壹、为确保本事业保有个人资料档之安全,依法指定专人依下述个人资料档案安全维护计画办理维护事项。
贰、个人资料档案之安全维护计画:
一、资料安全方面
(一) 个人资料档案建置在资料库上者,应釐定使用范围及使用权限「使用者代码」、「识别密码」,识别密码应保密,不得与他人共用。
(二) 个人资料档案储存在个人电脑硬式磁碟机上者,资料保有单位应在该个人电脑设置开机密码、萤幕保护程式密码及相关安全措施。
(三) 非经允准不得使用个人资料档案。
(四) 个人资料档案使用完毕应即退出,不得留置在电脑显示画面上。
(五) 个人所使用之识别密码应予保密,且须于一固定时间后自行变更密码,以防它人窃取并长期使用。
(六) 若顾客以电话查询其个人资料时,需先经认证后方可回复相关资料,以维护顾客之权益。
(七) 以网际网路蒐集、处理、国际传递及利用个人资料时,应採行必要的事前预防及保护措施,侦测及防制电脑病毒及其他恶意软体,确保系统正常运作。
(八) 以网际网路进行交易处理时,应评估可能之安全风险,并研拟妥适的安全控管措施。
二、资料稽核方面
(一) 以电脑处理个人资料时,应核对个人资料之输入、输出、编辑或更正是否与原档案相符。
(二) 个人资料提供使用时,应核对与档案资料是否相符,如有疑义,应调阅原档案查核。
(三) 应建立定期稽核制度,并保存稽核资料。
三、设备管理方面
(一) 建置个人资料之有关电脑设备,资料保有单位应定期保养维护。
(二) 非有必要,不得任意移动电脑设备。
(三) 建置个人资料之个人电脑,不得直接作为公众查询之前端工具。
(四) 建立异地备援制度。
(五) 确实删除废弃或转售之相关电脑硬体中所储存之个人资料。
四、其他安全维护事项
(一) 以电脑处理个人资料档案之人员,其职务有异动时,应将所保管之储存媒体及有关资料列册移交,接办人员应另行设定密码,以利管理。
(二) 员工离职后,其离职员工曾接触过之密码均需取消并作适当之调整。
(三) 遵守一般电脑安全维护之有关规定。