-
目的
本政策發行之目的,係藉由一份書面化文件,說明所有個人資料保護與資訊安全政策(以下簡稱本政策)與管理項目(包括個資法、BS 10012、ISO27001 國際標準及控制目標要求),並提供相關佐證資料供查驗,做為確保本局個資保護與資通安全管理系統運作持續順暢之依據。
-
範圍
- 本政策範圍為本局及所屬各機關/單位之所有個人資料及資訊資產。
- 適用於本局及本局業務往來之相關機關(構)、廠商及第三方機構,所涉及個人資料之蒐集、處理利用等活動。
- 名詞定義
- 權責
- 總局個資、資安暨資訊服務管理組織召集人應定期審核本文件,核定後施行,修正時亦同。
- 各單位個資暨資安管理組織應配合本文件要求辦理。
- 作業內容
- 個資保護目標為符合相關法令及主管機關規範之原則,建立完善之個人資料管理制度,確保業務範圍內個人資料均妥善管理。
-
業務範圍內有關個人資料之蒐集、處理及利用之作業流程,應防止個人資料遭受竊取、竄改、毀損、滅失、洩漏或其他不合理之利用,
並善盡善良管理人之責任,以建立民眾信任基礎並維護當事人權益。
- 本局遵循個人資料、設備安全管理程序,確保個人資料安全性,尤其未成年人之資料。
- 未成年人之定義,依民法第12、13條規定,係指未滿20歲之無行為或限制行為能力人;依歐盟一般資料保護規則(GDPR)第八條規定,係指未滿16歲之兒童。
- 本局遵循個人資料蒐集、處理及利用管理程序,確保相關作業符合法令、法規之要求及例外適用情形,依特定目的之必要範圍,於適當、相關及不過度之前提下,以最小化原則辦理,並維持資料之正確性及即時更新。
- 制訂於法令、法規或其他適當之合法基礎允許前提下,將資料進行跨國境移轉之管理程序,管理程序應包含移轉前確認資料已經適當保護之作業方式。
- 制訂於適當時機,向歐盟個資主管機關提出個資保護說明或提供必要文件之作業程序。
- 制定受理當事人行使個人資料權利之處理及當事人客訴、提起法律權利及損害賠償等處理程序,尊重當事人資料查詢、閱覽、提供複製本、補充、更正、停止處理/利用、刪除、調閱等各項權利,確保公正、公平、合法、透明的資料處理方式及提供必要之資訊使當事人知悉。
- 制定個人資料事故預防、通報及應變管理程序。
- 定期進行個人資料管理稽核,確認管理制度運行狀況及個資相關作業所必要保存之相關紀錄、軌跡資料之完整性。
- 持續維護及改善個人資料管理制度,確保個資管理制度正常運作。
- 本局遵循個人資料保護法及其施行細則,並依實務作業執行以下事項:
- 本局應建立管理組織,界定個人資料管理相關責任及義務。
- 透過個人資料盤點、風險管理等程序,完善本局風險管理措施。
- 建立本局合法之個人資料蒐集、處理與利用程序等,符合個人資料保護法及其施行細則所要求之各項義務與責任。
- 本局辦理委外作業時,應考量個人資料管理相關要求,妥善監督受託廠商,並要求遵循本管理政策及相關規定。
- 本局應定期進行個人資料管理之內部稽核事項。
- 本局應建立有關個人資料事故管理等相關程序。
- 本局應重視並受理當事人就其個人資料依法行使之權利請求,並建置申訴管道、當事人提起法律權利及損害賠償之業務等處理程序。
- 本局應持續維護及改善已建立之個人資料管理制度,包含內外部利害關係者參與管理制度運作的程度。
- 本局應制定隱私權公告及網站隱私權聲明,內容包括有關本局對個人資料及隱私權之保護措施;網站隱私權聲明亦應公告於本局全球資訊網站。
- 本局及所屬各機關之個人資料保護暨資通安全政策目標訂定為「個資保護、全體動員,資通安全、人人有責」以期建立一個機密性、 完整性與可用性的個資保護與資通安全環境,並達成以下目標。
- 「資訊保護、全體動員」目標
- 落實資訊保護政策,確實遵守資訊存取與實體環境安全管理作業程序。
- 尊重智慧財產權,禁止安裝未經授權之電腦軟體,並對可攜式設備之使用嚴加管控。
- 全體共同攜手動員,確保監理資料妥適安全,防止任何侵害。
- 「資通安全、人人有責」目標
- 落實資通安全政策,加強資通安全教育宣導。
- 建立資通安全量測指標,評估資通安全運作成效,落實營運持續與管理改善。
- 嚴格遵守網路與通訊管理作業程序規定,防止各類惡意程式與電腦病毒入侵。
- 人人遵守資訊存取控制管理作業程序規定,避免資通安全人為疏失。
- 本政策之執行與管理
- 政策執行
- 為落實執行本政策,訂定本局各項個資及資通安全管理作業規定並「公告週知」,期能全體同仁一致遵循。
- 為檢視本政策的執行成效,每年應由總局管理代表檢視年度目標執行成果。
- 政策宣達
- 本政策節錄後,於「公路總局網站」對外公告。
- 本政策、作業程序書、員工個資及資安作業規定與年度資通安全量測指標等文件,於「公路總局e化中心」上公布與宣達,供本局同仁遵循。
- 政策審查與評估:
每年定期召開管理審查會,針對資安政策與年度量測指標的落實度加以審查與評估,以達系統持續管理改善之目的。
- 適用性聲明
依據ISO 27001 國際標準及控制目標要求及本局所建立之系統文件,提出「適用性聲明書」(COMM-POL-4003)來佐證系統之完整性與可用性。
- 資訊安全管理系統要求
- 一般要求:
在整體營運活動與其所面臨資通安全風險中,本局已建立、實作、運作、監視、審查、維持及改進已文件化之資訊安全管理系統。
- 資訊安全管理系統之建立與管理:
本局依據上級主管之要求、營運特性、ISO 27001 國際標準及控制目標要求,來建立本局之資訊安全管理系統。
- 驗證範圍參照「適用性聲明書」(COMM-POL-4003)。
- 依據本局所訂定之「資訊資產清查及風險評鑑作業程序書」(ISMS-IAM-2001),評估本局本次驗證範圍內資訊資產之風險,並對結果訂定可接受之風險等級。
- 資訊安全管理系統實施過程中,所選擇的控制目標與控制方法,經實際運作並提出佐證資料後證明有效。
- 適用性聲明中所選擇不適用之控制目標,均有適當之理由。
- 文件管制
- 所建立之資訊安全管理系統文件,均依照 ISO 27001 國際標準及控制目標要求編撰對應之作業程序書、風險評估報告與風險處理計畫。
- 資訊安全管理系統文件之制訂、增修、審核、識別、登錄、發行、使用、存檔、作廢等作業,依照「文件與記錄管理作業程序書」(COMM-DRM-2001)之規定執行。
- 資訊安全管理系統所產生的報表與紀錄之編號與保存年限
等,均配合前述規定進行。
- 管理階層責任
- 管理階層承諾
- 本局管理階層承諾下列事項。
- 確保個資暨資安政策已經建立。
- 確保 ISO 27001 國際標準及控制目標要求均已實施。
- 個資及資安管理系統之組織職掌與分工已成立並開始運作。
- 本政策宣達至相關單位與人員。
- 持續實施資訊資產風險管理、評估與改善。
- 制(修)訂風險評估後之可接受風險值(分數)。
- 提供充分資源,維持本系統持續改善與運作。
- 執行本系統之管理階層審查。
- 資源管理
- 資源提供
- 建立、實作、運作、監控、審查、維持及改進本系統。
- 確保已實施之個資及資安管理系統所有相關文件均保持其完整性與可用性。
- 與承包商簽訂之契約,皆已明訂個資及資安條款。
- 對所有已經實作的管控措施,提供最新的個資及資安資訊與技術持續改善。
- 對本系統稽核、審查發現之缺失,優先提供改進資源。
- 對任何可以改進本系統之有效性措施,提供適當改進資源。
- 訓練、認知及能力:
個資及資安管理系統之有關訓練、認知及能力需求等作業,依照「人力資源安全控制作業程序書」(COMM-HRM-2001)實施。
- 稽核
依照「內部稽核作業指導書」(COMM-IAP-3001)之規定,執行資通安全內部稽核。
- 管理階層審查
依照「管理審查作業程序書」(COMM-OMR-2001)之規定,
實施資通安全之管理階層審查。
- 資訊安全管理系統之改進
- 持續改進:
經由本政策執行、績效檢討、稽核實施與監控,加以分析並提出矯正與預防措施,經審查矯正與預防措施實施效果,作為持續改進本系統之依據。
- 矯正措施:
依照「矯正預防措施作業程序書」(COMM-CPP-2001)對本政策執行、績效檢討、稽核實施與事件監控時所發現之缺失,提出矯正措施加以改善。
- 預防對策:
依照矯正預防措施對本政策執行、績效檢討、稽核實施與監控時所發現之缺失,經改善後提出預防對策並加以規範。
- 參考文件
無。
- 附件
- 個人資料隱私權宣告與聲明(COMM-POL-4001)
- 線上隱私權聲明(COMM-POL-4002)
- 適用性聲明書(COMM-POL-4003)