資安組織及工作職掌
為達成個人資料保護及資訊安全管理之目的,組織應規畫並整合資訊安全管理之功能,建立適當之管理組織配置。組織營運除配置適當功能執行人員人力外,應針對法律及管理要求,指派適當之人員扮演適當之角色,並規畫配置適當之資源,以確保該功能能發揮功效,保障組織營運之順暢,且確保營運績效得以發揮。 為落實並確保本中心資訊安全管理及個人資料保護管理制度能有效運作且持續改善,並研議資訊安全管理及個人資料保護相關事項,特訂定本程序,以確立資訊安全組織之功能與權責分工。
資安暨個資管理組織架構
組織架構
權責
一、 中心主任
負責個人資料保護管理制度規劃、建置及執行事宜之議決核准。
二、 資訊安全暨個人資料保護管理執行小組
負責個人資料保護管理活動事務之跨單位協調工作,推動個人資料保護管理制度,執行個人資料保護管制措施。行小組
組織分工
資訊安全及個人資料保護管理組織負責維持本中心資訊安全及個人資料保護管理制度之有效運作及持續改善,並將執行成果陳報校長,其分工如下:
(一) 組織代表 (並為本校之資安長暨隱私長)
1. 管理組織之組織代表由校長擔任;
2. 組織代表同時為本校之資安長暨隱私長,負責相關業務決策;
3. 組織代表應任命管理執行小組召集人及稽核分組組長;
4. 提供執行管理事務所需之資源;
5. 負責核准相關管理政策;
(二) 稽核分組組長
1. 由組織代表任命,負責管理制度之內部稽核;
2. 規劃稽核計畫;
3. 任命執行稽核人員;
4. 規劃執行稽核人員之教育訓練;
5. 管理稽核執行;
6. 向組織代表報告稽核結果;
(三) 管理執行小組召集人
1. 管理執行小組召集人由本中心主任擔任;
2. 指派各分組組長;
3. 負責執行小組之決策、管理及監督執行小組業務推行;
4. 核准相關管理程序及辦法;
5. 管理管理制度之執行與運作;
6. 定期向組織代表報告管理制度之運作情形;
7. 規劃管理制度之執行計畫;
8. 草擬、審查、及更新管理政策及製作及核可內部規則、表單;
(四) 教育訓練分組
1. 負責各項法律、標準及管理制度教育訓練與宣導;
2. 規劃教育訓練計畫;
3. 任命執行教育訓練人員;
4. 管理教育訓練質性過程與紀錄;
5. 評估教育訓練成果並回報執行小組召集人;
(五) 事故管理分組
1. 負責事故之應變、處理及通報作業;
2. 負責事故後續之矯正預防處理作業;
(六) 抱怨及權利行使處理分組
1. 負責對相關機關對於個資保護及資訊安全相關措施之聯繫及協調;
2. 於重大(跨部門)事故中擔任單一聯絡窗口;
3. 接受當事人對組織及各單位相關抱怨及後續處理;
4. 接受當事人權利行使申請及後續處理;
5. 建置當事人權利行使程序及追蹤當事人權利行使、抱怨諮詢之處理情形;
(七) 法律及標準諮詢分組
1. 定期進行法律適用盤點及更新作業;
2. 協助事故處理小組及抱怨處理小組進行案件處理;
3. 提供各單位部門代表法律及標準諮詢;
(八) 資訊技術分組
1. 提供各業務單位資訊技術諮詢及協助;
2. 協助各單位進行資訊資產中有關電磁紀錄、電腦設備、系統及軟體之識別、分類、分級及鑑價,並針對各單位資訊資產清單進行價值確認
(九) 風險管理分組
1. 規劃制定風險類型與風險等級、衝擊等級及發生機率之內容及評估方法;
2. 訂定可接受的風險等級,提出可接受風險值之建議;
3. 監督管理各單位個人資料風險評估及處理作業;
4. 確認各組風險評鑑之結果;
5. 審閱並確認風險改善計畫;
(十) 各部門代表
1. 負責於各部門執行及運作管理制度;
2. 管理所屬部門之資訊資產;
3. 監督、確認所屬部門內部管理制度之運作情形及紀錄;
4. 監督所有安全管理措施之執行;
5. 接受客戶/一般民眾對於該部門當事人權利之申請及處理;
6. 個資事故部門之聯絡人應協同事故處理小組處理事故;
陸、 參考文件
(一) G-01-02 資訊安全政策;
(二) G-02-10 風險評鑑與管理程序;
(三) G-02-08 資通安全事件通報及應變程序;
(四) G-02-04 內部稽核程序;
柒、 使用表單
(一) G-02-01-F01個人資料保護管理執行小組成員表;
回前頁