資訊安全及隱私權政策
|
國立臺中科技大學資通安全政策
|
||
|
98年3月30日97學年度第2學期第1次資訊安全推行委員會議通過 |
||
|
一、為確保資訊資產安全及資訊作業順利執行,依據「資通安全管理法」、「資通安全管理法施行 細則」、「行政院及所屬各機關資訊安全管理規範」、「行政院及所屬各機關資訊安全管理要 點」、「個人資料保護法」、「國立臺中科技大學資訊治理管理委員會設置要點」等相關法令 ,制訂本校資通安全政策。 二、資訊資產定義:指電腦軟體、硬體、網路通訊設施、資料庫、文件、技術、服務等有形或無形的資產。 三、資通安全定義:為了避免因人為疏失、蓄意或自然災害等風險,運用適當的控制措施,包括政策、實踐、步驟、組織結構和自動化系統等,確保資訊資產受到妥善的保護。 四、資通安全目標:確保資訊的機密性(保護資訊避免未經授權的存取)、完整性(保護資訊避免未經授權的修改)與可用性(確保經過授權的使用者在需要時可以存取相關資訊資產),保護資訊資產免遭不當使用、洩漏、竄改、破壞等情事,確保資訊蒐集、處理、傳送、儲存及流通之安全。 五、資通安全範圍:資通安全管理涵蓋十四項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,帶來各種可能之風險及危害。管理事項如下: |
||
| (一)資通安全政策訂定與評估。 (二)資訊安全組織。 (三)人力資源安全管理。 (四)資訊資產管理。 (五)存取控制安全管理。 (六)密碼學安全管理。 (七)實體及環境安全管理。 (八)運作安全管理。 (九)通訊安全管理。 (十)系統獲取、開發及維護安全管理。 (十一)供應者關係管理。 (十二)資通安全事故管理。 (十三)營運持續管理之安全層面。 (十四)法令及法規遵循性管理。 |
||
|
六、各項資通安全防護及管理規定,均應符合政府資通安全相關政策、規定及法令要求。 七、內部人員、委外服務廠商與訪客皆應遵守本政策,任何違反本政策或發生其他危及資訊安全之行為,將視情節輕重訴諸適當之處置程序或法律行動。 八、本政策應每年定期評估檢討,以反映政府法令、技術發展及業務需求等,以落實資通安全作業。 九、本政策經本校「國立臺中科技大學資訊治理管理委員會資訊安全規劃組」核定後施行,修正時亦同。 |
||
|
|
||
| 國立臺中科技大學隱私權政策聲明 | ||
|
一、目的 |
||
| 國立臺中科技大學(以下簡稱本校)為規範個人資料之蒐集、處理及利用之作業程序,促進個人資料之合理利用,並展現對個人資料與隱私保護之決心,特此訂定個人資料與隱私保護管理最高指導方針,以建立安全、可信賴之資訊服務,並確保本校執行業務工作皆符合相關法規之要求,維持業務持續運作,降低個人資料遭受不當揭露之風險,進而保障相關人員之權益,確保本校落實個人資料保護與資訊安全,維護本校聲譽與提供永續服務。 | ||
|
二、目標 |
||
|
(一)本校在執行外部業務與內部行政作業時,有關個人資料之蒐集、處理及利用等活動,應符合機密性、完整性及可用性,使危及資料保護相關事故發生機率降至最低。 (二)建立本校與個人資料保護相關之標準作業程序,避免人為作業疏失及意外,並加強本校同仁對於個人資料保護之安全意識。 (三)保護本校所管理之個人資料,防範人為意圖不當或不法使用,降低駭客、病毒等入侵及破壞之風險。 |
||
|
三、適用範圍 |
||
| 本聲明適用範圍為本校所有相關同仁、約聘僱人員、委外人員、供應者等執行業務專案、學術研究計畫與內部行政作業所涉及的個人資料之蒐集、處理及利用等活動。 | ||
|
四、個人資料之蒐集、處理與利用 |
||
|
(一)本校為執行各項業務專案、學術研究計畫與內部行政作業等需要所蒐集之個人資料,除法律另有規定或經當事人同意分享個人資料外,所有個人資料之蒐集作業與特定目的具有正當合理之關聯。且適當、相關、不過度且公平與合法地從事個人資料之處理。 |
||
|
(二)本校僅於下列情形之下,得為特定目的外之利用: |
||
| 1.法律明文規定。 2.為增進公共利益。 3.為免除當事人之生命、身體、自由或財產上之危險。 4.為防止他人權益之重大危害。 5.公務機關或學術研究機構基於公共利益為統計或學術研究,且資料無從識別當事人。 6.有利於當事人權益。 7.經當事人書面同意。 |
||
|
(三)個人資料之國際傳輸依據本校「個人資料保護管理政策」個人資料之利用及國際傳輸要求辦理。 |
||
|
五、個人資料之保護 |
||
|
(一)本校資訊治理管理委員會已設置個人資料保護規劃組,建立與實施個人資料保護管理制度。 (二)本校考量個人資料保護法及相關標準規範要求,定期進行個人資料之風險評估,並採取適當安全措施,以善盡個人資料保護之責。 (三)本校針對處理個人資料之同仁,進行適當之存取權限管控,僅開放其業務需求之最小權限,並實施權責區隔與獨立性審查。 (四)本校每年定期辦理個人資料保護宣導教育訓練,以提升同仁個人資料保護安全意識。 (五)本校因業務所保有之個人資料,均負有保密義務,除當事人要求及下列情形除外: |
||
| 1. 司法機關、監察機關或警政機關要求配合偵查犯罪或調查證據。 2. 其他政府機關因執行公權力並有正當理由。 3. 與公眾或生命安全有關之緊急救助。 |
||
|
(六)個人資料蒐集之特定目的消失或保存期限屆滿時,本校將主動或依當事人之請求,刪除、停止處理或利用其個人資料。但因執行法定職務或業務所必須或經當事人書面同意者,不在此限。 (七)若有發生違反個人資料保護法或相關規範之個資事故,本校將立即進行緊急通報應變作業,並依相關法規與本校人事規定懲處失職人員。 |
||
|
六、當事人權利 |
||
| 本校依循個人資料保護法及相關規範要求,提供當事人針對其個人資料行使以下權利: | ||
| 1.查詢或請求閱覽。 2.請求製給複製本。 3.請求補充或更正。 4.請求停止蒐集、處理及利用。 5.請求刪求。 |
||
| 但本校因執行法定職務或業務所必須者,本校得拒絕之。此外,若執行上述權利時,將可能導致影響當事人相關權益。 | ||
|
七、個人資料保護聯繫管道 |
||
|
本校由電子計算機中心教學資訊組擔任個人資料保護聯絡窗口,受理個人資料抱怨、申訴與外洩事件,以及負責個人資料保護業務之協調聯繫,聯絡管道如下: |
||
|
個人資料保護聯絡窗口電話:(04)-22195523 |
||
|
個人資料保護申訴信箱:[email protected] |
||
|
八、參考依據 |
||
|
(一)個人資料保護法。 |
||
|
(二)個人資料保護法施行細則。 |
||
