個(gè)人資料保護(hù)與管理稽核查檢表

委外廠商個(gè)人資安全維護(hù)自評(píng)表（範(fàn)）■-般□敏感□密 文件編號(hào)：PIMS-4-007版本：V1 紀(jì)編號(hào)：稽核項(xiàng)次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符合適用1.機(jī)關(guān)已成個(gè)人資管組織，並配置相當(dāng)資源?！酢酢跤煽偨?jīng)、相關(guān)主管及承辦人員成個(gè)資管小組。2.有文件或記，顯示管階層對(duì)個(gè)人資保護(hù)法規(guī)定之內(nèi)部控制措施建、實(shí)作、運(yùn)作、監(jiān)視、審查、維持與改進(jìn)之承。□□□需有「個(gè)人資保護(hù)政策」之明書，並於內(nèi)部公告。內(nèi)部控制措施包含以下：一、 配置管之人員及相當(dāng)資源。二、 界定個(gè)人資之範(fàn)圍。三、 個(gè)人資之風(fēng)險(xiǎn)評(píng)估及管機(jī)制。四、 事故之預(yù)防、通報(bào)及應(yīng)變機(jī)制。五、 個(gè)人資蒐集、處及用之內(nèi)部管程序。、資安全管及人員管。七、 認(rèn)知宣導(dǎo)及教育訓(xùn)。八、 設(shè)備安全管。九、 資安全稽核機(jī)制。十、必要之使用紀(jì)、軌跡資及證據(jù)之保存。

稽核項(xiàng)次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符合適用十-、個(gè)人資安全維護(hù)之整體持續(xù)改善O3.管階層已依規(guī)劃的期間（至少一一次），審查個(gè)人資保護(hù)法規(guī)定之內(nèi)部控制措施，以確保其持續(xù)的適用、適性及有效性。□□□個(gè)資管小組每至少進(jìn)一次個(gè)資議題，進(jìn)開會(huì)討，並執(zhí)相關(guān)審查及矯正預(yù)防措施。 （需有會(huì)議、紀(jì)做佐）4.管階層審查包含個(gè)人資保護(hù)法所要求之內(nèi)部控制措施0□□□個(gè)資管小組會(huì)議需包含11項(xiàng)控制措施之執(zhí)報(bào)告O5.針對(duì)機(jī)關(guān)內(nèi)的個(gè)人資檔案，已有清冊(cè)，以界定個(gè)人資之範(fàn)圍?！酢酢蹙邆鋫€(gè)人資清冊(cè)盤點(diǎn)表，並已造冊(cè)管。6.已定義個(gè)人資風(fēng)險(xiǎn)評(píng)估的方法 。含書面的風(fēng)險(xiǎn)評(píng)鑑方法、風(fēng)險(xiǎn)評(píng)鑑報(bào)告及風(fēng)險(xiǎn)處計(jì)畫O□□□需有風(fēng)險(xiǎn)評(píng)估相關(guān)之程序書或規(guī)範(fàn)。需包含鑑定風(fēng)險(xiǎn)之方法，如：需有個(gè)資資產(chǎn)價(jià)直等級(jí)、威脅等級(jí)、脆弱性等級(jí)，計(jì)算出風(fēng)險(xiǎn)直及可接受之風(fēng)險(xiǎn)直。7.定期產(chǎn)生個(gè)人資風(fēng)險(xiǎn)評(píng)估之報(bào)告?！酢酢趺恐辽僖淮物L(fēng)險(xiǎn)評(píng)估，並有記可查。&組織確定風(fēng)險(xiǎn)接受之標(biāo)準(zhǔn)與可接受風(fēng)險(xiǎn)之等級(jí)，並皆由管階層核定之?！酢酢躏L(fēng)險(xiǎn)評(píng)估相關(guān)之程序書或規(guī)範(fàn)，需規(guī)定可接受風(fēng)險(xiǎn)之等級(jí)，並由管階層核定（上述程序書需由管階層核可）9.評(píng)鑑出可低風(fēng)險(xiǎn)之控制措施?！酢酢跻里L(fēng)險(xiǎn)評(píng)估報(bào)告，選定高風(fēng)險(xiǎn)之個(gè)人資，進(jìn)相關(guān)低風(fēng)險(xiǎn)控制措施。（如：個(gè)資相關(guān)文件置放於上鎖文件櫃，低遺失風(fēng)險(xiǎn)）

稽核項(xiàng)次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符合適用10.對(duì)於需要控管之風(fēng)險(xiǎn)，已依重要性決定其處之優(yōu)先順序。□□□風(fēng)險(xiǎn)評(píng)估報(bào)告需包含超出可接受風(fēng)險(xiǎn)直之資產(chǎn)，再?zèng)Q定其改善之優(yōu)先順序。11.制定風(fēng)險(xiǎn)處計(jì)畫，並根據(jù)該計(jì)畫導(dǎo)入控制措施以低風(fēng)險(xiǎn)?！酢酢蹩膳e風(fēng)險(xiǎn)改善措施，如：發(fā)現(xiàn)消防設(shè)施足，需進(jìn)相關(guān)消防工程。12.針對(duì)個(gè)人資蒐集、用，制定管控機(jī)制?！酢酢跣枧e證對(duì)個(gè)人資蒐集、用之管，如：個(gè)資之蒐集、用是否在特定目的之內(nèi)且經(jīng)授權(quán)並有紀(jì)可查。13.個(gè)人資之處為，應(yīng)經(jīng)權(quán)責(zé)單位核準(zhǔn)，釐定使用範(fàn)圍及調(diào)閱、存取權(quán)限?！酢酢跣栌袔ぬ?hào)權(quán)限清查及權(quán)限申請(qǐng)紀(jì)。14.個(gè)人資之處為 ，應(yīng)存使用者身分與其為紀(jì)以供事後稽查?！酢酢跣栌凶糇C資。。15.含有個(gè)人資之紙本報(bào)表，其處及用為應(yīng)有適當(dāng)之授權(quán)、監(jiān)督，及記印、轉(zhuǎn)交等為?！酢酢跣栌凶糇C資016.交換個(gè)人資時(shí)，應(yīng)採取具備保密機(jī)制之傳遞方式。□□□如：機(jī)密之紙本文件需彌封，電子檔案則以私有網(wǎng)或加密傳送。17.交換個(gè)人資時(shí)，應(yīng)記轉(zhuǎn)交或傳輸為之向。□□□需有佐證資01&對(duì)於個(gè)人資之調(diào)閱，應(yīng)有申請(qǐng)及核準(zhǔn)程序。□□□需有佐證資019.對(duì)於個(gè)人資之調(diào)閱，應(yīng)記並保存調(diào)閱者身分及□□□需有佐證資0

稽核項(xiàng)次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符合適用蘭O為20.處個(gè)人資檔案之個(gè)人電腦 ,應(yīng)設(shè)置使用者帳號(hào)與密碼。□□□需有佐證資021.存放個(gè)人資之資庫，應(yīng)定期備份?！酢酢跣栌凶糇C資022.指定專人負(fù)責(zé)管儲(chǔ)存?zhèn)€人資檔案之資訊設(shè)備與其他相關(guān)設(shè)施，並檢視、處其錯(cuò)誤或常事件等訊息?！酢酢跣栌凶糇C資023.儲(chǔ)存?zhèn)€人資之資訊設(shè)備，應(yīng)置放於實(shí)體安全區(qū)域（如：門禁控管之辦公區(qū)域、機(jī)房）。□□□需有佐證資024.儲(chǔ)存?zhèn)€人資檔案之磁碟、磁帶，及紙本等相關(guān)儲(chǔ)存媒體，應(yīng)置於實(shí)體保護(hù)之環(huán)境?！酢酢跣栌凶糇C資025.儲(chǔ)存?zhèn)€人資檔案之媒體，應(yīng)有攜出、拷貝或複製的管控機(jī)制，並存紀(jì)?！酢酢跣栌凶糇C資026.儲(chǔ)存?zhèn)€人資檔案之電腦或相關(guān)設(shè)備，如需報(bào)廢或移轉(zhuǎn)他用，應(yīng)刪除其所儲(chǔ)存之個(gè)人資檔案。□□□需有佐證資027.對(duì)於處個(gè)人資檔案之人員 ，應(yīng)施予資訊安全與個(gè)資保護(hù)之教育訓(xùn)?！酢酢跣栌凶糇C資02&處個(gè)人資檔案之人員職務(wù)動(dòng)時(shí) ，應(yīng)依規(guī)定冊(cè)□□□需有佐證資0

稽核項(xiàng)次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符臺(tái)適用移交相關(guān)儲(chǔ)存媒體及資。29.處個(gè)人資檔案之人員職務(wù)動(dòng)時(shí) ，接替人員應(yīng)於相關(guān)系統(tǒng)重設(shè)密碼，並視需要換使用者帳號(hào)?！酢酢跣栌凶糇C資0個(gè)人資置於電腦資訊系統(tǒng)者適用。30.處個(gè)人資檔案之人員，應(yīng)簽訂保密結(jié)書。□□□需有佐證資031.處個(gè)人資檔案之人員職或合約終止時(shí)時(shí) ，應(yīng)依規(guī)定取消或停用其使用者帳號(hào)?！酢酢跣栌凶糇C資0個(gè)人資置於電腦資訊系統(tǒng)者適用。32.處個(gè)人資檔案之資訊系統(tǒng) ，應(yīng)將個(gè)人資檔案的安全需求納入系統(tǒng)開發(fā)考（如：輯測(cè)試） ?！酢酢跞纾和巧刹殚喭膫€(gè)資範(fàn)圍。程式開發(fā)才適用 O33.處個(gè)人資檔案的資訊系統(tǒng)之維護(hù)、新、上線、及版本動(dòng)等作業(yè)，應(yīng)有安全管控措施?！酢酢醭淌降木S護(hù)、新、上線為外包委外廠商負(fù)責(zé)時(shí)才適用 O34.維護(hù)人員或系統(tǒng)服務(wù)廠商以遠(yuǎn)端登入方式進(jìn)牽涉?zhèn)€人資的資訊系統(tǒng)維護(hù)或其他有關(guān)之運(yùn)作時(shí)，應(yīng)透過加密通道進(jìn)（如：HTTPS、SSH等）?！酢酢跣栌凶糇C資035.處個(gè)人資檔案資訊系統(tǒng)之開發(fā) ，應(yīng)避免以真實(shí)個(gè)人資進(jìn)測(cè)試。如需使用，是否於完成測(cè)試作業(yè)後即移除 '或?qū)⒖杀嬷畟€(gè)人資修改為無法辨之模糊資訊?！酢酢醭淌介_發(fā)才適用。36.委外蒐集、處或用個(gè)人資之全部或一部份時(shí)'□□□本院之委外廠商'將標(biāo)案再委外給下包廠商執(zhí)

稽核項(xiàng)次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符臺(tái)適用應(yīng)於委外合約中載明所處之個(gè)人資保密義務(wù) 、資訊安全相關(guān)責(zé)任及違反之罰則。時(shí)，需於合約中載明所處之個(gè)人資保密義務(wù)、資訊安全相關(guān)責(zé)任及違反之罰則。37.訂定使用者存取權(quán)限岸註冊(cè)及岸註銷之作業(yè)程序?！酢酢鮽€(gè)人資置於電腦資訊系統(tǒng)者適用。3&使用者存取權(quán)限應(yīng)定期檢查（建議每個(gè)月-次），並移除久夫使用之使用者權(quán)限?！酢酢鮽€(gè)人資置於電腦資訊系統(tǒng)者適用。39.電腦的密碼長規(guī)定須超過6個(gè)字元。□□□個(gè)人資置於電腦資訊系統(tǒng)者適用。40.電腦的密碼規(guī)定需有大小寫字母及字組成?！酢酢鮽€(gè)人資置於電腦資訊系統(tǒng)者適用。41.針對(duì)個(gè)人資被竊取、竄改、毀損、滅失或洩，制定事故通報(bào)機(jī)制?！酢酢跣栌惺鹿释▓?bào)程序書或相關(guān)規(guī)範(fàn)，跟據(jù)同的嚴(yán)重性定義同的通報(bào)等級(jí)。42.針對(duì)個(gè)人資被竊取、竄改、毀損、滅失或洩，制定事故應(yīng)變機(jī)制?！酢酢跣栌惺鹿蕬?yīng)變程序書或相關(guān)規(guī)範(fàn)。43.為符合事項(xiàng)再次發(fā)生，應(yīng)進(jìn)別、判斷原因、矯正措施審查及記結(jié)果等措施，並加以文件化?！酢酢?4.為消除與個(gè)人資保護(hù)法規(guī)定之內(nèi)部控制措施要求潛在符合的原因，並防止其發(fā)生，進(jìn)別、決定預(yù)防措施、審查及記結(jié)果等措施，並加以文件化。□□□針對(duì)11項(xiàng)項(xiàng)控制措施，出現(xiàn)符合或常事件時(shí)，需填寫相關(guān)表單（如：常事件通報(bào)單或矯正預(yù)防措施單），並做根因分析及預(yù)防再發(fā)生之做