李競(Timothy Lee)│ BSI台灣BS 10012 個人資料保護、ISO 27701 隱私資訊管理、ISO 29100 資訊安全技術-隱私框架標準、TISAX 汽車產業資訊安全、ISO 21434車輛道路-網路安全管理副產品經理
責任編輯 徐瑋琳 採訪整理 鄭詠中
BSI稽核員李競(Timothy Lee),同時擔任BSI個資系列標準──BS 10012 個人資料保護、ISO 27701 隱私資訊管理、ISO 29100 資訊安全技術─隱私框架標準、TISAX 汽車產業資訊安全、ISO 21434 車輛道路─網路安全管理──的副產品經理(Co-PM)。Timothy從數據撥接到網際網路時代,躬逢資訊產業飛速發展的時期,從工程師到企業管理顧問,從輔導機關、企業到加入BSI成為稽核專業。Timothy從產、官、學三方經驗,深知法規脈絡的重要性,從個資(隱私)保護、新興科技、車載元件的資安等不同知識領域,以風險管理與控制為核心基礎,推廣業界的最佳實務做法。本次BSI電子報邀請Timothy與大家說明,後疫情時代,如何擅用國際標準,從個資管理基礎,到新興科技業務推展應用,做前瞻務實的彙整剖析。
個資的定義及如何做到個資保護
進入後疫情時代,個資洩漏事件從頻繁到氾濫,小到販賣名單,大到詐騙案件造成的金額損害。那麼究竟何謂個資?Timothy回到《個人資料保護法》,說明法條中有列舉出19個樣態(包含姓名、身份證),以及第二條第一項最後的描述:「… 及其他得以直接或間接方式識別該個人之資料」,所以個人資料定義的關鍵在於能否識別到個人。而要做好個資保護則需要一個好的管理方法,以個人資料保護的原則,有系統的、避免人格權受侵害、適當、相關且不過度去使用個人資料,並協助組織在有依據的管理制度下,可有規模有系統地從事業務活動同時顧及法令規範。
個資與隱私標準BS 10012、ISO 27701、ISO 29100的產業適用性與差異
BS 10012 個人資料保護管理標準系統,是目前個人資料管理系統中發展最早也最完整的。BS 10012重視的是個人資料取得的合理性、適切性與正當性,以最小範圍為原則蒐集、處理、利用—定義原則完整且為業界使用行之有年,無論導入、實作或驗證,BS 10012都提供了相當具體的服務需求,即使新的隱私相關管理系統問世,BS 10012在個人資料保護的管理需求上,仍有其繼續存在的價值。
ISO 27701 隱私資訊管理系統,結合ISO 27001資訊安全管理系統,將個人資料視為高敏感度資料,規劃、實施相關保護與運作。從管理來說,需要識別出涉及個人資料業務活動的「控制者」[1]與「處理者」[2],兩個角色的不同,有不同的責任與義務。就技術來說,資訊系統或資訊技術的安全控制來實現個人資料生命週期的安全性。利用識別兩個角色的責任並持續落實,加上ISO 27701結合ISO 27001資訊安全相關控制措施,能更好的保護個人資料。
ISO 29100 資訊安全技術─隱私框架標準 ,此為提供隱私保護做法的參考框架,在面對大量個資(像是戶政系統、全國性民眾資料或健保資料等)運用時,需要一個可行的管理框架,相關單位可參照ISO 29100或ISO 29191等關於隱私遮蔽的做法。ISO 29100可協助組織建立隱私管理的框架,例如:需要訂定明確的隱私政策,以及釐清業務活動中「控制者」、「處理者」與第三方或「個資當事人」[3]角色存在。
無論是BS 10012、 ISO 27701 還是 ISO 29100,在各行各業都可做為參考標準。一個完整的個人資料管理制度,在管理面上,能符合個資個人資料蒐集、處理及利用的合理性、適切性、必要性;在技術面上,結合資訊系統的安全管控與資訊技術協助,才能把個資保護做好—特別建議可使用BS 10012、或是ISO 27001加上ISO 27701隱私管理,在制度面與執行面,達成組織對保護個人資料的期望。
[1] ISO 27701中「控制者」:對蒐集資料處理的需求,和業務方向,有完整的管理權限:在什麼樣的需求下才要要求蒐集個資,由控制者做決定,相關後續法律的保護與責任也由控制者角色作定義。
[2] ISO 27701中「處理者」:依據「控制者」或合約要求,做相關個資處理或利用。
[3] 此處「個資當事人」角色,從宜考慮、可釐清、可引用角度提出。
汽車業的資訊安全和網路安全──TISAX與ISO 21434
Timothy表示,面對新的產業趨勢或法令法規要求,業界自然會尋求解套方式。以TISAX汽車產業資訊安全為例,TISAX為歐洲汽車產業平台,提供可信賴的資訊交換機制,增加車廠在選商時,供應商資訊取得的便利性及可靠度,同時也讓供應商展現自身產品及商譽。藉由三種等級的評價標準,讓供應商受評的結果,有共同的準則去解讀跟評估,同時也減少供應商與廠商,每年重複性查核的成本。隨著越來越多車廠成為TISAX會員,想爭取成為這些會員車廠的供應商,TISAX標準,也就越來越重要了。
ISO 21434 車輛道路網路安全管理,這個最佳實務強調的是Cyber Security網路安全。以自駕車(智慧車)目前的發展為例,要實現車輛完全自動駕駛,必須由汽車來代替駕駛人注意周邊路況,也就要有足夠的設備來收集車輛行駛周邊的資訊,再將資訊傳輸到雲端上做運算或在車載元件上運算,最後轉換成車子的機械駕駛。而在這一連串收集資訊、判斷、介入駕駛,變成機械動作等流程中的每一個資料交換點,都有產生風險的可能性。而不論是資料錯誤、中斷或外洩,都直接影響道路車輛駕駛的安全,依此需求,網路安全成為汽車工業新焦點。
ISO 21434從輸入、處理、輸出的流程概念,去看實務上如何做好車載元件的網路安全,提供業界容易理解的方式,以流程角度呈現管理整體生命週期的文件架構[4],同時也可與企業既有的管理標準互相共融,例如:ISO 9001品質管理、ISO 26262道路車輛安全。用實務上的步驟流程結合到大家使用過的ISO系統管理方法,才不會有所遺漏,需整體性考量,風險才能做完整控制與管理。
[4] ISO 21434第4章以前同所有的ISO管理系統,要求要有政策、方向、管理組織,並確認是否正確。從第5到第8章,講述重點在組織層面的網路安全政策,建立、維護並實施整體的資安規則和流程;在第9-14章中,ISO 21434標準側重車輛的總體(V-model)開發過程和產品生命週期,分別在概念、開發、驗證、生產、營運與維護及退役等階段提出相關要求,依照其規定能產出該階段的工作文件,以確保其驗證有效。第15章針對道路車輛網路安全的各種狀況,如何評鑑其風險。
產業現場提問 標準稽核協助
也請教Timothy在稽核現場,業界最常有的提問。Timothy舉個資相關標準稽核為例,個人資料留在組織手上多久,才符合適切、最小化原則呢?這是常被問到的問題,按照標準來說,就是要考量法令、法規、關注方的需求;如果找不到明確的規定,像是客戶來申辦服務,依照公司內部程序取得的客戶資料,可能會考量到幾種態樣:成為潛在客戶、成為永久客戶,或是過段時間,終止業務往來,以及不是業務往來關係時,主管機關查核業務活動、調閱歷史資料等。這些需求,都會是影響保留時間的因素,要從各產業的特性去評估跟準備。
採訪尾聲,Timothy表示:「BSI教會我稽核工作的價值,不只在查核管理系統的遵循跟有效,還能從協助的角度,提供稽核與受稽核雙方都能互相合作的機會,展現稽核工作的價值與高度。」Timothy歡迎大家來上BSI的標準訓練課程,BSI秉持嚴謹讓標準稽核得以落實真正的協助。
