委外廠商個人資安全維護(hù)自評表（範(fàn)）■-般□敏感□密 文件編號：PIMS-4-007版本：V1 紀(jì)編號：稽核項次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符合適用1.機(jī)關(guān)已成個人資管組織，並配置相當(dāng)資源?！酢酢跤煽偨?jīng)、相關(guān)主管及承辦人員成個資管小組。2.有文件或記，顯示管階層對個人資保護(hù)法規(guī)定之內(nèi)部控制措施建、實作、運(yùn)作、監(jiān)視、審查、維持與改進(jìn)之承。□□□需有「個人資保護(hù)政策」之明書，並於內(nèi)部公告。內(nèi)部控制措施包含以下：一、 配置管之人員及相當(dāng)資源。二、 界定個人資之範(fàn)圍。三、 個人資之風(fēng)險評估及管機(jī)制。四、 事故之預(yù)防、通報及應(yīng)變機(jī)制。五、 個人資蒐集、處及用之內(nèi)部管程序。、資安全管及人員管。七、 認(rèn)知宣導(dǎo)及教育訓(xùn)。八、 設(shè)備安全管。九、 資安全稽核機(jī)制。十、必要之使用紀(jì)、軌跡資及證據(jù)之保存。

稽核項次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符合適用十-、個人資安全維護(hù)之整體持續(xù)改善O3.管階層已依規(guī)劃的期間（至少一一次），審查個人資保護(hù)法規(guī)定之內(nèi)部控制措施，以確保其持續(xù)的適用、適性及有效性?！酢酢鮽€資管小組每至少進(jìn)一次個資議題，進(jìn)開會討，並執(zhí)相關(guān)審查及矯正預(yù)防措施。 （需有會議、紀(jì)做佐）4.管階層審查包含個人資保護(hù)法所要求之內(nèi)部控制措施0□□□個資管小組會議需包含11項控制措施之執(zhí)報告O5.針對機(jī)關(guān)內(nèi)的個人資檔案，已有清冊，以界定個人資之範(fàn)圍?！酢酢蹙邆鋫€人資清冊盤點(diǎn)表，並已造冊管。6.已定義個人資風(fēng)險評估的方法 。含書面的風(fēng)險評鑑方法、風(fēng)險評鑑報告及風(fēng)險處計畫O□□□需有風(fēng)險評估相關(guān)之程序書或規(guī)範(fàn)。需包含鑑定風(fēng)險之方法，如：需有個資資產(chǎn)價直等級、威脅等級、脆弱性等級，計算出風(fēng)險直及可接受之風(fēng)險直。7.定期產(chǎn)生個人資風(fēng)險評估之報告?！酢酢趺恐辽僖淮物L(fēng)險評估，並有記可查。&組織確定風(fēng)險接受之標(biāo)準(zhǔn)與可接受風(fēng)險之等級，並皆由管階層核定之。□□□風(fēng)險評估相關(guān)之程序書或規(guī)範(fàn)，需規(guī)定可接受風(fēng)險之等級，並由管階層核定（上述程序書需由管階層核可）9.評鑑出可低風(fēng)險之控制措施?！酢酢跻里L(fēng)險評估報告，選定高風(fēng)險之個人資，進(jìn)相關(guān)低風(fēng)險控制措施。（如：個資相關(guān)文件置放於上鎖文件櫃，低遺失風(fēng)險）

稽核項次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符合適用10.對於需要控管之風(fēng)險，已依重要性決定其處之優(yōu)先順序?！酢酢躏L(fēng)險評估報告需包含超出可接受風(fēng)險直之資產(chǎn)，再決定其改善之優(yōu)先順序。11.制定風(fēng)險處計畫，並根據(jù)該計畫導(dǎo)入控制措施以低風(fēng)險?！酢酢蹩膳e風(fēng)險改善措施，如：發(fā)現(xiàn)消防設(shè)施足，需進(jìn)相關(guān)消防工程。12.針對個人資蒐集、用，制定管控機(jī)制?！酢酢跣枧e證對個人資蒐集、用之管，如：個資之蒐集、用是否在特定目的之內(nèi)且經(jīng)授權(quán)並有紀(jì)可查。13.個人資之處為，應(yīng)經(jīng)權(quán)責(zé)單位核準(zhǔn)，釐定使用範(fàn)圍及調(diào)閱、存取權(quán)限?！酢酢跣栌袔ぬ枡?quán)限清查及權(quán)限申請紀(jì)。14.個人資之處為 ，應(yīng)存使用者身分與其為紀(jì)以供事後稽查?！酢酢跣栌凶糇C資。。15.含有個人資之紙本報表，其處及用為應(yīng)有適當(dāng)之授權(quán)、監(jiān)督，及記印、轉(zhuǎn)交等為?！酢酢跣栌凶糇C資016.交換個人資時，應(yīng)採取具備保密機(jī)制之傳遞方式?！酢酢跞纾簷C(jī)密之紙本文件需彌封，電子檔案則以私有網(wǎng)或加密傳送。17.交換個人資時，應(yīng)記轉(zhuǎn)交或傳輸為之向?！酢酢跣栌凶糇C資01&對於個人資之調(diào)閱，應(yīng)有申請及核準(zhǔn)程序?！酢酢跣栌凶糇C資019.對於個人資之調(diào)閱，應(yīng)記並保存調(diào)閱者身分及□□□需有佐證資0

稽核項次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符合適用蘭O為20.處個人資檔案之個人電腦 ,應(yīng)設(shè)置使用者帳號與密碼?！酢酢跣栌凶糇C資021.存放個人資之資庫，應(yīng)定期備份?！酢酢跣栌凶糇C資022.指定專人負(fù)責(zé)管儲存?zhèn)€人資檔案之資訊設(shè)備與其他相關(guān)設(shè)施，並檢視、處其錯誤或常事件等訊息?！酢酢跣栌凶糇C資023.儲存?zhèn)€人資之資訊設(shè)備，應(yīng)置放於實體安全區(qū)域（如：門禁控管之辦公區(qū)域、機(jī)房）?！酢酢跣栌凶糇C資024.儲存?zhèn)€人資檔案之磁碟、磁帶，及紙本等相關(guān)儲存媒體，應(yīng)置於實體保護(hù)之環(huán)境?！酢酢跣栌凶糇C資025.儲存?zhèn)€人資檔案之媒體，應(yīng)有攜出、拷貝或複製的管控機(jī)制，並存紀(jì)?！酢酢跣栌凶糇C資026.儲存?zhèn)€人資檔案之電腦或相關(guān)設(shè)備，如需報廢或移轉(zhuǎn)他用，應(yīng)刪除其所儲存之個人資檔案?！酢酢跣栌凶糇C資027.對於處個人資檔案之人員 ，應(yīng)施予資訊安全與個資保護(hù)之教育訓(xùn)?！酢酢跣栌凶糇C資02&處個人資檔案之人員職務(wù)動時 ，應(yīng)依規(guī)定冊□□□需有佐證資0

稽核項次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符臺適用移交相關(guān)儲存媒體及資。29.處個人資檔案之人員職務(wù)動時 ，接替人員應(yīng)於相關(guān)系統(tǒng)重設(shè)密碼，並視需要換使用者帳號?！酢酢跣栌凶糇C資0個人資置於電腦資訊系統(tǒng)者適用。30.處個人資檔案之人員，應(yīng)簽訂保密結(jié)書?！酢酢跣栌凶糇C資031.處個人資檔案之人員職或合約終止時時 ，應(yīng)依規(guī)定取消或停用其使用者帳號?！酢酢跣栌凶糇C資0個人資置於電腦資訊系統(tǒng)者適用。32.處個人資檔案之資訊系統(tǒng) ，應(yīng)將個人資檔案的安全需求納入系統(tǒng)開發(fā)考（如：輯測試） ?！酢酢跞纾和巧刹殚喭膫€資範(fàn)圍。程式開發(fā)才適用 O33.處個人資檔案的資訊系統(tǒng)之維護(hù)、新、上線、及版本動等作業(yè)，應(yīng)有安全管控措施?！酢酢醭淌降木S護(hù)、新、上線為外包委外廠商負(fù)責(zé)時才適用 O34.維護(hù)人員或系統(tǒng)服務(wù)廠商以遠(yuǎn)端登入方式進(jìn)牽涉?zhèn)€人資的資訊系統(tǒng)維護(hù)或其他有關(guān)之運(yùn)作時，應(yīng)透過加密通道進(jìn)（如：HTTPS、SSH等）?！酢酢跣栌凶糇C資035.處個人資檔案資訊系統(tǒng)之開發(fā) ，應(yīng)避免以真實個人資進(jìn)測試。如需使用，是否於完成測試作業(yè)後即移除 '或?qū)⒖杀嬷畟€人資修改為無法辨之模糊資訊?！酢酢醭淌介_發(fā)才適用。36.委外蒐集、處或用個人資之全部或一部份時'□□□本院之委外廠商'將標(biāo)案再委外給下包廠商執(zhí)

稽核項次稽核基準(zhǔn)稽核結(jié)果具體明：稽核結(jié)果勾選之明符合符臺適用應(yīng)於委外合約中載明所處之個人資保密義務(wù) 、資訊安全相關(guān)責(zé)任及違反之罰則。時，需於合約中載明所處之個人資保密義務(wù)、資訊安全相關(guān)責(zé)任及違反之罰則。37.訂定使用者存取權(quán)限岸註冊及岸註銷之作業(yè)程序?！酢酢鮽€人資置於電腦資訊系統(tǒng)者適用。3&使用者存取權(quán)限應(yīng)定期檢查（建議每個月-次），並移除久夫使用之使用者權(quán)限?！酢酢鮽€人資置於電腦資訊系統(tǒng)者適用。39.電腦的密碼長規(guī)定須超過6個字元?！酢酢鮽€人資置於電腦資訊系統(tǒng)者適用。40.電腦的密碼規(guī)定需有大小寫字母及字組成?！酢酢鮽€人資置於電腦資訊系統(tǒng)者適用。41.針對個人資被竊取、竄改、毀損、滅失或洩，制定事故通報機(jī)制?！酢酢跣栌惺鹿释▓蟪绦驎蛳嚓P(guān)規(guī)範(fàn)，跟據(jù)同的嚴(yán)重性定義同的通報等級。42.針對個人資被竊取、竄改、毀損、滅失或洩，制定事故應(yīng)變機(jī)制?！酢酢跣栌惺鹿蕬?yīng)變程序書或相關(guān)規(guī)範(fàn)。43.為符合事項再次發(fā)生，應(yīng)進(jìn)別、判斷原因、矯正措施審查及記結(jié)果等措施，並加以文件化。□□□44.為消除與個人資保護(hù)法規(guī)定之內(nèi)部控制措施要求潛在符合的原因，並防止其發(fā)生，進(jìn)別、決定預(yù)防措施、審查及記結(jié)果等措施，並加以文件化?！酢酢踽槍?1項項控制措施，出現(xiàn)符合或常事件時，需填寫相關(guān)表單（如：常事件通報單或矯正預(yù)防措施單），並做根因分析及預(yù)防再發(fā)生之做