萬弘資訊顧問周世洪

資安個資委外廠商稽核監督服務

許多組織為了結省人力與開發成本,透過委外方式達成專案目標,或是進行資訊系統/資料的維護交給外包廠商處理已是稀鬆平常之事,但過程中注意事項與細節卻是委託者須特別注意,一般簽約廠商僅會遵循合約內容中有要求與規範之項目,若組織於資訊安全或是個人資料保護的安全上有所規範,應確實將內容加至合約中,並適時地進行監督與查核。但實務上的操作,會有兩種狀況發生:

1、業務承辦單位人員並無相關專業背景,不知對廠商該如何進行監督。
2、業務承辦人有相關專業能力,但礙於業務繁忙,無法撥出時間進行監督。

或許大多數對資訊安全並沒有太深的概念,但若以「國內個人資料保護法」內的委外條文來檢視的話,其實隱含著重要的委外監督概念,相關條文如下:



個資法第4條說明如下:
受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用
範圍內,視同委託機關。
個資法實行細則第8條說明下:
委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督
前項監督至少應包含下列事項:
 一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

 二、受託者就第十二條第二項採取之措施。

 三、有複委託者,其約定之受託者。

 四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。

 五、委託機關如對受託者有保留指示者,其保留指示之事項。

 六、委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。   

第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。   受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。


萬弘資訊資安個資廠商專業稽核服務如下:

您的需求如下:

1、如果您無相關專業背景,但又希望能依法依合約定期委外廠商稽核,您就需要我。

2、如果您有專業背景,但您業務繁忙沒時間到場進行委外廠商監督查核,您就需要我,。

3、依據委外合約內容提及的資訊安全要求,個人資料保護法要求事項由具國際相關標準稽核員進行查核,您就需要我。

4、若您進行滲透測試/或是弱點掃描後,須要定期進行技術面的稽核,您就需要我。

5、提供客觀公正的稽核報告,您就需要我。