在网络蓬勃的时代,除了个人应该知道如何自我保护,确保个人资料安全,企业不管大小都应该自我准备一套资料管理系统,以便确保本身包括顾客档案数据隐私受到妥善的保护。
网上的个资隐私保护,如今被各国广泛注意,其实广义的资料管理,也包括企业内部的大小讯息管理。
如此广大的管理范围,中小企业可以根据以下几项管理方法,为自己建立一套内部资料管理系统。
第一:定义需要规范的资料
定义需要被规范的资料的目的,是确保保护个资和机密信息免遭未经授权的使用和披露,有助于保护知识产权。
规范资料的第一步,就是分析资料对企业的影响水平,之后再归类,进一步规范如何管理这些讯息。以下作为规范资料的例子。
第二、规范后的资料,应该如何处理
当我们将资料类别规范好,就可以进而规划标准进行管理,如下:
*文件应该作何标记以示其类别,例如:内部文件,在文件的业角将标记“仅供内部使用”等。
*用户应该是否被授权存取讯息?
*谁有权力更改文件、文件的更改又是否需要经过批准?
*文件是否可以被复制?如果被复制是否需要报告或者登记,或仅能由签署保密协议的承包商和第三方制作?
*资料应该如何被传递出去?仅限亲手交付,或允许快递,或允许电子邮寄传递?电子文件是否应该加密?如果传真的话,是否需要对方确认传真号码才通传,以便传真到错误的号码,以致泄漏机密文件?
应由IT部门处理
*若要销毁讯息,应该如何处理?若为电子数据,又可以采取何种方法以致确保储存资料的硬盘驱动器已经损坏,不会有第三者捡到而可以被复原。
笔记本计算机等的报销,是应该由IT部门,以进行适当处理。
第三、规范资料泄漏呈报程序。
若有任何可疑,或危害资料安全的事件发生,或者发现违规者,可以根据作业程序进行报告,确保事件可以尽快得到处理,以减少因为内部资料泄漏而遭受损失。
https://www.enanyang.my/名家专栏/企业内部个资保安管理陈绣茗