一、目的

資訊安全與個人資料保護稽核作業目的為：

(一)、確保本校資訊安全管理制度之推動，建立適當管理架構，有效分配資訊安全責任，落實資訊安全政策之推行、協調各項資訊安全措施之實施，確保資訊安全制度之防護水準。

(二)、因應個人資料保護法的施行，為遵守個人資料之蒐集、處理及利 用之生 命週期規範，以避免人格權受侵害，促進個人資料之合理使用。

二、依據

99學年度第2學期第1次內部控制專案小組會議紀錄辦理事項。

三、目標

　　利用內部控制資訊安全機制，有效運用資訊資源，採行適當安全管理控制措施下，每學期抽查10~15個單位執行稽核作業，維持並持續改善本校資訊安全，保護資訊資產的機密性、可用性與完整性；及落實個人資料保護規範，避免個資外洩，保障個人的隱私權。

四、稽核準則

　　稽核項目為個人電腦使用安全設定、資產(個資)盤點、軟體使用安全、單位伺服器、委外廠商管理、實體與環境安全、個人資料保護、通訊與作業、資訊安全事件、法規遵循性；稽核作業依據下列相關規定為基礎引申訂定之：

(一)、教育部「校園通用資安管理原則」。

(二)、教育部「教育機構個人資料保護工作事項暨檢核表」。

(三)、「教育體系資通安全管理規範」與個資相關重點。

(四)、教育部所屬機關及各級公私立學校資通安全工作事項。

五、稽核範圍

　　本校一、二級單位辦公室與實驗室(含電腦教室)

六、稽核進行方式

(一)、每學期辦理1~2次稽核說明教育訓練。

(二)、稽核小組擬定稽核計畫，陳請資安長核定。

(三)、每學期抽查10~15個單位，並以發生資安事件及擁有大量個資檔案之單位列為優先稽核。

(四)、受稽單位需針對稽核缺失擬定矯正預防處理計畫與執行改善措施。

(五)、每學期稽核報告簽陳資安長核閱。

七、稽核成員:

　　稽核小組：由資訊中心2~3人組成，成員須接受過資安相關稽核訓練者。

八、教育訓練與人員職責

(一)、教育訓練業務負責單位：資訊中心

(二)、教育訓練期程

教育訓練分階進行，優先安排第一階段受稽單位參與教育訓練，其他受稽單位後續陸續辦理。

(三)、資安與個資聯絡人

各單位主管指派一名，參加稽核規範教育訓練，瞭解資訊安全管理制度概念及實作方法，爾後協助組織內部人員實施資安規範與紀錄，配合資安與個資稽核作業，協助將資訊風險降低至可接受之程度內，期能建立一個較安全、可靠的資訊安全環境。

(四)、其他人員：接受資訊安全教育訓練與執行資訊安全防護措施。

九、資安與個資保護網頁專區

資訊中心設置網頁專區，供大眾閱覽資訊安全與個人資料保護相關資訊。

　　網址：http://isms.yuntech.edu.tw

十、獎勵及改善

(一)、獎勵標準

各單位資安與個資聯絡人，於原有業務外再協助配合資通安全管理作業，擬由資訊中心依表現情形，簽請獎勵建議。

(二)、矯正預防處理時機

1.平日執行安全規範發現之缺失，由單位自行填寫並改善後，存檔備查。

2.稽核時發現之缺失，應於十個工作天內填寫「矯正與預防處理單」（表單編號：YUNTECH-ISPI-D-019）回覆資訊中心，列為追蹤稽核項目。