中華民國105年4月6日文資字第1053009700號函訂定
一、共同政策
(一)持續改善
訂定本部及各單位標準化之相關規範、作業準則,經由本部政策、目標、稽核、資料分析、矯正、風險管理和管理審查的運用,並以建立、實施、制定與審查(PDCA,Plan/Do/Check/Act)持續改進之方法論建置內部之標準化管理制度,以利於「標準」之管理系統有效性的持續改善。
(二)管理審查
「文化部資訊服務及安全暨個人資料管理推動會」每年至少進行一次「標準」之管理審查,檢視標準化政策之執行及落實狀況,以確保本部及各單位服務管理、資訊安全暨個資管理之標準化政策及措施之有效性及適宜性,並符合本部及各單位服務、資訊安全要求及個人資料保護相關法令及主管機關之要求。
(三)資源提供
為確保國際標準管理系統之落實,本部及各單位應提供相關資源,並分配適當權責。
(四)教育訓練
建置本部及各單位教育訓練計畫,對本部及各單位人員進行定期或不定期之教育訓練,並應公告服務管理、資訊安全及個人資料保護之重要性及宣導關於國際標準管理系統之權責與義務。
(五)績效指標
為確認本部及各單位策略及目標之有效性,利用量化指標之管理落實本政策:
1.訂定服務管理系統目標,並依其制訂服務管理績效指標。
2.訂定資訊安全管理系統目標,並依其制訂資訊安全管理績效指標。
3.訂定個人資訊管理系統目標,並依其制訂個人資料保護管理績效指標。
二、服務管理政策
配合本部宗旨及相關政策之推動,建立與實施服務管理系統,以提供穩優準之高品質資訊服務,包含:
(一)服務管理目標的框架。
(二)組織內部溝通和宣導服務管理政策的機制。
(三)服務管理政策持續適宜性的審查機制。
(四)提高客戶滿意為目標的服務管理機制,以確保客戶的要求被滿足。
三、資訊安全政策
(一)建立符合本部策略、風險、法令、法規及契約要求的資訊安全目標。
(二)建立資訊安全風險管理機制,並以此為基礎(決策的依據)規劃並建立符合ISO 27001之資訊安全管理系統,以控制資安之異常與偏差,達成資安目標。
(三)處理機密等級(含)以上作業,應遵循嚴謹之實體隔離措施。
(四)確保本部及各單位資訊之機密性、完整性及可用性。
四、個人資料保護政策
(一)應符合個資相關法令、主管機關規範及BS 10012之原則,以合理、安全、公平與合法地之方式,於合法特定目的範圍內,蒐集、處理(含保存)及利用最小需求個人資料,並確保業務範圍內之個資均妥善地被管理、維護與執行,同時個人資料保護法所允許之例外情形亦同。
(二)維護個人資料清冊,並定期進行個人資料的風險評估,並依據評估結果訂定改善計畫與選擇適當的安全控制措施,以使用可期待之合理安全水準技術保護個人資料檔案,並建立相關保存期限,俾符合個資法及相關法令要求。
(三)確保個人資料的正確性,並於必要時進行更新。
(四)尊重個資當事人行使個資法所賦予之「當事人權利」,並建立相關程序,以供當事人行使關於個人資料之相關申訴與諮詢。
(五)針對本部及各單位業務範圍內有關個資蒐集、處理及利用之作業流程,應確保其所有個人資料的安全,防止個資遭受竊取、竄改、毀損、滅失、洩漏及其他不當或違法之利用,並善盡善良管理人之義務。
(六)將個人資料做國際傳輸時,應確保其具良善保護之機制。
(七)建立與實施個人資訊管理系統,以辨別所有利害關係者(含內外部)及其參與PIMS 治理與運作的程度,來明確界定所有利害關係者之責任與義務,並確認個人資料保護政策的實行。