| 陸、個人資料檔案安全維護 |
|
二十七、為防止個人資料被竊取、竄改、毀損、滅失或洩漏,本局指定之
個人資料保護專責人員,應依本要點及相關法令規定辦理個人資
料檔案安全維護事項。
|
|
二十八、個人資料檔案,應建立管理制度,分級分類管理,並針對接觸人
員建立安全管理規範。本局所保有之各類個人資料檔案一般性安
全管理規範如下:
(一)文書檔案室內之個人資料檔案:應依檔案法暨相關法令規定
管理之。
(二)各單位倉庫內之個人資料檔案:應指定專人,針對人員及資
料之進出管理之。
(三)各單位各自保有之個人資料檔案
1.各類文書應依行政院訂頒之「文書處理手冊」文書保密規
定管理之。
2.保管人員應善盡保管責任,每次下班或外出時,應妥為收
藏,以免資料外洩或遺失。
3.欲作廢之個人資料檔案,除撕毀或碎裂外,應集中定期銷
毀之。
(四)個人資料檔案資訊系統:應依本局資訊安全管理系統(ISMS
)相關作業規定管理之。
為確保個人資料檔案之安全維護,各單位得視業務屬性,另行自
訂制度及管理規範。
|
|
二十九、為符合本法之要求,於辦理個資安全維護事項前有效鑑別所擁有
之個人資料檔案及建立個人資料之風險評估及管理機制,依本局
「個人資料風險評鑑管理程序書」鑑別個人資料的價值,並定期
與不定期重新進行風險評鑑,以鑑別風險之變化與新風險的產生
。 |
|
三十、為強化個人資料檔案資訊系統之存取安全,防止非法授權存取,維
護個人資料之隱私性,應建立個人資料檔案安全稽核制度,除由各
單位內部自行稽核外,另由本局個人資料保護稽核小組(即本局資
訊稽核小組成員)定期稽核,並將稽核結果提報本局個資執行小組
會議。
前項個人資料檔案資訊系統之帳號、密碼、權限管理及存取紀錄等
相關管理事宜,依本局「系統安全管理作業說明書」、「帳號安全
管制作業說明書」及「網路管理作業說明書」辦理。
第一項個人資料檔案安全稽核之運作組織、稽核頻率及稽核所應注
意之相關事項,依本局資訊安全管理系統(ISMS)相關作業辦理。 |
|
三十一、各單位人員遇有個人資料檔案發生遭人惡意破壞毀損、作業不慎
等危安事件,或有駭客攻擊等非法入侵情事,如屬非資訊面之個
人資料外洩事件,應進行緊急因應措施,並應填寫「個人資料事
件通報紀錄處理單」(如附表一),迅速簽會政風室並陳報本局
個資執行小組召集人,惟影響多數納稅義務人權益及本局組織運
作者,政風室應即陳報啟動本局危機處理小組;如屬資訊面之個
人資料外洩事件,應依本局「營運持續管理程序書」及「資訊安
全事件管理作業程序書」辦理。相關事件處理完竣後,各單位專
責人員應提報本局個資執行小組會議。 |