資料處理中
本政策發行之目的,係藉由一份書面化文件,說明所有個人資料保護與資訊安全政策(以下簡稱本政策)與管理項目(包括個資法、BS 10012、ISO27001 國際標準及控制目標要求),並提供相關佐證資料供查驗,做為確保本局個資保護與資通安全管理系統運作持續順暢之依據。
每年定期召開管理審查會,針對資安政策與年度量測指標的落實度加以審查與評估,以達系統持續管理改善之目的。
依據ISO 27001 國際標準及控制目標要求及本局所建立之系統文件,提出「適用性聲明書」(COMM-POL-4003)來佐證系統之完整性與可用性。
個資及資安管理系統之有關訓練、認知及能力需求等作業,依照「人力資源安全控制作業程序書」(COMM-HRM-2001)實施。
依照「內部稽核作業指導書」(COMM-IAP-3001)之規定,執行資通安全內部稽核。
依照「管理審查作業程序書」(COMM-OMR-2001)之規定, 實施資通安全之管理階層審查。
經由本政策執行、績效檢討、稽核實施與監控,加以分析並提出矯正與預防措施,經審查矯正與預防措施實施效果,作為持續改進本系統之依據。
依照「矯正預防措施作業程序書」(COMM-CPP-2001)對本政策執行、績效檢討、稽核實施與事件監控時所發現之缺失,提出矯正措施加以改善。
依照矯正預防措施對本政策執行、績效檢討、稽核實施與監控時所發現之缺失,經改善後提出預防對策並加以規範。
無。