教育机构资安验证中心稽核查检表.doc

驗證申請單位： 驗證地址： 驗證標準： （中華民國年月30日版） 驗證標準： 驗證範圍：  項目 控制措施 文件名稱、章節出處或紀錄名稱 自評結果 參、隱私權政策 要求事項(3.1) 涉及PII處理之組織的高階管理階層，應依營運要求及相關法律與法規，建立隱私權政策，提供隱私權保護之管理指導方針及支持。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.1 隱私權政策應如下： －合於組織目的。 －提供設定目標之框架(包含管理委員會之組成、職掌、召開時機；；； －包括滿足適用之隱私保全要求事項的承諾。 －包括持續改善之承諾。 －於組織內傳達。 －公眾(或相關各方)可適時且容易取得。 (符合 (不符合 (部分符合 (不適用 控制措施 3. 1.2 組織應以書面載明其隱私權政策。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.3 隱私權政策應依規劃之期間或發生重大變更時審查，以確保其持續的合宜性、適切性及有效性。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.4 隱私權政策應依不同隱私權利害相關者，補充更詳細之PII處理規則及義務(例：特定部門或員工之程序)。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.5 隱私權政策應載明， (符合 (不符合 (部分符合 (不適用 控制措施 3.1.6 內部隱私權政策應載明組織採用之目標、規則、義務、懲處規定、限制及/或控制措施，以滿足與其PII處理生命週期各階段有關之隱私保全要求事項。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.7 組織應傳達予隱私權利害相關者下列資訊： － PII控制者及所有相關之PII處理者的身分。 －關於移轉PII至PII處理者之政策。 －蒐集PII之目的。 －識別將蒐集之PII。 －加強隱私權保護之作為及其目的。 －PII當事人對其被蒐集之PII的法律權利。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.8 外部隱私權政策應提供外部人員對組織隱私權實務作法聲明，以及其他相關資訊，如PII控制者之身分及辦公室地址、PII當事人可能取得額外資訊之連絡窗口等。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.9 組織應具備正式懲處過程，並傳達予員工及約用人員，以對違反隱私權者採取行動。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.10 (告知之透明性)若PII處理者非PII控制者，則PII處理者之隱私權政策應依循PII控制者之隱私權訂定。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.11 組織若進行PII去識別化過程，則隱私權政策應包含下列項目，並應對外公布適宜之內容： －敘明組織之去識別化作法，並以一般用語描述將使用何種去識別化技術。 －敘明備妥何種保護措施，以盡量減少可能之相關風險。尤其是，應敘明去識別化資訊是否會對外公開或僅有限揭露，及其公開原則(例：離群值之處理、K-匿名性之使用時機)。 －敘明對公眾開放去識別化資料之相關風險。 －敘明關於公布已去識別化資訊之推理過程，說明如何衡量及取捨、考量或未考量哪些因素、原因為何。 (符合 (不符合 (部分符合 (不適用 控制措施 3.1.12 組織若開放PII去識別化資料，， (符合 (不符合 (部分符合 (不適用 肆、PII隱私風險管理過程 要求事項(4.1) 組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。 (符合 (不符合 (部分符合 (不適用 控制措施 4.1.1 組織應建立PII處理生命週期各階段之風險管理過程。各階段之風險管理應包含下列子過程： － 建立全景過程：藉瞭解組織(例：PII處理、職責)、技術環境及影響隱私風險管理之因素(亦即法規因素、契約因素、營運因素與其他因素)達成。 － 風險評鑑過程：藉識別、分析及評估PII隱私權原則之風險(可能有負面影響之風險)達成。 － 風險處理過程：藉定義隱私保全要求事項、識別及實作隱私控制措施以避免或減少PII隱私權原則之風險達成。 － 溝通及諮詢過程：藉從利益相關者得到資訊、對每一風險管理過程獲得共識，以及通知PII當事人與溝通風險及控制措施達成。 － 監視及審查過程：藉追查風險及控制措施，以及改善過程達成。 (符合 (不符合 (部分符合 (不適用 陸、PII去識別化過程 要求事項(6.1) 組織應建立有效且周延之PII去識別化過程的治理結構 (符合 (不符合 (部分符合 (不適用 控制措施 6.1.1 組織應指定足夠數量具技術與法律知識之員工或約用人員進行PII去識別化。並應指定資深員工，負責授權及監督PII去識