By: Elaine Posted date: 上午11:56:00 Comments: 0
-
1
次要缺失9次
B.4.1.1
個人資料清冊~清查並維護個人資料清冊
-
2
次要缺失8次
B.8.1.1
資料保存與銷毀程序~訂定管理程序,以確保個人資料保存與銷毀要求的落實
-
3
次要缺失6次
B.10.1.1
個人資料控管措施~設定並審查個人資料蒐集、處理、儲存、傳輸與存取監控的安全控制措施或科技。
-
4
次要缺失2次
柒、六、(二)
內部稽核
1.施行單位應定期(至少每年一次)執行一次內部稽核,以確認單位與人員是否遵循本規範與單位管理程序要求,並有效實作及維持管理制度。ISMS施行單位可連結附錄A.18遵循性執行。
2.稽核程序應包括頻率、方法、職責、規劃要求事項及報告。稽核計畫應包含適用範圍內核心業務與高風險個人資料流程或系統,並將前次稽核之結果納入考量。
3.稽核員應受適當培訓並具備稽核能力,且不得稽核自身經辦業務,以確保稽核過程之客觀性及公平性。
4.稽核結果應對相關管理階層報告,留存相關紀錄以作為稽核計畫及稽核結果之證據。
-
5
次要缺失3次
B.5.2.1
告知事項
告知事項應符合個人資料保護法令要求。
-
1
觀察事項28次
B.10.1.1
個人資料控管措施
設定並審查個人資料蒐集、處理、儲存、傳輸與存取監控的安全控制措施或科技
-
2
觀察事項12次
B.8.1.1
資料保存與銷毀程序~訂定管理程序,以確保個人資料保存與銷毀要求的落實
-
3
觀察事項9次
B.4.1.1
個人資料清冊
清查並維護個人資料清冊
-
4
觀察事項2次
柒、三、(二)
建立風險管理程序
應參考「資訊系統分級與資安防護基準作業規定」,鑑別適用範圍內資訊系統之安全等級,其安全等級應採鑑別結果最高者,應執行風險評鑑與處理流程。風險評鑑與處理流程建立應符合下列要求事項:
1.建立與維持風險準則
包含風險評鑑執行時機與方法,以及風險接受準則,以確保重複之風險評鑑能產生一致、有效及可比較之結果。
2.識別、分析並評估風險
識別管理制度適用範圍內涉及資訊洩漏之機密性、完整性、可用性與適法性相關聯之風險與風險擁有者。
所識別之風險可能導致之潛在後果與發生的實際可能性,並將所建立之風險準則與風險分析結果進行比較,訂定風險處理優先順序。
3.選擇風險處理措施
考量風險評鑑結果,選擇適切之風險處理選項,並依選項決定所有必須實作之控制措施;
4.產生或評估適用性聲明書(資訊安全風險處理使用)
執行資訊安全風險評鑑時,應依據資訊資產分級結果重現檢視比較現有控制措施及附錄A,確認未忽略必要之控制措施,並產生或評估適用性聲明書,包括必要之控制措施,且不論是否實作,提供納入或排除之理由;
5.制訂風險處理計畫並取得核准
制訂風險處理計畫,並取得風險擁有者對風險處理計畫之核准,以及對剩餘風險之接受。
-
5
觀察事項3次
柒、四、(四)
文件化資訊
管理制度文件化資訊應滿足下列要求:
1.施行單位之管理制度文件應包括本規範要求之文件化資訊,及施行單位要求管理制度為達成其有效性之文件化資訊與作業紀錄。
2.制訂及更新應遵循既有文件管理程序,進行審查及核准。
3.管控文件化資訊派送、存取、檢索、使用、儲存與保存、變更管制、留存及屆期處置,並適切保護。
4.施行單位應識別對管理制度規劃及運作必要之外部文件。
-
6
觀察事項3次
B.12.1.2
委外協議要項
於協議載明委外要求,以管理委外機構
-
7
觀察事項3次
B.7.1.2
相關且不過度管理
個人資料的蒐集與使用相關且不過度審查
-
8
觀察事項3次
柒、六、(一)
監督、量測、分析及評估
1.施行單位應針對已施行之常態性作業流程或控制措施建立監督機制,如機房管理、網路管理作業審查等。
2.對於本次異動管理目標,以及風險處理措施設定有效性量測指標,並界定明確計算方式與資料來源、量測人員、週期與時間點,以及分析及評估量測結果之人員、週期與時間點。
-
9
觀察事項5次
B.5.2.1
告知事項
告知事項應符合個人資料保護法令要求。
-
10
觀察事項5次
B.5.2.2
告知或同意作業程序
訂定管理程序,以確保告知作業之執行及執行證據保存
沒有留言: