一、 | 法令依據 | |
◆ | 根據個人資料保護法條文第55條:本法施行細則,由法務部定之。目前法 務部擬定的施行細則草案第九條明定十一項安全維護事項(參考英國 BS10012:2009及日本JISQ15001:2006等個人資料管理系統之規範)所稱適 當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關 為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必 要措施。前項安全維護事項可以分成兩個層級:組織管理面與技術面,本篇 將討論組織管理面;技術面請參考 個資法安全維護事項技術篇。 | |
◆ | 施行細則第12條: 適當安全維護事項 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。 |
|
前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則: 1. 配置管理之人員及相當資源。 2. 界定個人資料之範圍。 3. 個人資料之風險評估及管理機制。 4. 事故之預防、通報及應變機制。 5. 個人資料蒐集、處理及利用之內部管理程序。 6. 資料安全管理及人員管理。 7. 認知宣導及教育訓練。 8. 設備安全管理。 9. 資料安全稽核機制。 10. 必要之使用紀錄、軌跡資料及證據之保存。 11. 個人資料安全維護之整體持續改善。 第1項必要措施,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。 |
二、 | 個資法必要安全維護事項 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
三、 | 關鍵成功因素 | |||
|
||||
◆ | 高層領導 | |||
◆ | 組織~個資安全維護組織運作 | |||
◆ | 流程 | |||
1.個人資料風險評估及管理流程 | ||||
2.個人資料蒐集流程 | ||||
3.個人資料處理流程 | ||||
4.個人資料利用流程 | ||||
5.資料安全管理流程 | ||||
6.資料安全稽核流程 | ||||
7.事故之預防、通報及應變流程 | ||||
8.持續改善流程 | ||||
◆ | 人員 | |||
1.內部人員管理 | ||||
2.第三方受託機關人員管理 | ||||
◆ | 資訊技術 | |||
1.資料安全管理 | ||||
2.設備安全管理 | ||||
3.資料安全稽核 | ||||
4.使用紀錄、軌跡資料及證據保存 |