個人資料保護實施手冊
國立臺灣海洋大學個人資料保護實施手冊
中華民國102年1月22日簽奉校長核定施行
第1條 | 國立臺灣海洋大學(以下簡稱本校)為嚴謹保密管理個人資料,依照本校訂「個人資料保護管理政策」之規定,訂定本手冊。 | |
第2條 | 適用對象:本校全體教職員工生。 | |
第3條 | 處理個資之資訊設備使用注意事項 | |
一、 | 處理個人資料檔案之資訊設備,需設置使用者帳號及密碼。 | |
二、 | 密碼應於每6個月更換一次,密碼長度應至少8碼,且包含文數字。 | |
三、 | 避免與他人共用電腦系統帳號。 | |
四、 | 採取權限區隔,非專責處理特定個人資料者不應具有存取或查閱個人資料之權限。 | |
五、 | 個人資料檔案應以安全的方式保護。 | |
六、 | 各單位自行訂定個人資料備份週期。 | |
七、 | 個人資料檔案使用完畢後,應立即退出應用程式。 | |
八、 | 使用者離開座位時,應鎖定螢幕操作介面或設定螢幕保護程式密碼。螢幕保護啟動時間應設定為10分鐘以內。 | |
九、 | 個人資料禁止存放於網路芳鄰分享目錄,並停用Guest帳號。 | |
十、 | 存放個人資料之資訊設備應安裝防毒軟體,除至少每日更新病毒碼外,並應每週執行排程掃瞄。 | |
十一、 | 存放個人資料之資訊設備應定期檢視、更新作業系統、應用程式漏洞。 | |
第4條 | 設備管理注意事項 | |
一、 | 應指定專人負責管理儲存個人資料檔案之軟硬體設備與其他相關設施等,並檢視、處理其錯誤或異常事件等訊息。 | |
二、 | 儲存個人資料之資訊設備應置放於實體安全區域(如:門禁控管之辦公區域、機房),避免有心人士或非授權人員存取。 | |
三、 | 儲存個人資料檔案之磁碟、紙本及其他相關儲存媒體,應指定專人管理,並置於實體保護之環境(如:上鎖之防潮箱、書櫃),必要時應建立備援機制,以防止資料損壞、遺失或遭竊取。相關儲存媒體非經權責單位同意並留存紀錄,不得任意攜出或拷貝複製。 | |
四、 | 外部團體或個人進入單位更新或維修電腦設備時,單位應指派專人在場,確保個人資料之安全及防止個人資料外洩。 | |
五、 | 儲存個人資料檔案之電腦或相關設備如需報廢或移轉他用時,應確實刪除該設備所儲存之個人資料檔案。 | |
六、 | 儲存個人資料之設備應每年定期盤點清冊,無保存之必要則銷毀之。 | |
第5條 | 人員管理注意事項 | |
一、 | 學校應對處理個人資料檔案之人員施予資訊安全與個資隱私保護之教育訓練(內、外訓皆可),並宣導個資隱私保護之重要性。 | |
二、 | 處理個人資料檔案之人員,其職務如有異動,應將所保管之儲存媒體及有關資料清冊移交,接辦人員除應於相關系統重置密碼外,應視需要更換使用者帳號。 | |
三、 | 處理個人資料檔案之人員,應簽訂保密切結書,並確認於離職時或合約終止時取消或停用其使用者帳號,且收繳其通行證及相關證件。 | |
四、 | 不使用即時通訊軟體傳輸個人資料檔案。 | |
五、 | 不使用外部網頁式電子郵件(Webmail)傳輸個人資料檔案。 | |
六、 | 禁止使用點對點(P2P)軟體及相關工具下載或提供分享檔案。 | |
七、 | 禁止在社群網站、部落格、公開論壇或其他利用網際網路形式公開業務所知悉之個人資料。 | |
第6條 | 系統開發與委外管理注意事項 | |
一、 | 自行開發或委外處理個人資料檔案之資訊系統,應在系統開發生命週期之初始階段,將個人資料檔案的安全需求納入考量。系統之維護、更新、上線、及版本異動等作業,應予安全管制,避免危害個人資料安全。 | |
二、 | 宜避免允許委外維護人員以遠端登入方式進行涉及個人資料的資訊系統維護或其他有關之運作;若需使用遠端登入方式進行維護,則應透過加密通道進行(如:HTTPS、SSH等)。 | |
三、 | 自行開發或委外處理個人資料檔案之資訊系統,應將個人資料(包含測試用個人資料)施予妥善之保護與控管。 | |
四、 | 個人資料檔案若委外建檔,應於委外合約中載明所處理之個人資料保密義務、資訊安全相關責任及違反之罰則。 | |
第7條 | 資料蒐集、傳遞、與銷毀 | |
一、 | 因學術研究或行政業務而必須蒐集個人資料時,需將相關資料造冊並定期進行個人資料盤點,其過程需符合各單位所訂定蒐集個人資料的標準作業程序並知會上級長官。 | |
二、 | 單位內部傳遞個人資料文件時,其程序依文書組公告為主。 | |
三、 | 提供校外機關個人資料前,應具有法源依據、遵循主管機關、或是契約規定,並於簽陳校長核准後傳遞。為避免造成資料外洩、遺失之風險,紙本及電子檔案應加密處理。 | |
四、 | 個人資料之電子檔案應刪除、消磁或重新格式化等足以完全消除或毀滅檔案內容之方法進行銷毀。 | |
五、 | 各單位紙本資料之銷毀需於造冊後由主管簽章,並由文書組統一銷毀。 | |
第8條 | 個人資料事件處理程序 | |
接獲個人資料外洩(投訴)事件時,除遵照下列處理程序外,得視狀況召開臨時會議,由副校長擔任召集人,其參與人員為各一級行政單位與教學單位主管。 | ||
一、 | 通報副校長與秘書室 | |
二、 | 相關業務單位檢視事件原因 | |
三、 | 相關業務單位進行補救作業 | |
四、 | 副校長視狀況召開臨時會議,會議內容包含: | |
(一) 相關業務單位進行匯報 | ||
(二) 釐清作業程序與責任 | ||
(三) 擬訂改善與預防措施,降低事件再次發生機會 | ||
第9條 | 本手冊經簽奉校長核定後施行。 |