个人资料保护与管理稽核查检表

委外廠商個人資安全維護自評表（範）■-般□敏感□密 文件編號：PIMS-4-007版本：V1 紀編號：稽核項次稽核基準稽核結果具體明：稽核結果勾選之明符合符合適用1.機關已成個人資管組織，並配置相當資源。□□□由總經、相關主管及承辦人員成個資管小組。2.有文件或記，顯示管階層對個人資保護法規定之內部控制措施建、實作、運作、監視、審查、維持與改進之承。□□□需有「個人資保護政策」之明書，並於內部公告。內部控制措施包含以下：一、 配置管之人員及相當資源。二、 界定個人資之範圍。三、 個人資之風險評估及管機制。四、 事故之預防、通報及應變機制。五、 個人資蒐集、處及用之內部管程序。、資安全管及人員管。七、 認知宣導及教育訓。八、 設備安全管。九、 資安全稽核機制。十、必要之使用紀、軌跡資及證據之保存。

稽核項次稽核基準稽核結果具體明：稽核結果勾選之明符合符合適用十-、個人資安全維護之整體持續改善O3.管階層已依規劃的期間（至少一一次），審查個人資保護法規定之內部控制措施，以確保其持續的適用、適性及有效性。□□□個資管小組每至少進一次個資議題，進開會討，並執相關審查及矯正預防措施。 （需有會議、紀做佐）4.管階層審查包含個人資保護法所要求之內部控制措施0□□□個資管小組會議需包含11項控制措施之執報告O5.針對機關內的個人資檔案，已有清冊，以界定個人資之範圍。□□□具備個人資清冊盤點表，並已造冊管。6.已定義個人資風險評估的方法 。含書面的風險評鑑方法、風險評鑑報告及風險處計畫O□□□需有風險評估相關之程序書或規範。需包含鑑定風險之方法，如：需有個資資產價直等級、威脅等級、脆弱性等級，計算出風險直及可接受之風險直。7.定期產生個人資風險評估之報告。□□□每至少一次風險評估，並有記可查。&組織確定風險接受之標準與可接受風險之等級，並皆由管階層核定之。□□□風險評估相關之程序書或規範，需規定可接受風險之等級，並由管階層核定（上述程序書需由管階層核可）9.評鑑出可低風險之控制措施。□□□依風險評估報告，選定高風險之個人資，進相關低風險控制措施。（如：個資相關文件置放於上鎖文件櫃，低遺失風險）

稽核項次稽核基準稽核結果具體明：稽核結果勾選之明符合符合適用10.對於需要控管之風險，已依重要性決定其處之優先順序。□□□風險評估報告需包含超出可接受風險直之資產，再決定其改善之優先順序。11.制定風險處計畫，並根據該計畫導入控制措施以低風險。□□□可舉風險改善措施，如：發現消防設施足，需進相關消防工程。12.針對個人資蒐集、用，制定管控機制。□□□需舉證對個人資蒐集、用之管，如：個資之蒐集、用是否在特定目的之內且經授權並有紀可查。13.個人資之處為，應經權責單位核准，釐定使用範圍及調閱、存取權限。□□□需有帳號權限清查及權限申請紀。14.個人資之處為 ，應存使用者身分與其為紀以供事後稽查。□□□需有佐證資。。15.含有個人資之紙本報表，其處及用為應有適當之授權、監督，及記印、轉交等為。□□□需有佐證資016.交換個人資時，應採取具備保密機制之傳遞方式。□□□如：機密之紙本文件需彌封，電子檔案則以私有網或加密傳送。17.交換個人資時，應記轉交或傳輸為之向。□□□需有佐證資01&對於個人資之調閱，應有申請及核准程序。□□□需有佐證資019.對於個人資之調閱，應記並保存調閱者身分及□□□需有佐證資0

稽核項次稽核基準稽核結果具體明：稽核結果勾選之明符合符合適用兰O為20.處個人資檔案之個人電腦 ,應設置使用者帳號與密碼。□□□需有佐證資021.存放個人資之資庫，應定期備份。□□□需有佐證資022.指定專人負責管儲存個人資檔案之資訊設備與其他相關設施，並檢視、處其錯誤或常事件等訊息。□□□需有佐證資023.儲存個人資之資訊設備，應置放於實體安全區域（如：門禁控管之辦公區域、機房）。□□□需有佐證資024.儲存個人資檔案之磁碟、磁帶，及紙本等相關儲存媒體，應置於實體保護之環境。□□□需有佐證資025.儲存個人資檔案之媒體，應有攜出、拷貝或複製的管控機制，並存紀。□□□需有佐證資026.儲存個人資檔案之電腦或相關設備，如需報廢或移轉他用，應刪除其所儲存之個人資檔案。□□□需有佐證資027.對於處個人資檔案之人員 ，應施予資訊安全與個資保護之教育訓。□□□需有佐證資02&處個人資檔案之人員職務動時 ，應依規定冊□□□需有佐證資0

稽核項次稽核基準稽核結果具體明：稽核結果勾選之明符合符台適用移交相關儲存媒體及資。29.處個人資檔案之人員職務動時 ，接替人員應於相關系統重設密碼，並視需要換使用者帳號。□□□需有佐證資0個人資置於電腦資訊系統者適用。30.處個人資檔案之人員，應簽訂保密結書。□□□需有佐證資031.處個人資檔案之人員職或合約終止時時 ，應依規定取消或停用其使用者帳號。□□□需有佐證資0個人資置於電腦資訊系統者適用。32.處個人資檔案之資訊系統 ，應將個人資檔案的安全需求納入系統開發考（如：輯測試） 。□□□如：同角色可查閱同的個資範圍。程式開發才適用 O33.處個人資檔案的資訊系統之維護、新、上線、及版本動等作業，應有安全管控措施。□□□程式的維護、新、上線為外包委外廠商負責時才適用 O34.維護人員或系統服務廠商以遠端登入方式進牽涉個人資的資訊系統維護或其他有關之運作時，應透過加密通道進（如：HTTPS、SSH等）。□□□需有佐證資035.處個人資檔案資訊系統之開發 ，應避免以真實個人資進測試。如需使用，是否於完成測試作業後即移除 '或將可辨之個人資修改為無法辨之模糊資訊。□□□程式開發才適用。36.委外蒐集、處或用個人資之全部或一部份時'□□□本院之委外廠商'將標案再委外給下包廠商執

稽核項次稽核基準稽核結果具體明：稽核結果勾選之明符合符台適用應於委外合約中載明所處之個人資保密義務 、資訊安全相關責任及違反之罰則。時，需於合約中載明所處之個人資保密義務、資訊安全相關責任及違反之罰則。37.訂定使用者存取權限岸註冊及岸註銷之作業程序。□□□個人資置於電腦資訊系統者適用。3&使用者存取權限應定期檢查（建議每個月-次），並移除久夫使用之使用者權限。□□□個人資置於電腦資訊系統者適用。39.電腦的密碼長規定須超過6個字元。□□□個人資置於電腦資訊系統者適用。40.電腦的密碼規定需有大小寫字母及字組成。□□□個人資置於電腦資訊系統者適用。41.針對個人資被竊取、竄改、毀損、滅失或洩，制定事故通報機制。□□□需有事故通報程序書或相關規範，跟據同的嚴重性定義同的通報等級。42.針對個人資被竊取、竄改、毀損、滅失或洩，制定事故應變機制。□□□需有事故應變程序書或相關規範。43.為符合事項再次發生，應進別、判斷原因、矯正措施審查及記結果等措施，並加以文件化。□□□44.為消除與個人資保護法規定之內部控制措施要求潛在符合的原因，並防止其發生，進別、決定預防措施、審查及記結果等措施，並加以文件化。□□□針對11項項控制措施，出現符合或常事件時，需填寫相關表單（如：常事件通報單或矯正預防措施單），並做根因分析及預防再發生之做