个人资料保护与管理稽核查检表-成大医院.DOCVIP

使用本表單前，請先至本院首頁「院內專用網頁」個資法推動專區確認版次。 成大醫院個人資料安全維護稽核查檢表 ?一般 ?敏感 ?密 文件編號：PIMS-4-006 版 本：V1 紀錄編號： 一、一般類稽核項目： 稽核 項次 稽核基準 稽核結果 具體說明與建議：稽核結果勾選之說明 符合 不符合 建議 事項 不適用 針對單位內的個人資料檔案，應列有個人資料檔案清冊，以界定個人資料之範圍。 □ □ □ □ 每年至少產生一次的個人資料風險評估報告。 □ □ □ □ 針對個人資料的蒐集、處理及利用，應制定管控機制，並釐定使用範圍及調閱、存取權限。 □ □ □ □ 向民眾或其他單位蒐集個人資料時，需具備特定目的，並符合法律規定之特定情形。 □ □ □ □ 檢視向民眾或其他單位索取之個人資料，減少不必要之個資蒐集。 □ □ □ □ 交換個人資料時，其處理及利用應有適當之授權、監督、記錄、轉交或傳輸行為之流向等措施。 □ □ □ □ 對於個人資料之調閱，應有申請及核准程序，並記錄及保存調閱者身分。 □ □ □ □ 儲存個人資料檔案之磁碟、磁帶，及紙本等相關儲存媒體，得置於實體保護之環境(如：可上鎖之文件櫃)。 □ □ □ □ 儲存個人資料檔案之媒體應有攜出、拷貝或複製的管控機制，並留存紀錄。 □ □ □ □ 處理個人資料檔案之人員職務異動時，應依規定列冊移交相關儲存媒體及資料。 □ □ □ □ 處理個人資料檔案之人員職務異動時，接替人員應於相關系統重設密碼，並視需要更換使用者帳號。 □ □ □ □ 經由風險評鑑，已鑑別出高風險的個資資產，並採取降低風險之控制措施。(暫止施行) □ □ □ □ 對於需要控管之風險資產，得依其重要性，決定其處理之優先順序。(暫止施行) □ □ □ □ 已制定風險處理計畫，並根據該計畫導入控制措施，以降低風險。(暫止施行) □ □ □ □ 二、資訊類稽核項目： 稽核 項次 稽核基準 稽核結果 具體說明與建議：稽核結果勾選之說明 符合 不符合 建議 事項 不適用 處理個人資料檔案之個人電腦，於作業系統登入時，應設置使用者帳號與密碼，以進行管控。 □ □ □ □ 電腦需設定螢幕保護程式，且5分鐘後需有密碼管控才能繼續使用。 □ □ □ □ 電腦的密碼長度須超過6個字元，且需由字母、數字及特殊符號組成。至少每3個月進行密碼更換。 □ □ □ □ 個人專用電腦不可用共用帳號，進行登入作業 □ □ □ □ 禁止使用外部電子郵件，傳輸個人資料檔案。 □ □ □ □ 儲存個人資料檔案之電腦或相關設備，如需報廢或移轉他用，應刪除其所儲存之個人資料檔案，含備份資料。 □ □ □ □ 各單位網站，可能有個資顯示的部份，需設定不接受搜尋引擎的索引。 □ □ □ □ 單位內每位人員，每年應接受資訊室之資安與個資相關認知宣導及教育訓練。 □ □ □ □ 嚴禁使用非法軟體，且禁止使用點對點（P2P）軟體或Tunnel等相關工具，下載或提供分享檔案。 □ □ □ □ 個人電腦必須安裝防毒軟體，且每天要進行病毒碼更新，並且定期完整掃描檔案。 □ □ □ □ 定期執行Windows Update。若為資訊室管控的電腦(如：診間、掛號櫃檯的電腦)，則會自動派送Windows Update，未加入管控者，需自行啟動。另建議執行Microsoft Update。 □ □ □ □ 來路不明的電子郵件，應直接刪除，不要開啟。 □ □ □ □ 重要資料檔案於交接時，需依本院「成大醫院公務用電腦資訊檔案保存管理要點」進行保存。 □ □ □ □ 院內嚴禁自設無線網路。 □ □ □ □ 含有個資的檔案共享時，需限制存取範圍及進行帳號權限管控。 □ □ □ □ 個人資料檔案使用完畢後，應即退出應用程式，不得留置於電腦畫面上。 □ □ □ □ 各單位管理之網站或網頁內容，若確有必要公佈個人資料時，需經所屬單位主管核准，且依相關法律及規範處理，始得公佈。 □ □ □ □ 交換電子式個人資料時，應採取具備保密機制之傳遞方式。如：個人資料電子檔以軟體壓縮加密或不以Email傳送。 □ □ □ □ 三、公文稽核項目： 稽核 項次 稽核基準 稽核結果 具體說明與建議：稽核結果勾選之說明 符合 不符合 建議 事項 不適用 個資文稿的呈現以最少化為原則。 □ □ □ □ 機敏性內容呈現在附件上，附件應裝入公文封加密傳送。 □ □ □ □ 含大量個資之文書，如報表、名冊，應有保護措施。 □ □ □ □ 公文傳送應有簽收紀錄。 □