個人資料檔案安全維護程序
1.
作業內容
1.1.
配置管理之人員及相當資源
依本校業務規模及特性,衡酌本校資源之合理分配,配置管理組織及相當資源,以規劃、訂定、修正與執行個人資料保護管理相關程序。其具體實現於:
1.1.1.
PIMS-M-001個人資料保護管理政策。
1.1.2.
PIMS-P-002個人資料組織及權責管理程序。
1.1.3.
PIMS-P-005個人資料保護目標管理程序。
1.2.
界定個人資料之範圍
應依個人資料保護相關法令,定期查核確認所保有之個人資料現況,並界定其個人資料管理範圍。其具體實現於:
1.2.1.
PIMS-P-001個資文件管理程序。
1.2.2.
PIMS-P-009個人資料作業管理程序
1.2.3.
PIMS-P-003個人資料盤點作業管理程序。
1.3.
個人資料之風險評估及管理機制
依業務涉及個人資料蒐集、處理、利用流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適當之管理機制。其具體實現於:
1.3.1.
PIMS-P-003個人資料盤點作業管理程序。
1.3.2.
PIMS-P-004個人資料風險評鑑及處理管理程序。
1.4.
事故之預防、通報及應變機制。
因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事件,訂定下列個人資料事故之應變、通報及預防機制,其具體實現於:
1.4.1.
PIMS-P-012個人資料事件管理程序。
1.4.2.
PIMS-P-007矯正預防及持續改善管理程序。
1.5.
個人資料蒐集、處理及利用之內部管理程序
訂定個人資料之蒐集、處理及利用管理程序,以符合個人資料保護法等規定之管理措施。具體實現於:
1.5.1.
PIMS-P-009個人資料作業管理程序。
1.5.2.
PIMS-P-010當事人權利行使管理程序。
1.5.3.
PIMS-P-011個人資料抱怨及申訴管理程序。
1.5.4.
PIMS-P-013個人資料檔案公開管理程序。
1.5.5.
PIMS-P-014資料分享及揭露管理程序。
1.5.6.
PIMS-P-015個人資料委外管理程序。
1.6.
資料安全管理及人員管理
個人資料檔案所在之資料庫須加強權限管理,維護個人資料檔案之相關需遵守本校資訊安全及個人資料保護相關規定,其具體實現於:
1.6.1.
PIMS-W-001個人資料安全控管作業標準。
1.7.
認知宣導及教育訓練
本校定期對所屬人員施以個人資料保護認知宣導及教育訓練,使其明瞭相關法令之要求、所屬人員之責任範圍與各種個人資料保護事項之機制、程序及措施。其具體實現於:
1.7.1.
PIMS-P-008個人資料教育訓練管理程序。
1.8.
設備安全管理
本校為維護所保有個人資料及檔案的安全,透過實作合宜的技術性及組織性安全措施以確保個人資訊被保護防止洩漏或損毀及未授權或非法處理。訂定各類設備或儲存媒體之使用規範,及報廢或轉作他用時,應採取防範資料洩漏之適當措施。針對所保有之個人資料內容,有加密之需要者,於蒐集、處理或利用時,採取適當之加密措施。作業過程有備份個人資料之需要時,對備份資料予以適當保護。各項管理措施,具體實現於:
1.8.1.
PIMS-W-001個人資料安全控管作業標準。
1.9.
資料安全稽核機制
本校為確保個人資料保護管理之落實,依其業務規模及特性,訂定適當之個人資料安全稽核機制;其依法令規定建立內部控制及稽核制度,並應將相關機制列入內部控制及稽核項目。其具體實現於:
1.9.1.
PIMS-P-006個人資料管理稽核程序。
1.9.2.
PIMS-P-007矯正預防及持續改善管理程序。
1.10.
使用紀錄、軌跡資料及證據保存
本校所定之各種個人資料保護機制、程序及措施,製作文件記錄其個人資料使用情況、留存軌跡資料或相關證據。其具體實現於:
1.10.1. PIMS-P-001個資文件管理程序。
1.10.2. PIMS-W-001個人資料安全控管作業標準。
1.11.
個人資料安全維護之整體持續改善
本校為持續改善個人資料安全維護,其所屬個人資料管理組織,定期提出個人資料管理審查報告,並參酌法令變化、業務執行現況、科技發展、社會輿情等因素,其具體實現於:
1.11.1. PIMS-P-002個人資料組織及權責管理程序。
1.11.2. PIMS-P-007矯正預防及持續改善管理程序。
|