法規名稱: | 金融機構辦理快速身分識別機制安全控管作業指引 |
---|---|
公布日期: | 民國 112 年 04 月 25 日 |
第十一點 金融 FIDO 作業環境之個人資料保護應符合下列要求:
一、為維護所保有個人資料之安全,應採取下列資料安全管理
措施:
(一)訂定各類設備或儲存媒體之使用規範,及報廢或轉作他
用時,應採取防範資料洩漏之適當措施。
(二)針對所保有之個人資料內容,有加密之需要者,於蒐集
、處理或利用時,採取適當之加密措施。
(三)作業過程有備份個人資料之需要時,對備份資料予以適
當保護。
二、保有個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片
、積體電路晶片、電腦、自動化機器設備或其他媒介物者
,應採取下列設備安全管理措施:
(一)實施適宜之存取管制。
(二)訂定妥善保管媒介物之方式。
(三)依媒介物之特性及其環境,建置適當之保護設備或技術
。
三、為維護所保有個人資料之安全,應依執行業務之必要,設
定相關人員接觸個人資料之權限及控管其接觸情形,並與
所屬人員約定保密義務 。
四、應針對金融 FIDO 作業環境,包含資料庫、資料檔案、報
表、文件、傳檔伺服器及個人電腦等進行清查盤點是否含
有個人資料並編製個人資料清冊,並進行風險評估與控管
。
五、應建置留存個人資料使用稽核軌跡(如登入帳號、系統功
能、時間、系統名稱、查詢指令或結果)或辨識機制,以
利個人資料外洩時得以追蹤個人資料使用狀況,包括檔案
、螢幕畫面、列表。
六、應建立資料外洩防護機制,管制個人資料檔案透過輸出入
裝置、通訊軟體、系統操作複製至網頁或網路檔案、或列
印等方式傳輸,並應留存相關紀錄、軌跡與數位證據。
七、如刪除、停止處理或利用所保有之個人資料後,應留存下
列紀錄:
(一)刪除、停止處理或利用之方法、時間。
(二)將刪除、停止處理或利用之個人資料移轉其他對象者,
其移轉之原因、對象、方法、時間,及該對象蒐集、處
理或利用之合法依據。
八、為持續改善個人資料安全維護,其所屬個人資料管理單位
或人員,應定期提出相關自我評估報告,並訂定下列機制
:
(一)檢視及修訂相關個人資料保護事項。
(二)針對評估報告中有違反法令之虞者,規劃、執行改善及
預防措施。
九、前款自我評估報告,應經董(理)事會、常務董(理)事
會決議或經其授權之經理部門核定。但外國金融機構在臺
分支機構、獨資企業或未設董(理)事會者,應由其負責
人簽署。