歐盟個資新法將上路 資誠:企業應上緊發條
(中央社記者邱柏勝台北12日電)歐盟5月將實施個資保護法(GDPR),但根據資誠(PwC)調查,僅32%受訪企業有進行相關評估,53%受訪企業有要求員工完成隱私政策和實務面的訓練課程,顯然並未盡全力保護隱私。
歐盟自今年5月25日起實施個資保護法(General Data Protection Regulation, GDPR)。原則上任何持有或控制、以及任何實際處理歐盟個人資料的個人或法人,均會受到GDPR規範。為了解全球企業在個資保護方面的推動情況,資誠聯合會計師事務所進行「2018全球資訊安全調查報告」,並於今天公布調查結果。
調查指出,某些受訪企業表示已在2017年上半年為GDPR做了一些準備。其中32%受訪者表示已開始進行GDPR評估,尤其是亞洲(37%)比其他地方高一些。
調查也指出,48%的受訪企業認為進階認證技術(advanced authentication)有助於減少經濟犯罪行為,且有46%受訪者計劃在今年增加進階認證技術的投資,但只有31%的企業董事會會直接參與目前安全和隱私風險的審查。
資誠風險及控制服務部主持會計師許林舜表示,越來越多企業以更創新的方式來運用數據,一方面創造更多機會,但同時也可能衍生更多風險,很少有公司把網路和隱私風險管理納入其數位轉型的策略規劃中,因此企業需要發展一個運用數據的治理框架,以了解最常見的風險。
資誠智能風險管理諮詢有限公司執行董事張晉瑞表示,使用進階認證技術可提高客戶和業務合作夥伴對組織資安和隱私能力的信心,進階認證技術包括生物識別技術、硬體和軟體代碼、加密金鑰和多重因子認證等。
張晉瑞指出,不管是大企業還是小企業,各種規模的組織都應該加強公司董事會對網路和隱私風險管理的監督。如果董事會沒有充分理解各項風險,就無法履行他們對數據保護和隱私問題的監督責任。
許林舜建議,企業應辨識營運流程中可能發生資安風險的環節,進而在事故一定會發生的基礎上,規劃預防性控制措施並宣導落實,其次,透過定期或不定期的稽核、管理階層審查,確保內外部威脅發生能快速偵測並保全證據,才能確保企業的核心競爭力,並建立社會各界對企業的信任。(編輯:趙蔚蘭)1070312
本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。