★
同仁對行為規範「處理」、「利用」和「揭露」不清楚…..
本校內稽後發現的問題. . .
1 / 3★
個資漏盤,有檔案資料未盤入清冊★
保存期限:超過保存期限,不敢進行銷毀;對保 存期限之設定不清楚…非經同意,請勿任意轉載!
★
個資範圍同仁對個資範圍不清楚,有些表單欄位的個資沒 有列入、有些單位將法人的部份也列入本校內稽後發現的問題. . .
2 / 3★
保有依據的誤植學術單位個資保有依據大多寫大學法….★
個資盤點清冊各單位會互相參考,有些單位連同 單位名稱忘了修改非經同意,請勿任意轉載!
★
同仁對行為規範「處理」、「利用」和「揭露」不清楚…..
本校內稽後發現的問題. . .
3 /3★
個人資料處理與利用作業的保全:日常檔案的備份…
寄送含有個資之電子檔案未加密…
使用非公務電腦(個人NB…)是否就不須”保護”
★
單位之實習生、工讀生…未簽保密切結書非經同意,請勿任意轉載!
本校外稽後被提列的問題...
次要不符合事項• B.4.1.1個人資料清冊:個資盤點作業應將既有個資處理作業與其過程所需收集之佐證資料納 入考量
– 各單位應重新檢視「ISMS-04-064個資盤點清冊暨風險評鑑表」將其處理作業依其檔案格式(電子檔、
紙本及資料庫)分開呈現;另原生表單需有佐證資料時仍須將蒐集之個資表單或檔案欄位列入
• B.5.2.2告知或同意作業程序:相關個資蒐集作業應加強告知事項之聲明
– 各單位辦理各項研習活動需另外蒐集當事人個資時,應依附錄B個人資料管理規範B.5.2.1告知事項 及「ISMS-P3-001行政業務處理個人資料作業規範」5.2辦理。
– 進行個人資料蒐集與告知作業時,應明確告知當事人相關資訊或透過圖書資訊處規劃之「研習活動 報名網」於報名前進行告知聲明
• B.8.1.1資料保存與銷毀程序:單位應加強與識別個資保存期限與過期個資銷毀作業
– 各單位應重新檢視「ISMS-04-064個資盤點清冊暨風險評鑑表」,依『保有依據』法律、行政規章等 所訂定之保存期限或『參考』國家發展委員會檔案管理局所訂之『機關共通性檔案保存年限基準 (GRS)-20大專校院類』,以識別出個資的『保存年限』。
– 個人資料檔案因特定目的消失、個人資料之當事人行使「請求刪除」權利及保存年限屆滿時,應定 期(每年)審視,如需辦理刪除個資(包括紙本及電子檔)時,應詳實將相關資訊正確註記於「ISMS-04-069個人資料刪除/銷毀/返還清冊」
非經同意,請勿任意轉載!
本校外稽後被提列的問題...
觀察事項• B.7.1.2 相關且不過度管理:宜在考量業務流程所需佐證留存之必要性,避免過度蒐集
– 為避免過度蒐集,請各單位重新審視業務流程佐證資料留存之必要性,並依「ISMS-P3-001行政業務處理個人資 料作業規範」5.2個人資料蒐集與告知作業(5.2.5)辦理,業務作業需蒐集政府證件如身分證、健保卡、駕駛執照等,
驗畢後即歸還,如需保留複本或傳送至外部辦理機構,應加註使用目的,並僅能用於特定業務
• B.10.1.1個人資料控管措施:宜考量外部人員遠端連線處理敏感資料個人電腦之風險評估
– 遠端連線處理之使用為當今資訊環境支援上無法避免之應用,將於管理程序上進行必要之規劃,同時要求同仁 需使用遠端連線作業予非校內同仁/單位時,應全程監督與記錄
– ISMS-04-077-委外廠商遠端連線操作紀錄表
• B.10.1.3安全控制措施審查:宜考量重要個資保存環境之安全性
本校外稽後被提列的問題...
觀察事項• B.3.1.1政策認知訓練:宜再加強個資政策、管理程序相關之訓練
– 圖資處針對個資管理相關作為於106年8月至106年11月止,已進行至少三次課程之研習,對於 同仁之認知訓練已盡力,未來將協請人事室及稽核室進行教育訓練有效性查核
• B.10.1.1個人資料控管措施:部分處室個資料備份作業宜再加強
– 相關行政單位同仁於本校每季要求之電腦安全自我檢查表送交時皆對於備份作業都勾記“已 完成”,於實際稽核時卻都沒有進行相關必要作為之執行,本案未來將交由稽核室協助查核
• B.12.1.1委外管理程序:宜再識別委外廠商與外部單位之個資要求事項
– 對於合約之委外安全要求事項,除要求合約簽定業務單位必須落實相關條款外,亦將協請總 務單位於採購合約審查時協助確認相關要求事項是否已書明,同時協請稽核室針對各單位委 外合約進行不定時抽查