認定此事與自身未必相關。對此一向專注發展企業基礎架構軟體解決方案的Micro Focus,其資深技術顧問李柏厚分析,企業究竟是否適用GDPR,可從境內、境外不同角度檢視,所謂境內,意謂企業在歐洲地區設有營運據點,涉及當地顧客資料的蒐集運用,勢必受到GDPR規範。 至於境外,意指雖未在歐洲地區設點,但基於業務拓展,因而與當地經銷商建立合作關係者,一樣受到GDPR制約。舉例來說,論及GDPR法遵的入門條件,首先需在內部成立個資管理的權責單位,因應個資料的蒐集、處理、使用、傳輸及銷毀等生命週期環節,制定相關作業流程與表單,其次則更重要,任何蒐集到資料欲挪作他用,都必須取得當事人同意,假設某公司A產品部門擬將銷售商資料提供予B產品部門,即視同為用途變更,若未事先獲取經銷商首肯,便等於違反GDPR。
Novell業務總監黃成弘補充,導入GDPR猶如早先導入個資法,企業皆需盡力防止個資遭到竊取、竄改或銷毀,為達此目標,都會設立必要的管理制度、人員組織與作業流程,此外亦須部署對應的技術工具,藉融合人(People)、流程(Process)與產品(Product)等3P元素,確保箇中所有環節彼此緊扣,避免出現讓內外賊趁虛而入的破口。