一、教育部(以下簡稱本部)為推動資安與個資安全管理,特設「教育部資
安與個資管理會」(以下簡稱本會),並訂定本要點。
二、本會之任務如下:
(一)本部管理政策及重要議題之研議。
(二)本部管理系統之推展及分配適當資源。
(三)本部資安與個資風險評鑑及管理。
(四)本部管理措施有效性、適法性與合宜性檢視、審議及評估。
(五)本部資安與個資稽核結果檢視及審議。
(六)本部個人資料隱私風險之評估及管理。
(七)定期召開管理審查會議。
三、本會置召集人一人,由本部次長(資安長)兼任,副召集人一人,由
本部主任秘書(個資長)兼任,其餘委員由本部各單位(以下簡稱各
單位)指派副主管或專門委員以上一人兼任。本會置執行秘書一人,
由本部資訊及科技教育司(以下簡稱資科司)司長兼任,承召集人之
命辦理本會有關業務。
四、為推動資安與個資安全管理,本會下設稽核分組、風控分組、訓練分
組、技術及事件分組、行政分組五個工作分組,各分組主、協辦單位
及工作內容如下:
(一)稽核分組:主辦單位為政風處,召集資科司及各單位具稽核訓練認
證人員組成,其工作職掌如下:
1.每半年執行稽核活動並提出稽核報告及相關建議事項。
2.每年參與執行外部評鑑與應對措施。
3.擬訂內部稽核計畫、執行內部稽核作業。
4.追蹤、管理稽核所提相關建議事項。
5.追蹤各單位稽核缺失改善情形。
(二)風控分組:主辦單位為資科司,協辦單位為綜合規劃司、召集各單
位資安與個資聯絡窗口組成,其工作職掌如下:
1.負責與推動資訊資產及個人資料風險評鑑。
2.負責與推動資訊資產及個人資料風險管理。
3.確認資訊資產及個人資料的所有權與控制皆有適當的管理,同時符
合風險管理的政策與程序。
4.每年參與執行外部評鑑與應對措施。
5.每半年或不定期執行風險評鑑。
6.撰寫、修正風險管理程序與相關作業指引,並呈送本會。
(三)訓練分組:主辦單位為人事處,協辦單位為資科司,召集各單位資
安與個資聯絡窗口組成,其工作職掌如下:
1.負責規劃及實施全體同仁一般資訊安全認知及個人資料保護宣導教
育。
2.本部教育訓練執行及紀錄彙整。
3.內部人員保密管理。
4.教導修訂的新規範。
(四)技術及事件分組:主辦單位為資科司,召集各單位重要納管之系統
負責人組成,其工作職掌如下:
1.發展資訊安全架構、標準及解決方案,包括了伺服器、工作站、網
路、資料庫、應用程式等。
2.發展與維護系統、資料庫、網路與應用程式的存取控制規則。
3.個人資料加密機制規劃。
4.軌跡保存規劃。
5.提供資訊安全及個人資料保護建議。
6.制定各項重要業務系統持續運作計畫。
7.定期辦理演練及檢討改善措施。
8.制定整體測試計畫排程表並提報資安與個資管理審查會審議。
9.個人資料事件通報、處理及應變相關活動演練。
10.每半年或視需要修訂各項管理辦法與維護檢討本部政策。
11.執行第一線資訊安全及個人資料事件回應與監測,協助證據之保
存、鑑識及調查分析,由各單位尋求專家處理並將結果回報技術
及事件分組。
12.每年參與執行外部評鑑與應對措施。
13.執行資訊安全系統管理制度與發展資訊安控機制。
14.監控紀錄檔與回報資訊安全事件第一線的資訊安全事件回應中心
與監測中心。
15.每半年提供執行成果與建議予本會。
16.每半年或不定期指導各單位資訊及個人資料安全活動,以確認符合
政策與程序。
17.資訊安全及個人資料事件處理與應變相關資源之規劃與取得。
18.蒐集、分析及陳報資訊安全及個資相關通報及執行狀況之報告。
19.資訊安全及個人資料事件通報相關內外部聯繫、協調及分派處理單
位。
20.資訊安全及個人資料事件通報、處理及應變目標與程序之持續改善
提升。
(五)行政分組:主辦單位為資科司,協辦單位為秘書處及法制處,其工
作職掌如下:
1.協助各單位管理制度文件制(修)定。
2.協助各單位處理管理制度文件的相關問題。
3.協助管理制度文件及表單登錄、發行、保存等相關管理工作。
4.提供法律、法規、契約相關諮詢。
5.協助各分組涉及資安、個資制度文件的適法性之相關諮詢與檢視。
五、本會幕僚作業由本部資科司負責辦理,各分組之幕僚作業由各分組主
辦單位負責辦理。
六、本會每年召開會議一次;必要時,得召集臨時會。
前項會議由召集人召集之,並擔任主席;如召集人因故不能出席時,
由執行秘書代理之。
前項會議開會時,得邀請本部所屬機關(構)、學校、相關目的事業機
關代表、其他機關代表或學者專家出(列)席。