个人资料档案风险评价与管理程序书 - 个人资料保护专区.docVIP

中山醫學大學 個人資料檔案風險評估與管理程序書 機密等級：內部使用 文件編號：CSMU-PIMS-B-007 版 次：1.1 發行日期：102.11.07 本文件歷次變更紀錄： 版次 修訂日期 修訂頁次 修訂者 修訂內容摘要 1.0 102.11.07 N/A 個人資料保護推動執行小組 初版發行 1.1 103.06.27 第1頁、第3頁 個人資料保護推動執行小組 1.增加單位主管之工作項目 2.修改作業流程圖之權責單位 3.更新附件表單，以系統取代  目錄 壹、目的 1 貳、適用範圍 1 參、權責 1 肆、定義 2 伍、作業內容 3 陸、參考文件 6 柒、相關表單 6 壹、目的 為建立中山醫學大學（以下簡稱本校）個人資料檔案風險管理制度，提供共同遵行之風險評估標準，並規範高風險個資檔案之風險控制流程，以採取適當之對策或控制措施，有效降低個人資料檔案遭受損害的風險，特訂定本程序書。 貳、適用範圍 本校各項涉及個人資料之業務相關作業流程所產生之個人資料檔案均適用之。 參、權責 會議/單位/人員 工作說明 各單位/同仁 1. 個人資料檔案盤點 2. 個人資料檔案風險評估 3. 擬定並執行個資檔案風險處理計畫，並評估風險處理計畫執行成效 4. 個人資料檔案風險再評估 單位個資保護代表 (個人資料保護推動執行小組成員) 1. 協助單位同仁進行個資檔案盤點與風險評估 2. 彙整單位個資檔案清冊 3. 彙整單位個資檔案風險評估彙整表 4. 彙整單位個資檔案風險處理計畫 單位主管 負責所屬單位業務範圍風險評結果審核負責所屬單位業務範圍風險 日常監督小組 1. 與校內負責風險管理與安全問題的人聯繫 2. 監督個人資料檔案風險評估之執行 3.個資檔案風險評估 4. 協助單位擬定風險處理計畫 風險評估審查會議 1. 審查風險評估結果 2. 確認可接受風險程度 風險處理計畫審查會議 1. 審查認可風險處理計畫 2. 提供所需必要資源 三、 系統資料：係指以應用系統存在之個人資料，並存放於伺服器資料庫中。 四、 電子資料：係指儲存於硬碟、磁帶、光碟、隨身裝置等儲存媒介以數位形態存在之 五、 紙本資料：係指以紙本形式存在之文書。 六、風險：可能對團體或組織的個人資料檔案發生損失或傷害的潛在威脅，通常用產生之影響來衡量。 七、 可接受風險：係指對於個人資料檔案發生損害，本校可容忍的最大程度。 八、 剩餘風險：係指個人資料檔案於施行相關控制措施後所剩餘的風險 伍、作業內容 一、個人資料風險管理作業流程圖 權責單位 相關會議 處理 相關附件 同仁/代表/主管 個資檔案權責單位 個資檔案權責單位 個資日常監督小組 二、個人資料盤點及風險評估執行時機 (一) 本校每年定期執行一次個人資料盤點及風險評估作業(二) 於下列情形發生時，需對影響範圍內個人資料重新進行個人資料盤點及風險評估：1. 學校組織、業務權責變更時。2. 作業流程變更時。3. 個人資料項目新增或異動時。 4 發生重大資訊安全事件時。 個人資料盤點 () 分析業務作業流程個人資料盤點應由分析業務作業流程開始，由單位負責業務相關之程序與規範中（如：內部控制制度、標準作業程序、工作職掌、委外作業…等），了解資訊的流向。(二) 識別不同作業流程之個資項目：1. 從業務或服務作業的流程中，分析各服務內容之作業流程與應用系統清單，以找出含個人資料之業務或服務作業流程，並找出與業務相關各種存在型式之個人資料檔案。2. 不同型式的資料，如書面紙本、電子檔案或備份資料等都應識別為不同的個資檔案。識別個人資料檔案的相關屬性 識別出個人資料檔案的相關屬性，並填寫於個人資料盤點表中，相關屬性包含： 1 個人資料項目基本資料：特定目的、個資類別、檔案型態、權責單位。 2 個人資料項目生命週期活動：分析個資從蒐集、處理、利用、儲存、備份、傳輸、銷毀之活動及所需保存時間。 3 個人資料項目相關人員：當事人、內部單位、委外單位、供應者。 建立個人資料檔案清冊 個人資料盤點單位同仁依其所負責之業務，執行個人資料鑑別作業，填寫個人資料盤點表。 單位個資保護代表應彙整單位內個人資料盤點表，建立「個人資料檔案清冊」。 個人資料檔案風險評估 依據「個資風險評估填寫說明」，對「個人資料檔案清冊」中所有個資檔案進行風險評估，並計算出每個個資檔案的風險值，並彙整於「個人資料檔案風險評估彙整表」，提報個資日常監督小組。 決定可接受風險之風險值 於風險評估審查會議，個資日