Download presentation
Presentation is loading. Please wait.
1
All Rights Reserved by NII產業發展協進會
風險處理計畫教育訓練 講師:張芝蓁 All Rights Reserved by NII產業發展協進會
2
顧問協助產製-風險評鑑表 儘速提供最終版本之威脅弱點評估表。
3
計算風險值數量(1) 將「風險評鑑表」風險值複製至空白Excel表中。 利用篩選統計各風險值之數量。
20-80法則算出需改善之前20%數量。 累計值找出落在第8高的風險值。
4
計算風險值數量(2) 將「風險評鑑表」風險值複製至空白Excel表中。 利用篩選統計各風險值之數量。
20-80法則算出需改善之前20%數量。 累計值找出落在第15高的風險值。
5
計算風險值數量(3)
6
計算風險值數量(4) 風險評鑑表排序 排序方式:風險值、衝擊值 由大到小 找出落於第15筆資產
7
計算風險值數量(5) 找出落於第15筆資產,風險值落在15。 但風險值15超過11筆。 排序風險值15:
風險值15且衝擊值4共計0筆 風險值15且衝擊值3共計14筆 構面值142:0筆 構面值132:0筆 構面值122:14筆 構面值112:0筆 風險值15且衝擊值2共計0筆 由於條件相同,故全數採納,共計18筆資產納入風險改善範圍。
8
顧問協助產製-個人資料檔案風險評鑑彙整表
將可接受風險值告知顧問。 顧問協助產製「個人資料檔案風險評鑑彙整表」
9
顧問協助產製-風險改善計畫表 顧問協助產製「風險改善計畫表」
10
風險改善計畫表 資產識別暨風險說明 風險處理 措施 風險進度追蹤 項次 單位 科別 資產編號 流程名稱 個資檔案 型式 個資階段 威脅 弱點
風險值 風險處理型式 改善活動/控制措施 負責人 預定完成日期 實際完成日期 覆核人員 風險處理進度
11
風險改善計畫表 風險說明範例 個資外洩 違反個資法 違反BS10012標準規範 違反個資法及BS10012標準規範
12
風險改善計畫表 風險處理型式 接受風險 降低風險 轉移風險 避免風險 符合組織的政策與風險接受準則,則知悉且客觀地接受風險。
參考標準選擇適當之控制措施以降低風險。 藉由加強各項作業之內控以降低風險發生之機會。 轉移風險 轉移相關之營運風險至他者,例如:承保商、供應商。 避免風險 修改作業方式或採用技術以避開風險。 經由政策或標準以禁止從事高風險交易或活動。
13
風險改善計畫表 「改善活動/控制措施」範例: 不熟悉法令法規及內部規範、教育訓練不足:
落實定期辦理個資教育訓練及法令、法規宣導。 未保護儲存資料、未控管儲存媒體、儲存媒介內之資料沒有適當刪除就丟棄或重覆使用、儲存媒介之不當存取、 儲存媒介之不當存取: 落實儲存媒介管理機制 落實個人資料生命週期管理程序 落實個人資料安全控管作業
14
風險改善計畫表 「改善活動/控制措施」範例: 未訂定保存期限、資料未依使用期限進行銷毀或刪除、資料銷毀處理程序不當或不足、缺乏回收控管機制:
落實個人資料檔案保存期限,並辦理銷毀程序 落實個人資料生命週期管理程序 落實個人資料安全控管作業 未提供履行當事人權利機制、未於法定期限內准駁 依據履行當事人權利機制,落實於法定期限內准駁。
15
風險改善計畫表 「改善活動/控制措施」範例: 未經授權下處理資料、存取權限授與不當:
落實權責單位進行權限控管並定期審查 落實個人資料安全控管作業 個人資料被竊取、竄改、毀損、滅失或洩漏、.缺乏安全防護機制、惡意行為: 落實個資被竊取、洩漏、竄改於查明後告知之程序 落實安全防護、環境控制、網路存取規劃機制 落實個人資料生命週期管理程序 落實定期辦理資訊安全教育訓練及宣導
16
風險改善計畫表 「改善活動/控制措施」範例: 缺乏實體保護、缺乏環境控制: 設備損壞、操作錯誤 未主動或依當事人之請求更正或補充個人資料
落實安全防護、環境控制、網路存取規劃機制。 設備損壞、操作錯誤 落實因應設備損壞與有效維護之管理機制 落實個人資料安全控管作業 未主動或依當事人之請求更正或補充個人資料 落實資料更新補充機制 未告知個資法要求應告知事項 落實個資法要求應告知事項、逾越特定目的與範圍之告知程序。
17
風險改善計畫表 「改善活動/控制措施」範例: 未取得當事人同意: 未於法定期限內准駁、未提供履行當事人權利機制: 未保護儲存資料:
落實取得當事人同意機制 未於法定期限內准駁、未提供履行當事人權利機制: 履行當事人權利機制,並落實於法定期限內准駁。 未保護儲存資料: 落實個人資料安全防護、環境控制、網路存取規劃機制。 落實電腦與應用系統安全管控機制。
18
風險改善計畫表 「改善活動/控制措施」範例: 未訂定保存期限: 未提供當事人表示拒絕接受行銷之方式: 未經授權下處理資料:
依據個人資料檔案保存期限,落實辦理銷毀程序 落實個人資料生命週期管理程序 落實個人資料安全控管作業 未提供當事人表示拒絕接受行銷之方式: 落實拒絕接受行銷之機制 未經授權下處理資料: 權責單位進行權限控管並定期審查
19
風險改善計畫表 「改善活動/控制措施」範例: 委外利用資料、委外蒐集資料: 個人資料被竊取、竄改、毀損、滅失或洩漏:
落實委外廠商管理及監督機制。 落實委外蒐集作業管理程序。 個人資料被竊取、竄改、毀損、滅失或洩漏: 落實個資被竊取、洩漏、竄改於查明後告知之程序 落實安全防護、環境控制、網路存取規劃機制 落實定期辦理資訊安全教育訓練及宣導 個資被竊取、洩漏、竄改未於查明後告知
20
風險改善計畫表 「改善活動/控制措施」範例: 缺乏安全防護機制: 缺乏稽核監督機制: 惡意或不當行為(外部傳送) :
落實安全防護機制(如:資料傳輸加密、存取權限管控) 缺乏稽核監督機制: 落實稽核監督之管理機制 定期執行稽核查檢作業 惡意或不當行為(外部傳送) : 落實安全防護、環境控制、網路存取規劃機制。 落實個人資料傳輸管理程序。
21
風險改善計畫表 「改善活動/控制措施」範例: 缺乏安全防護機制: 傳輸過程未有適當之加密或保護(資料外洩) :
落實安全防護機制(如:資料傳輸加密、存取權限管控) 傳輸過程未有適當之加密或保護(資料外洩) : 落實個人資料傳輸管理程序。 落實電腦與應用系統安全管控機制。 傳輸過程未有適當之保護(錯誤資訊) : 權責單位進行權限控管並定期審查。
22
風險改善計畫表 「改善活動/控制措施」範例: 資料外洩: 蒐集特種資料: 蒐集資訊缺乏正當合理之關聯:
落實個資被竊取、洩漏、竄改於查明後告知之程序 落實安全防護、環境控制、網路存取規劃機制 落實定期辦理資訊安全教育訓練及宣導 蒐集特種資料: 落實特種個資蒐集機制(如:告知事項、取得當事人書面同意) 蒐集資訊缺乏正當合理之關聯: 落實定期審查蒐集資訊缺乏正當合理關聯之機制。
23
& Thank You !
Similar presentations