歐盟在今年5月起將實施個資保護法(GDPR),但資誠(12)日公布《2018年全球資訊安全調查報告》指出,僅32%受訪企業在去年有進行相關評估,且只有53%受訪者要求員工完成隱私政策和實務面的訓練課程。
歐盟從今年5月25日起實施個資保護法,原則上任何持有或控制以及任何實際處理歐盟個人資料的個人或法人,均受GDPR的效力所及。
但調查顯示,僅有32%受訪者已經開始進行GDPR評估,其中亞洲(37%)比其他地方高一些;此外,對於處理客戶和員工個人資料的第三方,只有不到一半(46%)的受訪者進行法規遵循的審查,以確保第三方有能力保護這些個資。
資誠會計師許林舜表示,愈來愈多企業以更創新的方式來運用數據,但同時也衍生更多風險,因很少有公司把網路和隱私風險管理納入其數位轉型策略規劃中,因此,企業需發展一個運用數據的治理框架,以了解最常見的風險。
許林舜認為,企業不應視GDPR和NIS指令為法規遵循的演練,而是一個策略機會,在以數據驅動的世界中,使其業務能取得成功的機會。此外,在法規施行前,企業也可和主管機關建立關係和溝通管道。
許林舜建議,企業應辨識營運流程中可能發生資安風險的環節,進而在事故一定會發生的基礎上,規畫預防性控制措施並宣導落實;
其次,透過定期或不定期的稽核、管理階層審查,確保內外部威脅發生能快速偵測並保全證據,才能確保企業的核心競爭力,並建立社會各界對企業的信任。