莊盛祺 中華民國電腦稽核協會專業發展委員會主委摘譯
一、 COBIT 5 for Risk: Making Sense of IT Risk Management
中東一家中小企銀挑選四大會計師事務所其中之一的專業顧問團隊,來協助他們啟動資訊科技風險管理作業,以達到成本效益的方式,來對銀行提供最有價值的服務,在銀行面對市場不斷地增加與改變的資訊風險環境,而他們又必須深度依賴資訊作業台平對客戶的服務同時,董事會的風險管理委員會高度要求管理當局必須落實「資訊風險管理」,而COBIT 5 提供導入資訊風險管理作業最佳解決方案……..。
二、 COBIT 5 and the GDPR
離「歐盟資料保護規範」生效日還有一年左右的時間,這個時候對每個歐盟會員國是推動相關配套措施來符合這項要求的時候,大部份國家的主管單位都已經發佈配合實施的準則與要點,當對應到資訊科技作業時,最簡便的作法就是直接套用大家所熟知的企業資訊治理(GEIT)的框架,沒錯,這個架構就是COBIT 5,詳細請直接參考內文….。
****************************************************************************************************************************************************************************
以下補充說明資料來自國家實驗研究院科技產業資訊室: http://iknow.stpi.narl.org.tw/post/Read.aspx?PostID=11949
歐洲聯盟執行委員會(European Commission,以下簡稱執委會)於2015年12日15日宣布各成員國已就「歐盟資料保護規範」(General Data Protection Regulation,以下簡稱 GDPR)之最終細節達成共識。此項規範,為歐盟自2012年1月起推行資訊保護改革以來之累積成果。目前,GDPR之最終細節,仍有待歐洲議會及28個成員國政府之最終批准,同時執委會仍需與成員國進行商議,以發佈GDPR實施之相關指南。新法預計於兩年後實施。
GDPR之條文內容,預計將於2016年年初獲得確定,且將於2018年正式生效,並取代目前之歐盟資料保護法(European Data Protection Law)。儘管目前GDPR尚無具體條文內容,然而依據歐盟執委會網站相關介紹,仍可歸納出GDPR之特色及改革要點如下:
一、作為歐盟單一資料保護法令:現有之歐盟資料保護法,本質上為歐盟對於成員國資料保護法令之框架指南。歐盟僅就成員國相關立法提供原則性指導之做法,致使各成員國之資料保護法規定未能統一,並帶給商貿等經濟活動上諸多不便。GDPR不再是一框架性指南,而將成為由所有歐盟成員國實施之單一法令。鑒於GDPR將規範全歐盟成員國國內之任何類型資料處理活動,歐盟亦將成立「歐洲資料保護委員會」(European Data Protection Board)以及相關協調機制,以確保所有成員國主管機關實施及引用GDPR上之一致性。
二、適用對象將涵蓋外國公司企業:現今之歐盟資料保護法,僅適用於在歐盟境內從事資料處理活動之境外公司企業個體。未來,GDPR適用對象,將涵蓋未以歐盟成員國為營業據點,然提供產品或服務給歐盟成員國居民、或於歐盟境內從事系統性監控等涉及敏感個人資料蒐集活動之境外公司企業。
三、賦予「個資」(personal data)一較廣義詮釋:GDPR將「個資」擴大解釋為涵蓋可直接或間接過濾出特定對象資訊之資料類型,例如網路瀏覽器Cookies、網路IP位址或足以辨識特定個人身分或性別之基因、生物特徵或醫療資料等。
四、進行個資處理等活動前,必須獲得個資當事人明確同意(unambiguous consent):GDPR要求敏感個資之取得及處理,須事先獲得個資當事人明確同意。前述之「明確同意」,必須為「清楚明白之確認動作」(clear affirmative action),例如當事人簽署或勾選同意書等。當事人保持沉默、未表示意見或無作為情形,皆不構成前述「同意」。未滿16歲(各成員國可選擇下修至未滿13歲)兒童或青少年個資之取得及處理,須事先獲得父母或監護人同意。
五、隱私保護要求及客製化資料保護措施:GDPR要求公司企業在取得、使用或處理敏感資料上,必須確保前述資料受到保護及個人隱私不受侵犯。大規模且系統性地散佈或處理敏感資料或對於公共區域進行有系統性監控等,此些活動,在存在侵害個人權利及自由之風險下,當事人必須事前進行資料保護影響評估(Data Protection Impact Assessments)。GDPR並允許當事人可依據實際風險需要來制定相應之資料保護措施,而無需滿足特定標準要求。
六、個資當事人之權利:GDPR正式賦予個資當事人被遺忘權(Right to be forgotten,當事人可要求移除負面或過時之個資)、資料可攜帶權(Right to data portability,強化當事人控制及傳輸個資之權利)及拒絕散佈個資權(Right to object to profiling)。
七、跨國資料傳輸規定:GDPR要求歐盟執委會就第三方國家之資料保護實施情形進行觀察。具備適當資料保護規範及機制之國家,將列入歐盟執委會白名單,並為GDPR允許從事跨國資料傳輸活動之對象國家。前述第三方國家政府或法院若發佈要求提供敏感資料之裁決或行政決定,則僅於該國和歐盟簽署司法互助協定等國際協議之前提下方可執行。
八、知會當事人有關資料取得及使用活動之義務:GDPR針對從事資料處理活動之當事人進行諸多義務性規範,其中包含當事人須保存相關資料紀錄、須就可能侵犯個人權利或自由之個資取得及使用之情形,於發現前述情形起72小時之內,知會其所屬企業公司個體、行政主管機關及個資當事人,以及必須遵守資料傳輸相關規定。
九、設立資料保護官(data protection officer):歐盟成員國政府行政機關(不包含法院等司法機關)若從事定期且系統性監控活動、或使用及處理大量敏感個資等,則前述機關及從前述活動之受委託方,須設立一資料保護官。
十、違反資料保護規定罰則:GDPR對於違反資料保護規定者,依據情節,可由歐盟或成員國資料保護主責機關,處以其所屬企業公司年營業額2%至4%之行政罰鍰。
對於在歐盟境內從事商貿活動之外國公司企業而言,GDPR顯然將帶來顯著影響。GDPR將顯著改變現今歐盟各成員國之資料保護法令,且適用範圍對象將涵蓋非歐盟國家之企業公司個體。致使歐盟28成員國資料保護規定獲得統一,此舉雖可減少歐盟境外公司企業在遵守各成員國資料保護規定上之不便情形,然其用意在於顯著強化個資當事人權益之嚴格規定及罰則,或可能對外國公司企業在確保個資安全性及隱私方面需付出較多資源,並構成較多負擔。是故,於歐洲地區國家從事經貿活動之台灣企業廠商,對於GDPR之後續發展及條文公佈等應適當關注及做好必要準備。(1900字)
******************************************************************************************************************************************************************************
三、 Applying the Goals Cascade to the COBIT 5 Principle Meeting Stakeholder Needs
COBIT 5是治理和管理企業資訊科技與技術最知名的最佳實務典範與框架, 這個框架從流程,組織結構,政策,技能和人才,資訊和其他推動因素的角度涵蓋整個企業,從董事會到營運單位的經營管理專家, 在企業考慮實施COBIT 5之前,有必要了解框架中定義的原則,在COBIT 5實施過程中,5項原則作為指導,並提供應該做什麼的充分細節, 如果一個組織想要成功實踐COBIT 5,它必須首先學習和了解COBIT 5原則,相關內容與範例請參考內文…….。
David Chuang の觀網 兆益數位莊盛祺的部落格
