新版個資法加重企業的個資安全管理義務，並於施行細則明訂資料安全管理、資料稽核及設備安全管理等作業要求，大大提升企業面對個資檔案的系統安全防護要求。企業面對個資檔案的安全強化作為，建議應先由個資資料如何運作來分析起，徹底瞭解公司的資料流運作與風險所在為何，才能規劃出真正有效降低個資風險的安全強化作為。

企業的個資資料流一般常見有幾種管理形式，包括『網路中控式個資管理』『個資檔案資料夾管理』『獨立式個資系統管理』等，介紹如下：

中控式個資系統，帳號與權限管理是重點工作 

『中控式個資系統』是服務業中最常見的個資處理方式，企業可能選擇ERP、CRM、客制化系統、人資系統等來統一處理個資及進行資料控管作業。其運作形式大部分是以一個中控式的系統來儲存個資，所有的業務人員均以該系統為資料管理中心，來進行個資檔案上傳、個資資料編修、個資檔案下載、個資資料查閱等，一般常見的控管方式包括『管理者分權（次管理者）機制』『用戶權限分權機制』『個資存取的稽核機制』等。

『管理者分權（次管理者）機制』的管理部分，個資系統要特別注意『帳號、權限管理表』的落實執行，包括次管理者的權限稽核，以及每次人員交接時均需由資訊部門協助調整帳號權限。部門主管的職務異動，一般由資訊單位處理權限設定，部門員工的職務異動應由部門主管處理權限設定，在部門主管的空缺時期，也應該有代理人來負責部門員工的權限管理。

『用戶權限分權機制』是指，部門內一般用戶的個資系統使用權限，建議應該由各部門主管來決定部門所屬員工的個資系統使用權。用戶權限因為實際的管理單位是各部門主管（非IT單位），其風險應該由部門主管評估，並決定是否派送員工相關權限，包括『新增』『查詢』『編輯』『儲存』『輸出』『傳送』等。權限的管理，在中控式個資系統是最重要的一個環節，建議應有完善的作業規範書與執行紀錄。

『個資存取的稽核機制』，除了評估MIS、各主管、承辦人員的權限是否適當外，應包括存取記錄由稽核人員定期查核，以及異常的個資存取事件調查。

個資資料夾管理，應結合『個資盤點表』並明確執行個資刪除作業 

『個資檔案資料夾管理』是一般企業人資、總務、財務及福委會面對個資檔案最常使用的管理方式。其運作非常簡單，大多就是使用微軟作業系統的資料夾來存放個資檔案，而形式一般以Excel,Word 等電子檔格式居多，如個人申請單、月報表、統計分析表、勞務報酬單等。使用資料夾來進行的個資管理作業，建議一定要註記在『個資盤點表』內，包含資料夾位置、個資種類、分享方式及存取人員等，均需明列於盤點表內，且被定期稽核管理情形。以個資法的法規要求而言，個資盤點與刪除作業均是必要作為，唯有定期落實個資資料刪除作業，才能有效降低個資的儲存與外洩風險。

資料夾的風險控制機制主要有兩個建議：存取控制與資料加密。存取控制為企業必做機制，資料加密則是比較進階的管理方式。存取控制的方式包括『系統帳號管理』、『資料夾分享管理』、『電腦周邊（USB）輸出管理』等，這些控制措施很容易利用系統內建功能來執行，對企業的投入成本不大且效益又高，建議管理單位一定要協助建置電腦的基本存取管理措施。資料加密的系統建置，是應用在處理較高風險的個資檔案，譬如每個承辦人處理個資量超過5000筆，且內容涵蓋如財務資料（存簿帳號、薪資）、個人履歷、健康檢查、個人隱私資訊（私人手機、私人地址）等，則強烈建議要導入資料加密工具，以有效降低企業的個資外洩風險。

獨立式個資系統，應控管個資檔案輸出的總量，並結合內部審核流程 

『獨立式個資系統管理』指的是企業依據其業務需求所開發的應用系統，其運作方式大多是Client/Server 架構，Client 端程式由一般業務承辦人使用，Server 系統則由資訊部門維護。獨立式個資系統的管理機制除了帳號與權限的有效控管外，檔案輸出的管理是風險控制的重點。此類系統的個資檔案輸出，務必要限制每個承辦人可輸出的個資總數，例如50筆，超過50筆必須結合審核流程由主管審核後才放行輸出。檔案的輸出保護也是一個風險控制點，檔案輸出後建議可以結合『檔案加密』的機制，以達完善保護個資的目的。

本文所介紹的個資資料流在每個企業內部的運作流程不盡相同，且所需控管的風險及既有防護機制也都有差異，但安全防護的觀念都是可以整合使用。管理單位於規劃系統防護作業時，可一併考量如何結合現有的作業方式，以對既有業務影響最小為原則來部署相關安全機制，較容易獲得使用者的認同。