國立中正大學個人資料保護管理要點

103年7月8日個人資料保護推動委員會通過
104年12月24日個人資料保護推動委員會通過
106年10月18日個人資料保護推動委員會通過
107年11月2日個人資料保護推動委員會通過
108月11月12日個人資料保護推動委員會通過
109年12月14日第483次行政會議通過
110年7月21日第490次行政會議通過

一、國立中正大學(以下簡稱本校)為落實整體個人資料保護(以下簡稱個資保護)，特訂定 本要點。

二、本校為落實個資保護管理，應成立跨單位「個人資料保護推動委員會」(以下簡稱本委員 會)負責本校個資保護之政策、規劃、資源調度等統籌、協調與研議之整體資通安全維護 等任務。

三、本委員會由副校長一人擔任個資管理長(兼召集人)，並負責下列事項:

(一) 建立或核定本校個人資料保護管理政策與目標。
(二) 傳達管理制度要求事項之遵循與持續改善的承諾。
(三) 提供管理制度運行所需資源及人力。

四、本委員會由秘書室主任秘書擔任資料保護長，資訊處資訊長擔任執行秘書，本校一級單位主管為當然委員。

五、本委員會設以下工作小組:

(一) 個人資料保護執行小組，各單位應指派一人作為個資管理窗口，統籌單位內各項個資保護作業原則規劃事宜，並為本小組之當然成員，資訊處技術發展組組長擔任小組組長。此執行小組業務職掌如下:

1. 本校個人資料管理制度(PIMS)之訂定、執行、協調與風險管控。

2. 負責規劃個人資料管理制度之維運工作及文件之制訂作業。

3. 協助各單位進行個人資料識別盤點與彙整。

4. 規劃個人資料管理教育訓練、資源協調與流程改善。

5. 個人資料保護事項之協調聯繫。

6. 個人資料安全事件之監控、追踨與預防。

7. 協助追踨、管理個人資料保護稽核所提相關事項。

8.  

   其他相關所轄業務之個人資料管理、保護及維護等事項，並落實於相關業務及

   人員。

(二) 個人資料保護稽核小組，負責個資保護稽核事宜，該小組成員必須受過個資保護稽核訓練，得委託外部專業機構辦理稽核作業。由資訊處資源管理組組長擔任小組組 長，其業務職掌如下:

1. 研擬年度資訊安全及個人資料管理內部稽核計畫。
2. 執行個人資料管理制度內部稽核。
3. 撰寫個人資料管理制度內部稽核報告。
4. 追踨不符合事項之改善執行情形。
5. 配合年度個人資料管理制度稽核計畫執行相關稽核活動並提供改善建議事項。

六、為保護本校個人資料安全，各單位應建立個人資料清冊，並訂定相對應之管制措施。
七、為降低內部人為因素對本校個資保護之影響，各單位應考量人力與工作職掌，實行分工及輪調措施。
八、本校應視需要實施個資保護教育訓練及宣導，以提高教職員工生對個資保護之認知。
九、為提高委外作業之安全，本校應要求廠商簽署保密協議書，並管理相關委外專案人員及外部人員之各項個人資料存取權限。
十、為確保電腦機房維運及個人資料存放區域之安全，各單位應訂定安全管理規範。
十一、為確保網路服務及使用之安全，各單位應訂定管理規範。
十二、為確保主機作業平台及資料庫之安全，使操作程序標準化，各單位應訂定安全技術規範。
十三、為避免個人資料因未授權之存取而使機密性或敏感性資料遭不當使用，各單位應考量人員職務授予相關權限，必要時得採行加解密及身分鑑別機制，以加強資料之安全。
十四、為確保應用系統開發、測試、上線及維護之安全，各單位應訂定標準管制及驗收程序。
十五、為降低個資事件造成之損害，各單位應建立資通安全通報及處理程序，並加以記錄。
十六、為避免個人資料遭受災害而影響業務永續運作，各單位應訂定應變及復原計畫，並定期測試演練。
十七、為落實個資保護管理制度，個人資料保護稽核小組應訂定稽核計畫，並定期執行。
十八、為有效管理本校各項個人資料所面臨之威脅、弱點及其衝擊程度，本校應辦理風險評鑑並實行必要之風險管理。
十九、本委員會開會時，應邀請學生代表一人列席。
二十、為鼓勵本校同仁積極推動個資管理制度，於每年完成稽核任務後，依據「公務機關所屬人員資通安全事項獎懲辦法」第三條辦理個資管理制度績效優良人員敘獎作業。
二十一、本要點未盡事宜，依其他有關法令規定辦理。
二十二、本要點經行政會議通過後實施，修正時亦同。

2