YunTech
::: 
  總則
貼到Twitter 貼到Facebook   貼到Plurk  

一、目的

資訊安全與個人資料保護稽核作業目的為:

()確保本校資訊安全管理制度之推動,建立適當管理架構,有效分配資訊安全責任,落實資訊安全政策之推行、協調各項資訊安全措施之實施,確保資訊安全制度之防護水準。

()、因應個人資料保護法的施行,為遵守個人資料之蒐集、處理及利 用之生 命週期規範,以避免人格權受侵害,促進個人資料之合理使用。

二、依據

99學年度第2學期第1次內部控制專案小組會議紀錄辦理事項。

三、目標

  利用內部控制資訊安全機制,有效運用資訊資源,採行適當安全管理控制措施下,每學期抽查10~15個單位執行稽核作業,維持並持續改善本校資訊安全,保護資訊資產的機密性、可用性與完整性;及落實個人資料保護規範,避免個資外洩,保障個人的隱私權。

四、稽核準則

  稽核項目為個人電腦使用安全設定、資產(個資)盤點、軟體使用安全、單位伺服器、委外廠商管理、實體與環境安全、個人資料保護、通訊與作業、資訊安全事件、法規遵循性;稽核作業依據下列相關規定為基礎引申訂定之:

()、教育部「校園通用資安管理原則」。

()、教育部「教育機構個人資料保護工作事項暨檢核表」。

()、「教育體系資通安全管理規範」與個資相關重點。

()、教育部所屬機關及各級公私立學校資通安全工作事項。

五、稽核範圍

  本校一、二級單位辦公室與實驗室(含電腦教室)

六、稽核進行方式

()、每學期辦理1~2次稽核說明教育訓練。

()、稽核小組擬定稽核計畫,陳請資安長核定。

()、每學期抽查10~15個單位,並以發生資安事件及擁有大量個資檔案之單位列為優先稽核。

()、受稽單位需針對稽核缺失擬定矯正預防處理計畫與執行改善措施。

()、每學期稽核報告簽陳資安長核閱。

七、稽核成員:

  稽核小組:由資訊中心2~3人組成,成員須接受過資安相關稽核訓練者。

八、教育訓練與人員職責

()教育訓練業務負責單位:資訊中心

()教育訓練期程

教育訓練分階進行,優先安排第一階段受稽單位參與教育訓練,其他受稽單位後續陸續辦理。

(三)資安與個資聯絡人

各單位主管指派一名,參加稽核規範教育訓練,瞭解資訊安全管理制度概念及實作方法,爾後協助組織內部人員實施資安規範與紀錄,配合資安與個資稽核作業,協助將資訊風險降低至可接受之程度內,期能建立一個較安全、可靠的資訊安全環境。

(四)其他人員:接受資訊安全教育訓練與執行資訊安全防護措施

九、資安與個資保護網頁專區

資訊中心設置網頁專區,供大眾閱覽資訊安全與個人資料保護相關資訊。

  網址:http://isms.yuntech.edu.tw

十、獎勵及改善

()、獎勵標準

各單位資安與個資聯絡人,於原有業務外再協助配合資通安全管理作業,擬由資訊中心依表現情形,簽請獎勵建議

()、矯正預防處理時機

1.平日執行安全規範發現之缺失,由單位自行填寫並改善後,存檔備查。

2.稽核時發現之缺失,應於十個工作天內填寫「矯正與預防處理單」表單編號:YUNTECH-ISPI-D-019回覆資訊中心,列為追蹤稽核項目。

    最後更新 ( 2012/12/25, 週二 )