隨著計算性廣告(Computational Advertising, CA)數據來源的多樣化,有效管理並審視數據品質成為企業競爭力的重要基石。Malthouse 等(2024)提出的核心數據品質準則:「審計有效性」與「倫理合法性」,與 CNS 27001:2023 台灣中文版條文的資訊安全要求高度契合。本文將探討 ISO 27001:2022 主導稽核員如何從這些數據品質準則中汲取想法,幫助台灣中小企業提升資訊安全與管理能力。
根據 CNS 27001:2023 條文 9.1「監督、量測、分析及評估」的要求,組織應針對資訊安全過程及控制措施進行系統性的監控與量測,並確保結果的可比較性與可重製性,以支持有效的績效評估。Malthouse 等提出的「審計有效性」概念,強調數據必須能夠被獨立驗證並重現,這與條文 9.1 中強調的方法一致。主導稽核員應確保企業建立清晰且完整的文件化資訊,涵蓋監測範疇、方法與時程,以提升數據處理的透明性。例如,對於第三方提供的數據,稽核員可建議企業實施數據溯源機制,從來源到處理的每一個步驟都符合相關的法律與標準要求,確保資訊安全管理系統的整體有效性與透明度。
根據 CNS 27001:2023 條文 4.2「瞭解關注方之需要及期望」的規定,組織應識別與資訊安全管理系統相關的關注方及其要求事項,並決定哪些要求需要通過資訊安全管理系統來滿足。「倫理合法性」的核心在於確保數據的道德收集與合法使用,這一點與條文的要求高度一致。主導稽核員應推動企業實施最小權限原則,確保僅授權必要角色存取敏感數據,以降低數據濫用風險。此外,應鼓勵企業採用數據最小化策略,減少不必要數據的收集,避免因過度收集數據而引發的隱私與法律問題,特別是在計算性廣告中面對多樣數據來源的情境下。
根據 CNS 27001:2023 條文 8.1「運作之規劃及控制」,組織應透過規劃、實作及控制過程,確保符合資訊安全管理系統要求的行動得以有效執行。針對計算性廣告(CA)數據的多樣性挑戰,稽核員可建議企業建立清晰的數據處理準則,並依據這些準則實施控制措施。例如,針對來自多個來源的數據整合,應建立統一且一致的處理流程,並進行定期的數據品質檢核,以確保數據的一致性和可靠性,從而避免因數據不一致導致的錯誤決策。同時,企業應對非預期的數據變更進行審查並採取適當行動,以減輕潛在的負面影響,確保數據品質與資訊安全管理系統的整體效能。
ISO 27001 主導稽核員不僅是規範執行者,也可成為創新促進者,協助企業平衡數據安全與經濟效益。借由 Malthouse 等的研究洞察,稽核員可設計兼顧倫理與效率的數據管理策略,讓台灣中小企業在有限資源下達成永續目標。透過「審計有效性」與「倫理合法性」,ISO 27001 主導稽核員可協助台灣企業建立符合 CNS 27001:2023 的數據管理框架。這不僅能提升企業的資訊安全,也為企業永續發展奠定堅實基礎。