個人資料保護暨資通安全政策
1. 目的
宜蘭縣政府警察局(以下簡稱本局)為強化個人資料保護及資通安全管理,確保機敏資訊、個人資料及相關系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,特訂定「個人資料保護暨資通安全政策」(以下簡稱本政策),本政策未規定事項依政府其他資通安全、個人資料保護法規辦理,以達成資訊之機密性、完整性、可用性與適法性,俾建立資通安全管理與個人資料保護機制,以強化資通安全防護水準。
2. 名詞解釋
本政策所稱資通安全係保護資訊資產避免遭受各種不當使用、洩漏、竄改、竊取、破壞等事故威脅,並降低可能影響及危害業務運作之損害程度。
2.1 機密性(Confidentiality)指確保只有經過授權的人才能存取資訊資產。
2.2 完整性(Integrity)指確保資訊資產其處理方法的準確性及完整 (Completeness)。
2.3 可用性(Availability)指確保授權的使用者在需要時,可以使用資訊資產。
2.4 適法性(Legality)符合本國相關法令規範。
3. 適用範圍
本政策適用於各項資通系統盤點(含個人資料資產)及其使用者,使用者係包含員工、建置維護廠商及其他經授權使用之人員。
4. 依據
本政策係依據「資通安全管理法」(簡稱資安法)及其子法、「個人資料保護法」(簡稱個資法)及其施行細則、行政院頒布「國家資通訊安全發展方案」等有關法令、計畫,參酌「資訊安全管理系統(ISO/CNS 27001)」及「隱私資訊管理系統(ISO/IEC 27701 )」,並考量本局業務需求,據以制訂。
5. 組織
為統籌個人資料保護及資通安全管理等事項之協調、規劃、稽核及推動,特成立跨單位之資通安全推動組織,幕僚作業由宜蘭縣政府計畫處(以下簡稱計畫處)負責,並依下列分工原則,配賦有關單位及人員權責。
5.1 個人資料保護分工
5.1.1 個人資料保護政策之擬議。5.1.2 個人資料管理制度之推展。
5.1.3 個人資料隱私風險之評估及管理。
5.1.4 個人資料保護意識提升及教育訓練計畫之擬定。
5.1.5 個人資料管理制度基礎設施之評估。
5.1.6 個人資料管理制度適法性與合宜性之檢視、審議及評估。
5.1.7 其他個人資料保護、管理之規劃及執行事項。
5.2 資通安全管理分工
5.2.1 資通安全政策、計畫及技術規範之研議、建置及評估等事項,由計畫處負責辦理。5.2.2 資通安全管理制度由計畫處統籌規劃,各業務單位落實執行。
5.2.3 資通系統之安全需求研議、管理、有效性量測及保護等事項,由各業務單位負責辦理。
5.2.4 資訊機密維護及安全稽核等事項,由政風處會同相關單位負責辦理。
6. 實施範圍
有關單位及人員應就下列事項訂定相關管理規範或實施計畫,並定期評估實施成效:
相關實施程序應另訂「YL-IMS-PR-02 資通安全實施程序書」。
7. 內容
7.1 個人資料保護
7.1.1 當事人依個資法第十條及第十一條第一項至第四項所定請求之考核。7.1.2 個資法第十一條第五項及第十二條所定通知之考核。
7.1.3 個資法第十七條所定公開或供公眾查閱。
7.1.4 個資法第十八條所定個人資料檔案安全維護事項督導。
7.1.5 執行個人資料保護意識提升及教育訓練。
7.1.6個資法法令之諮詢。
7.1.7公務機關間個人資料保護業務之協調聯繫。
7.1.8 單位內個人資料損害預防及危機處理應變之通報。
7.1.9 重大個人資料外洩事件之民眾聯繫單一窗口。
7.1.10 本局個人資料保護政策之執行、單位內個人資料保護之自行查核。
7.1.11 其他單位內個人資料保護管理之規劃及執行。
7.2 資通安全
7.2.1 導入資通安全管理制度或通過公正第三方驗證。7.2.2 有效管理資通系統資產,持續執行風險評鑑,並採取適當之防護措施。
7.2.3 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。
7.2.4 防護未經授權的修改以保護資訊及資通系統之完整性。
7.2.5 經授權之使用者當需要時能使用資訊及資通系統,以確保可用性。
7.2.6 評估各種人為或天然災害之影響,訂定核心資通系統之業務持續計畫,以確保核心業務可持續運作。
7.2.7 落實資通安全教育訓練,以提高員工之資安意識。
7.2.8 落實人員辦理業務涉及資通安全事項之獎懲機制。
8. 實施與修正
8.1 本政策每年應至少評估一次,以反映政府機關各項安全政策、法令、技術及業務之最新狀況。