一、資訊安全管理

資訊安全管理政策目標

本專案資通安全政策之實施原則是以 ISO/IEC 27001 的管控要項條文依據，遵循「教育部」訂定之資通安全與個資保護政策做為管理制度的指導方針，並透過適當管道，宣導給全體同仁，且於重大改變時或既定期間審查，以確保其適當性與有效性。保護這些資產是本專案全體同仁的基本責任：

1. 確保這些資產是只被運用在經管理階層核可的目的。
2. 遵循「教育部」資訊安全管理制度的安全規範和程序。
3. 所有同仁都應確實了解自己的責任去保護這些資產。

二、個人資料保護

（一）個人資料保護管理目標

為落實個人資料之保護及管理並符合個人資料保護法之要求，遵循「教育部」資通安全與個資保護政策訂定目標如下：

1. 依個人資料保護法、個人資料保護法施行細則及本部個人資料保護管理要點之規定，進行個人資料蒐集、處理、利用、儲存、傳輸、銷毀。
2. 保護業務相關個人資料之安全，免於因外在之威脅或內部人員不當之管理及使用，致遭受竊取、竄改、毀損、滅失或洩漏等風險。
3. 建立個人資料保護管理制度，相關規定予以文件化，提高個人資料之保護及管理能力，降低組織個人資料外洩風險，並創造可信賴之個人資料隱私保護環境。
4. 每年定期鑑別專案個人資料檔案，並進行風險評估，鑑別可接受風險等級。
5. 每年定期辦理個人資料保護宣導教育訓練，以提升同仁個人資料保護安全意識及認知。
6. 每年定期執行個人資料管理制度內部稽核，以確保相關之個人資料保護管理措施或規範符合現行法令之要求。

（二）個人資料之蒐集與處理

1. 本專案因執行業務所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號（護照號碼）、教育、職業等個人資料，應遵循個人資料保護法等法令，不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。
2. 本專案依個人資料保護法第 5 條規定，對於個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

（三）個人資料之利用

1. 本專案於利用個人資料時，除需依個人資料保護法之特定目的必要範圍內為之外，如需為特定目的以外之利用時，將依據個人資料保護法第 16 條之規定辦理。
2. 本專案所蒐集、處理之個人資料，應遵循個人資料保護法及「教育部」個人資料保護管理制度之規範，且個人資料之使用為「教育部」業務所需，並於特定目的範圍內，方可為「教育部」承辦同仁利用。

（四）個人資料之保護安全維護措施

1. 本專案依個人資料保護法第 17 條規定辦理個人資料檔案及個人資料檔案清冊安全維護及更新事項。
2. 本專案已建立與實施個人資料保護管理制度，以確認本政策之實行；本專案全體同仁應遵循個人資料保護管理制度之規範與要求，並定期審查個人資料保護管理制度之運作。
3. 個人資料檔案應建立管理制度，分級分類管理，並針對接觸人員建立安全管理規範。
4. 為確保所有個人資料安全，應強化個人資料檔案資通系統之存取安全，防止非法授權存取，維護個人資料之隱私性，應建立安全保護機制，並定期查核。
5. 個人資料檔案儲存於個人電腦者，應於該電腦設置可辨識身分之登入通行碼，並視業務及重要性，考量其他輔助安全措施。
6. 個人資料輸入、輸出、存取、更新、銷毀或分享等處理行為，應釐定使用範圍及調閱或存取權限。
7. 本專案如遇有個人資料檔案遭人惡意破壞、毀損或作業不慎等安全事件，應進行緊急因應措施，並依「教育部」個人資料保護通報流程辦理。
8. 本專案係以周全之措施、政策保護當事人之個人資料，包括本專案之全體同仁應受有個人資料保護法及隱私權保護之相關教育訓練。倘有洩露個資之情事者，將依法追究其民事、刑事及行政責任。
9. 本專案與「教育部」簽訂「保密切結書」，使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者，將依法追究其民事及刑事責任。