个人资料保护委外监督政策
本公司委托他人搜集、处理或利用个人资料时,应对委外厂商依个人资料保护法施行细则第8条规定为适当之监督,并于委托契约或相关文件中,明确约定其内容。包含:
- 预定搜集、处理或利用个人资料之范围、类别、特定目的及其期间。
- 委外厂商采取措施:
- 配置管理之人员及相当资源。
- 界定个人资料之范围。
- 个人资料之风险评估及管理机制。
- 事故之预防、通报及应变机制。
- 个人资料搜集、处理及利用之内部管理程序。
- 数据安全管理及人员管理。
- 认知倡导及教育训练。
- 设备安全管理。
- 数据安全稽核机制。
- 使用纪录、轨迹数据及证据保存。
- 个人资料安全维护之整体持续改善。
- 契约中其他指定事项。
- 有复委托时,本公司之委外厂商应监督受其受托之业者。
- 委外厂商或其受雇人违反个资法、数字经济相关产业个人资料档案安全维护管理办法、其他个人资料保护法律或其法规命令时,应向本公司通知之事项及实行之补救措施。
- 委托关系终止或解除时,个人资料载体之返还,及委外厂商履行委托契约以储存方式而持有之个人资料之删除。
- 采购组负责 每1年 至少一次定期抽查确认委外厂商执行之状况,并详实纪录。如有委托资服业者进行个人资料搜集、处理及利用之业务时,应依「个人资料保护法施行细则」第8条、「数字经济相关产业个人资料档案安全维护管理办法」第19条第1项负监督委外厂商义务,并请协助其填写附录:业者个人资料搜集、处理及利用之委外业务监督管理自评表。
附录:业者个人资料搜集、处理及利用之委外业务监督管理自评表
业者委托资服业者进行个人资料搜集、处理及利用之业务时,应依「个人资料保护法施行细则」第8条、「数字经济相关产业个人资料档案安全维护管理办法」第19条第1项负监督委外厂商义务。
受托厂商名称:________________________(委外厂商资服业者填写)
自评人员:___________________
自评日期:_________年_________月_________日
| 项次 | 自评内容 | 自评结果 | 说明 |
|---|---|---|---|
| 个资保护政策与安全维护计划 | |||
| 1 | 是否订定个人资料保护管理政策,并对内公开周知? | □符合 □不符合 □不适用 | |
| 2 | 是否订定个人资料档案安全维护计划或适当安全维护措施或建置通过第三方验证之信息安全管理系统并公布施行? | □符合 □不符合 □不适用 | |
| 个人资料生命周期行为规范 | |||
| 3 | 对于个人资料之搜集、处理或利用之范围、类别、特定目的与期间是否明确律定? | □符合 □不符合 □不适用 | |
| 4 | 对于个人资料之搜集、处理、利用、传输或删除,是否订定管理作业程序并公布施行? | □符合 □不符合 □不适用 | |
| 个人资料盘点与风险管理 | |||
| 5 | 对所保有之个人资料,是否定期实施个人资料盘点作业? | □符合 □不符合 □不适用 | |
| 6 | 是否适时维护或更新个人资料档案清册? | □符合 □不符合 □不适用 | |
| 7 | 是否定期实施个人资料风险评鉴作业? | □符合 □不符合 □不适用 | |
| 8 | 对于个人资料风险评鉴结果,是否考虑业务性质、个人资料存取环境、个人资料传输之工具与方法及个人资料之种类、数量等因素,采取适当之人员、作业、设备及技术之安全管理措施? | □符合 □不符合 □不适用 | |
| 人员管理 | |||
| 9 | 是否订定人员管理作业程序并公布施行? | □符合 □不符合 □不适用 | |
| 10 | 是否定期对内部人员实施资安认知倡导及教育训练? | □符合 □不符合 □不适用 | |
| 11 | 执行个人资料搜集、处理及利用之人员,是否取得资通安全专业证照? | □符合 □不符合 □不适用 | |
| 日常维运作业 | |||
| 12 | 是否定期识别、审视防火墙、主机系统、数据库等重要设备之异常告警机制并留存至少5年之LOG? | □符合 □不符合 □不适用 | |
| 13 | 系统异动或登入是否取得授权? | □符合 □不符合 □不适用 | |
| 14 | 是否进行系统运作与维护之需求评估,并依此建立适当的系统安全检测机制? | □符合 □不符合 □不适用 | |
| 15 | 是否依据各项变更之需求进行变更作业程序,并留存相关纪录? | □符合 □不符合 □不适用 | |
| 16 | 是否依据系统各项目标与需求,研拟适当的防护措施检核表? | □符合 □不符合 □不适用 | |
| 17 | 是否要求委外厂商定期提出系统安全之风险评估报告? | □符合 □不符合 □不适用 | |
| 内部稽核 | |||
| 18 | 是否定期实施信息安全或个人资料保护之内部稽核并提出稽核报告? | □符合 □不符合 □不适用 | |
| 19 | 稽核结果若有不符合法令或有违法之虞或缺失者,是否规划采取包含修正个人资料保护管理政策及个人资料档案安全维护计划之改善及预防措施? | □符合 □不符合 □不适用 | |
| 资安事故通报与应变 | |||
| 20 | 是否订定资安事故之通报及应变程序,包含知悉资安/个资事故发生或有发生之虞之相关通报时效规定、通报方式、事故调查、处理及改善流程并公布施行? | □符合 □不符合 □不适用 | |
| 21 | 是否订定违反个人资料保护法、其他个人资料保护法律或其法规命令时之通知之事项及实行之补救措施作业程序并公布施行? | □符合 □不符合 □不适用 | |
| 受托业务之复委托选任与监督 | |||
| 22 | 受托业务之复委托事项,是否经委托机关之书面同意后实施? | □符合 □不符合 □不适用 | |
| 23 | 是否订定委托之标准及评估机制并公布施行? | □符合 □不符合 □不适用 | |
| 24 | 是否于委托契约或相关文件中明确约定适当之个人资料保护有关事项之监督方式,并留存监督之纪录? | □符合 □不符合 □不适用 | |
| 委托关系终止或解除 | |||
| 25 | 是否订定委托关系终止或解除时,个人资料载体之返还,及履行委托契约以储存方式而持有之个人资料之删除作业程序并公布施行? | □符合 □不符合 □不适用 | |
| 文件化 | |||
| 26 | 是否对于个人资料之搜集、处理、利用、国际传输或删除均留存使用纪录或轨迹数据? | □符合 □不符合 □不适用 | |