一、目的
資訊安全與個人資料保護稽核作業目的為:
(一)、確保本校資訊安全管理制度之推動,建立適當管理架構,有效分配資訊安全責任,落實資訊安全政策之推行、協調各項資訊安全措施之實施,確保資訊安全制度之防護水準。
(二)、因應個人資料保護法的施行,為遵守個人資料之蒐集、處理及利 用之生 命週期規範,以避免人格權受侵害,促進個人資料之合理使用。
二、依據
99學年度第2學期第1次內部控制專案小組會議紀錄辦理事項。
三、目標
利用內部控制資訊安全機制,有效運用資訊資源,採行適當安全管理控制措施下,每學期抽查10~15個單位執行稽核作業,維持並持續改善本校資訊安全,保護資訊資產的機密性、可用性與完整性;及落實個人資料保護規範,避免個資外洩,保障個人的隱私權。
四、稽核準則
稽核項目為個人電腦使用安全設定、資產(個資)盤點、軟體使用安全、單位伺服器、委外廠商管理、實體與環境安全、個人資料保護、通訊與作業、資訊安全事件、法規遵循性;稽核作業依據下列相關規定為基礎引申訂定之:
(一)、教育部「校園通用資安管理原則」。
(二)、教育部「教育機構個人資料保護工作事項暨檢核表」。
(三)、「教育體系資通安全管理規範」與個資相關重點。
(四)、教育部所屬機關及各級公私立學校資通安全工作事項。
五、稽核範圍
本校一、二級單位辦公室與實驗室(含電腦教室)
六、稽核進行方式
(一)、每學期辦理1~2次稽核說明教育訓練。
(二)、稽核小組擬定稽核計畫,陳請資安長核定。
(三)、每學期抽查10~15個單位,並以發生資安事件及擁有大量個資檔案之單位列為優先稽核。
(四)、受稽單位需針對稽核缺失擬定矯正預防處理計畫與執行改善措施。
(五)、每學期稽核報告簽陳資安長核閱。
七、稽核成員:
稽核小組:由資訊中心2~3人組成,成員須接受過資安相關稽核訓練者。
八、教育訓練與人員職責
(一)、教育訓練業務負責單位:資訊中心
(二)、教育訓練期程
教育訓練分階進行,優先安排第一階段受稽單位參與教育訓練,其他受稽單位後續陸續辦理。
(三)、資安與個資聯絡人
各單位主管指派一名,參加稽核規範教育訓練,瞭解資訊安全管理制度概念及實作方法,爾後協助組織內部人員實施資安規範與紀錄,配合資安與個資稽核作業,協助將資訊風險降低至可接受之程度內,期能建立一個較安全、可靠的資訊安全環境。
(四)、其他人員:接受資訊安全教育訓練與執行資訊安全防護措施。
九、資安與個資保護網頁專區
資訊中心設置網頁專區,供大眾閱覽資訊安全與個人資料保護相關資訊。
網址:http://isms.yuntech.edu.tw
十、獎勵及改善
(一)、獎勵標準
各單位資安與個資聯絡人,於原有業務外再協助配合資通安全管理作業,擬由資訊中心依表現情形,簽請獎勵建議。
(二)、矯正預防處理時機
1.平日執行安全規範發現之缺失,由單位自行填寫並改善後,存檔備查。
2.稽核時發現之缺失,應於十個工作天內填寫「矯正與預防處理單」(表單編號:YUNTECH-ISPI-D-019)回覆資訊中心,列為追蹤稽核項目。
|