國立中正大學個人資料保護管理要點

103.7.8發布

104.12.24修訂

106.10.18修訂

107.11.02修訂

108.11.12修訂

版次：1.4

一、國立中正大學（以下簡稱本校）為落實整體個人資料保護(以下簡稱個資保護)，特訂定本要點。

二、本校為落實個資保護管理，應成立跨單位「個人資料保護推動委員會」(以下簡稱本委員會)負責本校個資保護之政策、規劃、資源調度等統籌、協調與研議之整體資通安全維護等任務。

三、本委員會由副校長一人擔任個資保護官(兼召集人)，資訊處技術發展組組長為執行秘書，以導入範圍之主管為當然委員。

四、本委員會下設兩工作小組:

(一)個資保護執行小組，統籌各項個資保護作業原則規劃事宜，由各單位主管推派一人組成之，資訊處技術發展組組長擔任組長。其業務執掌如下：

1.本校個人資料管理制度（PIMS）之訂定、執行、協調與風險管控。

2.負責規劃個資保護管理制度之維運工作及文件之制訂作業。

3.協助各單位進行個資盤點與彙整。

4.規劃個人資料管理教育訓練、資源協調與流程改善。

5.個人資料保護事項之協調聯繫。

6.個人資料安全事件之監控、追踨與預防。

7.協助追踨、管理個人資料保護稽核所提相關事項。

8.其他相關所轄業務之個人資料管理、保護及維護等事項，並落實於相關業務及人員。

(二)個資保護稽核小組，負責個資保護稽核事宜，各單位應派一人參加稽核小組，該小組成員必須受過個資保護稽核訓練，由資訊處資源管理組組長擔任組長，其業務執掌如下:

1.研擬年度資訊安全及個人資料保護管理稽核計畫。

2.執行個資保護內部稽核。

3.撰寫個資保護內部稽核報告。

4.追踨不符合事項之改善執行情形。

5.配合年度稽核計畫執行相關稽核活動並提供改善建議事項。

五、為保護本校資訊資產安全，各單位應建立資訊資產清冊加以分類分級，並訂定相對應之管制措施。

六、為降低內部人為因素對本校個資保護之影響，各單位應考量人力與工作職掌，實行分工及輪調措施。

七、本校應視需要實施個資保護教育訓練及宣導，以提高教職員工生對個資保護之認知。

八、為提高委外作業之安全，本校應要求廠商簽署保密協議書，並管理相關委外專案人員及外部人員之各項資訊資產存取權限。

九、為確保電腦機房維運及資訊資產使用區域之安全，各單位應訂定安全管理規範。

十、為確保網路服務及使用之安全，各單位應訂定管理規範。

十一、為確保主機作業平台及資料庫之安全，使操作程序標準化，各單位應訂定安全技術規範。

十二、為避免資訊資產因未授權之存取而使機密性或敏感性資料遭不當使用，各單位應考量人員職務授予相關權限，必要時得採行加解密及身分鑑別機制，以加強資料之安全。

十三、為確保應用系統開發、測試、上線及維護之安全，各單位應訂定標準管制及驗收程序。

十四、為降低個資保護事件造成之損害，各單位應建立資通安全通報及處理程序，並加以記錄。

十五、為避免資訊資產遭受災害而影響業務永續運作，各單位應訂定應變及復原計畫，並定期測試演練。

十六、為落實個資保護管理制度，個資保護稽核小組應訂定稽核計畫，並定期執行。

十七、為有效管理本校各項資訊資產所面臨之威脅、弱點及其衝擊程度，本校應辦理風險評鑑並實行必要之風險管理。

十八、本要點未盡事宜，依其他有關法令規定辦理。

十九、本要點經「個人資料保護推動委員會」通過後實施，修正時亦同。