跳到主要內容區塊

ntuccepaper2019

產業專欄

資安與個資法規的合規展現與相關國際標準發展
  • 卷期:v0048
  • 出版日期:2019-03-20
  • 分類:產業專欄

作者: 本文轉載「CIO IT經理人」雜誌 2019年3月號 NO.93 Page68-71


隨著新興科技如 IoT、Big data、AI、Blockchain 的蓬勃發展,國內外新興科技資安與個資相關法 規與國際標準也陸續的發展,如何有效管理 Cybersecurity 的風險與事故更是刻不容緩。

於2018年,國內外公告或實施了數個重要的資 安與個資法規(例舉如表1),也因此,如何進行合規 展現便是各組織的 Chief Security Officer(CSO) 、Data Protection Officer (DPO) 與 Chief Compliance Officer (CCO)於2019年的重要課題。

 

國內的資安與個資法規


資通安全管理法與相關子法於2018年6月與11 月相繼公告,也勾勒出了資通安全與個資保護的合 規展現相關要求,例舉說明如下: 
於資通安全責任等級分級辦法總說明中,可 見: 

 

• 「初次受核定或等級變更後之二年內,全部核 心資通系統導入CNS 27001資訊安全管理系統國 家標準、其他具有同等或以上效果之系統或標 準,或其他公務機關自行發展並經主管機關認可 之標準,於三年內完成公正第三方驗證,並持續 維持其驗證有效性。」,此要求說明了國家標準 CNS 27001驗證的重要性,也建議原只進行ISO 27001驗證的組織加驗CNS 27001,另可窺知可 其它涵蓋CNS 27001驗證的國家標準如 ISO/CNS 27018與ISO/CNS 29151(制定中)等PIMS國家標 準驗證可展現為「以上效果之系統或標準」, 而其它外國標準如美國ANSI、英國BS、加拿大 CAN、德國DIN等,除非經主管機關認可外,均 不被接受。 

 

• 「『公正第三方驗證』所稱第三方,指通過我國 標準法主管機關委託機構認證之機構。」,此要 求說明了唯有經全國認證基金會(TAF)認證的驗 證機構進行的第三方驗證方可被接受。 

 

• 第四條第四款中「業務涉及全國性民眾或公務員 個人資料檔案之持有」及對應說明「第四款所稱 全國性民眾或公務員個人資料檔案,指含括全國 地域範圍內之絕大部分民眾或公務員之個人資料 檔案」,已將個資列入分級的條件,也可窺知若 核心資通系統中涉及個資,亦在資通安全管理法 與相關子法的規範範圍之內。 於資通安全管理法施行細則總說明中,可見 「為確保受託者辦理受託業務之程序及環境具安全性,並得妥善執行受託業務,爰為第一款及第二款 規定。第一款所稱第三方,係指通過我國標準法主 管機關委託機構認證之機構,其驗證標準可為國 際、國家或團體標準。」,此要求說明了唯有國際 (ISO),國家(CNS)或團體標準(如IEC,IEEE或ITU)可 被接受,其它外國標準(如美國ANSI,英國BS,加拿 大CAN,德國DIN等)並非國際標準(ISO)而將不被接 受。 

 

資通安全管理法與相關子法公告後,也宣告國 內一直以來被某些外國標準或驗證機構或前述機構 的合作顧問機構主張其所推廣的某些外國標準可做 為國內資安或個資的合規展現的亂象的終止,相對 的,標準法主管機關對於資安與個資國家標準的制 定與推動與TAF對於資安與個資驗證機構的認證方案 的制定與推動就必須跟得上法規的腳步與市場的需 求。各組織(包含提供資通安全管理法適用機構委外 辦理資通系統之建置、維運或資通服務之提供商)在 建立、維運與最佳化其ISMS/PIMS時也必須將資通安 全管理法與相關子法的要求納入管理系統以有效的 展現合規。

 

國外的資安與個資法規


歐盟的GDPR自2018年5月實施前就一直被關注 著相關的發展,然而另一個與GDPR有個相同主管機 構European  Data Protection  Board(EDPB)與相同高罰 則的ePrivacy法規(Regulation)也不容忽視。GDPR與 ePrivacy的主要異同點可見於表2。

 

因ePrivacy影響層面涉及國內廠商擅長之網通服 務、網通設備、Smartphone/APP與IoT相關應用等領域或產業,宜及時準備對應的合規措施。於2019年 1月,法國的個資主管機構(DPA) CNIL對Google因違反GDPR開罰歐元5,000萬的案例,也再次提醒了全 球各GDPR適用單位對於法規遵循整備的迫切性, 國內GDPR主政機構除積極與歐盟進行第三國適足 性(Adequacy)協商外,也應儘速的整合GDPR相關資 源,有效的協助企業面對GDPR的合規展現作為。

 

值的借鏡的是,依據2019年1月23日 European Commission的公告文件”COMMISSION IMPLEMENTING DECISION “ [pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection  of personal  data by Japan under the Act on the Protection of Personal Information],日本的適足性(Adequacy)已被有條件 的同意,日本申請適足性認定由2017年1月開始討論 到2018年9月初步被接受,歷經GDPR的主管機構由 Article 29 Working Party轉換為EDPB的組織性變動, 歷時21個月。

 

國際(ISO)的PIMS驗 證標準已經出現


國際間各國共同努力 於ISO組織中推動的PIMS 驗證標準ISO/IEC 27552 已經於2018年年底公告 其準國際標準(DIS),於 公 告 的 準 國 際 標 準 中 可 見ISO/IEC 27552整合了 資 訊 安 全 管 理 系 統 與 個 資 管 理 系 統 的 要 求 於 一 個 標 準 中 , 也 代 表 通 過 ISO/IEC 27552驗證可展 現 同 時 符 合 資 訊 安 全 管 理系統(ISMS)驗證(ISO/ CNS27001)與個資管理系 統(PIMS)驗證的要求,可 作為符合國內資通安全管 理法與相關子法精神(同 時涵蓋資安與個資面象) 最佳的合規展現。

 

全文轉載內容(PDF)