個資清查與評鑑工具：勤業眾信RiskCare

在勤業眾信RiskCare這套系統平臺上要建立個資清冊很容易，只要在系統平臺上匯入BIF資訊框架圖，系統便能自動分析，並轉換成資料表形式的個人資料檔案清冊，後續異動處理也很容易。

面對個資法遵循的需求，對個資使用的清查與評鑑是許多企業會遇到的問題。個資清查只是第一步，但接下來要該怎麼做，很多公司的作法莫衷一是。

我們在網路上搜尋個資相關工具時，意外發現以金融風險管理顧問服務知名的勤業眾信，也親自下海做產品，開發個資清查相關的系統工具。這款去年推出的企業風險管理平臺RiskCare，當中即包含個資清冊、資訊資產清冊與風險評鑑模組，可對應個資管理的應用。

如果企業要分析個資流向、製作個資清冊，過去可能需要自行土法煉鋼來完成，而現在勤業眾信提供一套集中管理化的系統可便於個資清查的應用。

從個資檔案生命週期面向管理
這個系統平臺是勤業眾信針對臺灣市場研發，最大特色是發展出個人資料管理制度建置的方法，以個資檔案生命週期的管理方式，從業務流程掌控個資流向、傳遞方式等，並為企業提供單一窗口管理方式掌控個資風險。

以個資清冊的應用而言，這套系統的使用方式結合了勤業眾信發展的企業資訊流概覽圖（Business Information Framework，BIF）方法論，具有自動建立清冊，以及風險評鑑的功能，藉以增進企業組織掌控個資風險的能力。操作上，這套系統提供網頁式的管理介面，並提供對應不同使用權限的管控機制，企業分別建立不同角色的使用者，例如系統管理員、清冊管理人員、清冊維護人員與一般使用者，便於企業管理時，可以依據不同權責賦予對應的系統權限。

企業在導入這套系統時，系統平臺主要建置在企業內部系統主機上，它的管理伺服器系統需求環境，包含Windows Server 2008作業系統、微軟SQL Server 2008資料庫，並安裝應用程式伺服器Apache Tomcat 7或IBM WebSphere 7。企業可以選擇顧問服務另外搭配選購導入，也可以僅購買系統建置及導入服務使用，它的計費方式是以同時上線使用者數量的級距為單位，以專案方式議價，價格並未公開。

可將個資流程圖，自動轉換為個人資料檔案清單
使用上，該系統的個資清查應用，是以業務流程面向掌握個資動向，涵蓋個人資料檔案蒐集、製作、傳輸、使用的生命週期。在個資清冊模組的管理介面上，可定義清冊、生命週期、部門與流程，以及設定資產群組、屬性欄位及生命週期欄位。

當企業新增業務流程時，首先，個資小組需通知流程相關部門，並與各單位訪談，透過微軟Visio流程圖工具，繪製完整業務流程與個資流向的BIF圖（VSD檔案格式），以清楚界定業務流程與個資流向，然後上傳至系統。

RiskCare也提供了一個迅速建立個資清冊的方式，在系統平臺上匯入圖像形式的BIF圖時，系統便能夠自動分析圖形，並轉換成Excel資料表形式的個人資料檔案清冊。過程中，像是將資料來源、接收來源、傳遞方式、傳輸種類等項目都能自動填入，相較於人工製作個資清冊、逐筆填寫，這種更自動化的方式，可加快建立清冊的速度，並減少人工回填錯誤的可能性。

若是未來業務變動，修改也很方便，只需修改原本的BIF圖，透過轉換便能使清冊結果與BIF圖一致，管理者並可透過比對功能，比較異動前後的差異。現場我們實際匯入一份BIF圖，只要不到10秒的時間即轉出為清冊，相當迅速。不過，自動轉換也有其限制，部分欄位仍須人力手動補充，像是資料的保存年限、刪除的方式與理由等。

對於管理者而言，建立格式化的個資清冊，可以方便地進行總覽、統計、分析的作業，資料匯出、匯入也很容易，便於後續的集中化管理，像是日後的維護、更新與查詢。

舉例來說，在清冊異動管理時，管理者可利用匯出入管理功能，將流程相關清冊匯出，即可從工作流程檢視個資使用狀況，或是將表單生命週期與部門關連資料匯出，以便檢視企業所有個人資料檔案名稱，從檔案面向掌握個資使用範圍與單位，查詢方式彈性。而且，從清冊異動的歷史資料中，可檢視異動歷史記錄。

《詳細內文請見iThome電腦報647期（www.ithome.com.tw），天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》

647期其他精采內容：
．封面故事：iThome 2014年CIO大調查（中）CIO看2014
．新聞：一周大事回顧
．新聞：IDC：Sony棄PC市場短期影響小
．新聞：首套SDN開源框架開放下載
．新聞：SAP軟體開始能部署Oracle12c資料庫
．新聞：惠普伺服器不再免費升級
．IT經理人開講：趨勢科技CIO三階段改造資訊部門 讓IT成為新興技術的試金石
．產品報導：個人端防毒軟體：G Data TotalProtection 2014