此文档概述了国家资通安全会报技术服务中心的资安推广活动和个人数据保护管理的指引，涵盖了多项推广措施，包括全民资安周和教育培训材料的设计。此外，文档还讨论了个人数据管理的组织结构及各项活动任务，旨在提升政府机构和公众对信息安全的认知。

1. 【內部使用】
資安宣導與推廣
國家資通安全會報技術服務中心
100/11

2. 【內部使用】
資安推廣活動－全民資安週
100年全民資安週：12月5日～ 12月9日
【多元化廣宣】資安知識系列動畫影片提供完整資安認知概念
100年 【資安分享包】持續規劃設計訓練教材提供機關內訓使用
【提升能見度】建置中、英文版網站及後台管理系統
善用新興媒體於虛擬網路進行資安推廣
99年 規劃設計訓練教材提供機關內訓使用
聯合產業共同推動資安認知
98年 推廣對象擴及民眾與企業
以網路活動為主
政府機關為主，教育單位為輔
97年
以實體活動為主
1

3. 【內部使用】
全民資安推動網
以全民資安推動網 http://cybersecurity.tw/ 為網路推廣入口
2

4. 【內部使用】
全民資安推動網－For Fun
3

5. 【內部使用】
資安宣導短片
4

6. 【內部使用】
100年全民資安週－官網首頁
http://www.cybersecurity.tw/event/100/
【全民同心，隱私安心】 5

7. 【內部使用】
誰是S大亨闖關遊戲
6

8. 【內部使用】
個人資料保護參考指引
介紹
國家資通安全會報技術服務中心
100/11

9. 【內部使用】
目的
Ÿ 參考國際上個人資料保護相關標準(NIST SP800-
122、BS10012等)，以系統化的方式說明建置個
資保護管理制度之參考步驟
Ÿ 提供政府機關訂定個資保護參考，指引係屬建議
性質，政府機關可參考本指引，針對資訊系統與
所屬資產所需個資保護，修正組織所需版本，就
組織特性、業務需求，以符合資安管理要點、個
人資料保護法與相關施行細則內容、國際隱私保
護原則、個資管理標準之要求
8

10. 【內部使用】
PDPS方法論之整體發展架構(1/3)
9

11. 【內部使用】
PDPS方法論之整體發展架構(2/3)
10

12. 【內部使用】
PDPS方法論之整體發展架構(3/3)
11

13. 【內部使用】
定義階段-活動與任務
活動與任務(Activity & Task)
Task1：瞭解組織現行架構(含單位別與功能性)和人員角色職責
Task2：定義個資管理組織
Activity1：個資管理組織架構 Task3：定義個資管理組織人員角色職責
Task4：建立個資管理政策與要點
Task5：發布個資管理組織架構
Task1：瞭解個資管理相關法令、規範、準則等之遵循需求
Activity2：外部環境分析
Task2：瞭解個資管理相關國際標準、原則等之遵循需求
Task3：外部利害關係人分析
Task1：瞭解現有管理制度內容與應用範圍
Activity3：內部環境分析 Task2：內部利害關係人分析
Task3：分析個資管理涵蓋範圍
Task4：定義組織個資管理導入各階段範圍
Task1：分析服務目錄與服務等級協議
Task2：分析業務作業流程
Activity4：作業流程分析
Task3：分析委外作業流程
Task4：定義和個資相關之流程與應用系統範圍
Task1：進行組織個資管理現況評估
Activity5：個資管理現況評估 Task2：分析個資管理現況評估資料
Task3：產出組織個資管理現況評估分析結果 12

14. 【內部使用】
定義階段-相關產出(1/2)
l個資管理組織與角色職責分工(範例)
組織架構 人員 工作職掌 任期
角色
管理代表 主管或副主管 ▪擔任個資與隱私保護之召集人，統籌決策及執行 永久
(召集人) 組織資訊安全與個資與隱私保護管理業務之資源整
合運用
個資保護 組長級以上由主 ▪協助管理代表(召集人)推行個資管理 依任命期限
專員 管指派
▪依相關法令辦理安全維護及保管事項
個資保護 各組組長 ▪協助管理代表(召集人)與個資保護專員推行執行 依任命期限
工作組長 個資管理活動
組織同仁 包括個資保護計 ▪落實個資與隱私保護相關作業規範 永久
畫推動範疇內相
▪配合執行或參加個資與隱私保護相關教育訓練
關同仁
委外廠商 包括個資保護計 ▪遵循組織制定之個資保護與隱私政策與相關作業 依委外合約
與人員 畫推動範疇內相 規範 期限
關委外人員及供
▪配合組織辦理之個資與隱私保護管理稽核活動
應者
稽核小組 由管理代表指派 ▪研提年度個資與隱私保護管理稽核計畫 依任命期限
▪配合年度稽核計畫執行相關稽核活動並提供改善
建議事項予管理代表 13

15. 【內部使用】
定義階段-相關產出(1/2)
l作業流程分析(範例) Ÿ 資安職能評量運作與題庫建立
作業由相關專業人士分工進行
，評量運作由資安職能評量小
組負責執行，包含命題規範、
命題審題及行政試務等業務。
其中命題規範、命題審題作業
由資安專家組成團隊進行合作
，以建立資安職能評量之題庫
Ÿ 辦理訓練之相關作業，包括：
場地安排、會場規劃、人力規
劃、招生報到作業、教材編印
與執行紀錄等
14

16. 【內部使用】
定義階段-相關產出(2/2)
lPDPS導入前個資管理整體準備度雷達圖(範例)
15

17. 【內部使用】
規劃階段-活動與任務
活動與任務(Activity & Task)
Activity1：個資項目盤點 Task1：識別不同作業流程之個資項目
Task2：識別個資項目之類別、依據及目的
Task3：識別個資項目相關生命週期活動
Task4：識別個資項目與外部利害關係人之關聯
Task5：完成個資項目盤點
Activity2：個資衝擊分析 Task1：設計個資衝擊分析檢核表
Task2：進行個資項目個資衝擊分析
Task3 ：識別處理個資之應用系統並進行應用系統個資
衝擊分析
Task4：完成隱私衝擊分析
Activity3：個資衝擊評鑑 Task1：分析個資項目/應用系統之個資風險等級基準值
Task2：評估個資項目/應用系統個資性之風險等級
Task3：完成個資衝擊評鑑
Activity4：安全控制措施規劃 Task1：評估所需資源
Task2：規劃組織安全控制措施
Task3：確認組織安全控制措施規劃內容
16

18. 【內部使用】
規劃階段-相關產出(1/5)
l個資盤點表(範例)
第一部分：流程利害關係人與支援流程分析
利害關係人 是否為個資流程
(若是則繼續進
服務目錄或作業流程名稱 支援流程名稱
行第二、三部分
客戶/使用 其 )
組織內部 委外 供應者
者 他
開發與維護
•資安職能訓練
組(開發"公
OOO /政 基礎建設維護 報名表
資安職能推廣與管理 無 OOO 務人員資安 無
府機關 流程 •建立之學員檔
訓練管理系
案
統")
第二部分：個資流程輸入/輸出與個資項目分析
個資類別 流程輸入 流程輸出
服務目錄或個資流程名稱 特種個 (個資項目文件或檔案名
一般個資 (個資項目文件或檔案名稱)
資 稱)
資安職能推廣與管理 ● 略 資安職能訓練報名表
資安職能推廣與管理 ● 略 建立之學員檔案
第三部分：個資流程生命週期管理活動分析
生命週期活動 - 註明與個資項目(物)有關之人/事/時/地
服務目錄或個資流程名稱
蒐集 利用 傳送 轉變 儲存 封存 銷毀
17

19. 【內部使用】
規劃階段-相關產出(2/5)
l個人資料檔案項目彙總表(範例)
個人資料利用之範
個人資料檔案 蒐集保有之特定目的 個人資料類別
圍
053教育或訓練行政
C001辨識個人者
資安職能訓練 /093其他中央政府/097
/C003政府資料中 組織內/受委託機關
報名表 其他合於營業登記項目
之辨識者
或章程所定業務之需要
053教育或訓練行政
C001辨識個人者
課程講師聯絡 /093其他中央政府/097
/C003政府資料中 組織內/受委託機關
資料 其他合於營業登記項目
之辨識者
或章程所定業務之需要
053教育或訓練行政
C001辨識個人者
資安推廣活動 /093其他中央政府/097
/C003政府資料中 組織內/受委託機關
報名表 其他合於營業登記項目
之辨識者
或章程所定業務之需要
053教育或訓練行政
C001辨識個人者
/093其他中央政府/097
課程報名表 /C003政府資料中 組織內/受委託機關
其他合於營業登記項目
之辨識者
或章程所定業務之需要
18

20. 【內部使用】
規劃階段-相關產出(3/5)
l個資項目隱私衝擊分析(範例)
角色是 當事人 資料不 是否有防制
每筆 個人資料 隱私權保
否有正 是否要 正確時 措施，避免
每年處理 個資 是否定期 護程序中
個資項目表單/ 資料管理 當合理 求具有 當事人 個資之意外
之個資數 的欄 依據法規 ，是否涉
系統名稱 者之角色 的需求 進入其 是否能 或不合法的
量 位數 檢核、刪 及第三方
來運用 個資之 要求修 損毀或遺失
量 除 處理？
個資 權限 改 、修改等
資安職能訓練 1-500 1-10 個資管控 不適用 不適用 不適用 否(永久 分享區管理 是(部分)
報名表 者，部分 保存，密
級)
建立之學員檔 1-500 1-10 個資管控 不適用 不適用 不適用 否(永久 分享區管理 是(部分)
案 者，部分 保存，密
級)
課程講師聯絡 1-500 1-10 個資管控 否(被 不適用 不適用 否(永久 分享區管理 是(部分)
資料 (<20) 者，部分 動回應 保存，密
) 級)
資安推廣活動 500- 1-10 個資管控 不適用 不適用 不適用 否(永久 分享區管理 是(部分)
報名表 5,000 者，部分 保存，密
級)
課程報名表 500- 1-10 個資管控 不適用 不適用 不適用 否(永久 分享區管理 是(部分)
5,000 者，部分 保存，密
(<1,000) 級)
19

21. 【內部使用】
規劃階段-相關產出(4/5)
l個資風險等級基準值建議表
20

22. 【內部使用】
規劃階段-相關產出(4/5)
l個資衝擊評鑑結果(範例)
項次 個資項目名稱 個資風險
等級
1 資安職能訓練報名表 中
2 學員檔案 中
3 課程講師聯絡資料 中
4 資安推廣活動報名表 中
5 課程報名表 中
研討會參與人員到課
6 中
紀錄統計表(excel)
7 報名學生資料 中
8 網路報名資料excel 中
9 得獎者基本資料 中
21

23. 【內部使用】
規劃階段-相關產出(5/5)
l個資保護技術性安全控制項目基準值建議(範例)
風險程度所對應之安全控制項目基準值建議
安全控制(NIST編號)
普 中 高
存取控制之執行(AC-3) ▪應建立個資處理授權表、 ▪依據風險評鑑結果與人員職責應開放必要之 ▪應採用DLP與DRM工具，若
亦應將加密應用於設備、 最小權限(除可執行之應用程式、系統功能外 本項個資均為特種個資，必要
檔案、紀錄、程式、網域 ，亦包含可使用之通訊埠(port)、通訊協定 時應側錄使用者存取行為，並
等存取活動 (protocol)及服務(services))；或建議結合職責 由指定之高階主管審視或抽核
分工，採用以角色為基礎的存取控制(Role- 是否有不符合機關資安規範之
based access control)機制 行為
職責分工(AC-5) 無建議 ▪應依據獨立性原則採用職責分工(separation of ▪請參閱本控制項基準值為「中
duties)，譬如負責系統管理者(如administrator) 」之控制措施
不應同時負責管理系統日誌(log)
最低限度存取(AC-6) 無建議 ▪請參閱「職責分工(AC-5)」基準值為「中」 ▪請參閱本控制項基準值為「中
之控制措施說明 」之控制措施
遠端存取(AC-17) ▪遠端存取管制範圍除與機 ▪遠端存取應使用加密線路以確保傳輸資料之 ▪請參閱本控制項基準值為「中
關之外部連線外，亦包含 機密性與完整性 」之控制措施
使用者於機關非使用本機
登入，
使用者資訊共享(AC-21) 無建議 ▪個資不應儲存於共享資料夾 ▪儲存於資料庫之密碼與機密/
特種個資建議採用SHA-1雜湊
演算法之輸出值儲存
可攜式行動裝置之存取 ▪可攜式行動裝置包含外接 ▪機關應限制可寫入與可攜式媒體之使用(僅授 ▪請參閱本控制項基準值為「中
控制(AC-19) 儲存設備(如USB隨身碟、 權人員得使用) 」之控制措施
外接硬碟)、含有資料儲存
功能之可攜式行動運算/通
訊設備(如筆記型電腦、
PDA、行動電話、數位相
機、錄音筆等) 22

24. 【內部使用】
執行階段-活動與任務
活動與任務(Activity & Task)
Task1：識別個資管理相關人員或群組角色
Task2：建立個資項目生命週期活動與個資管理角色之對應表
Activity1：確立人員權責角色 Task 3：識別對應表內個資管理角色細部權責定義需求
Task 4：完成人員權責角色定義
Task 5：轉換個資管理人員權責角色定義至相關應用系統權限定義
Task 1：設計個資蒐集作業流程
Task 2：設計個資處理作業流程
Activity 2：建立個資管理程序 Task 3：設計個資傳輸作業流程
Task 4：設計個資事故管理作業流程
Task 5：設計個資管理稽核作業流程
Task 6：修訂組織內部管理制度文件
Task1：分析個資保護技術性安全控制項目基準值需求
Task 2：規劃個人資料生命週期保護構面控制項目行動方案
Activity3：建立安全控制措施 Task 3：規劃整體環境身分識別與存取管理構面控制項目行動方案
Task 4：規劃基礎設施網路安全管理構面控制項目行動方案
Task 5：建置個資保護安全控制項目行動方案
Task 1：檢視個資委外作業合約與範圍
Task 2：調整個資委外作業合約與工作計畫書內容
Activity4：個資委外作業管理
Task 3：規劃個資委外作業稽核計畫
Task 4：執行個資委外作業稽核
Task 1：規劃個資認知宣導活動
Activity 5：宣導與教育訓練 Task 2：規劃個資管理認知與教育訓練計畫
Task 3：執行個資管理認知與教育訓練計畫 23

25. 【內部使用】
執行階段-相關產出(1/3)
l建立個資管理程序-個資蒐集作業流程(範例)
24

26. 【內部使用】
執行階段-相關產出(2/3)
l個資項目技術控制措施基準值評估表(範例)
Checkbox
No Level Control Note
Yes No N/A
技術控制措施類別*1)存取控制之執行
9 高 是否已採用DLP與DRM工具 若個資為特種個資，必要時應側錄使用
者存取行為，並由指定之高階主管審視
或抽核是否有不符合個資規範之行為
技術控制措施類別*2)職責分工
10 V 中 是否已依據獨立性原則採用職責分工 例如負責系統管理者不應同時負責管理
系統日誌(log)
技術控制措施類別*3)最低限度存取
15 V 中 「職責分工」Level等級中之內容是否完
全符合
技術控制措施類別*4)遠端存取
17 V 中 本機關是否已建立遠端存取之自動監控 確保從遠端連線至本機關資訊系統之活
措施 動均符合本機關所訂定之遠端存取政策
技術控制措施類別*5)使用者資訊共享
21 V 中 是否已禁止將個資儲存於共享資料夾
技術控制措施類別*6)可攜式行動裝置之存取控制
27 V 普 可攜式行動裝置若連接至本機關內部網 可攜式行動裝置包含外接儲存設備(如
路與資訊系統時是否已經過授權始可使 USB隨身碟、外接硬碟)、含有資料儲
用 存功能之可攜式行動運算/通訊設備(如
筆記型電腦、PDA、行動電話、數位相 25
機、錄音筆等)

27. 【內部使用】
執行階段-相關產出(3/3)
l年度個資管理認知與訓練計畫表(範例)
參加對象
課程類別 課程名稱 學分數 實施頻率
個資管理
主管人員 一般同仁
專責人員
認知 個資管理基礎認知課程 1.5 每年 O O O
認知 個資法令規範充電課程 1.5 每半年 O O O
一般訓練 個資(蒐集)生命週期作業流程說明 1 每年 O O O
個資(利用與處理)生命週期作業流
一般訓練 1 每年 O O O
程說明
一般訓練 個資(蒐集)生命週期技術措施說明 1 每年 視需要 視需要
個資(利用與處理)生命週期技術措
一般訓練 1 每年 視需要 視需要
施說明
專業訓練 個資流程與項目盤點實務課程 1 每年 O
專業訓練 隱私衝擊分析實務課程 1 每年 O
專業訓練 個資風險評鑑實務課程 1 每年 O
26

28. 維護階段-活動與任務 【內部使用】
活動與任務(Activity & Task)
Task1：彙整前一檢視週期個資事故紀錄
Task2：彙整前一檢視週期個資流程管理紀錄
Task3：彙整前一檢視週期個資保護安全控制項目管理紀錄
Activity1：個資管理報告檢視
Task4：彙整前一檢視週期個資管理認知與教育訓練計畫執行紀錄
Task5：進行個資管理預期目標與實值之差異分析
Task6：研擬差異項目之預防與矯正行動方案建議
Task1：安排個資管理內部稽核人員與職責分工
Task2：規劃個資管理內部稽核計畫
Activity2：個資管理稽核活動 Task3：核可與通知個資管理內部稽核計畫
Task4：執行個資管理內部稽核
Task5：完成個資管理內部稽核報告
Task1：個資事故識別與登錄
Task2：進行個資事故範圍控制與調查
Activity3：個資事故追蹤處理 Task3：進行個資事故通報
Task4：擬定個資管理新增控制措施建議
Task5：完成個資事故結案
Task1：彙整外部最新個資相關法令規範內容
Task2：彙整個資管理預防與矯正行動方案
Activity4：管理組織審查會議 Task3：彙整個資事故追蹤處理結果
Task4：彙整內部與個資委外作業稽核結果
Task5：舉行管理組織審查會議
Task1：安排個資管理改善計畫相關人力與資源
Activity5：個資管理改善計畫 Task2：執行個資管理改善計畫
27
Task3：檢視個資管理改善計畫執行結果

29. 【內部使用】
維護階段-相關產出(1/3)
l稽核計畫(範例)
28

30. 【內部使用】
維護階段-相關產出(2/3)
l個資事故通報與紀錄表(範例)
29

31. 【內部使用】
維護階段-相關產出(3/3)
l預防與矯正行動方案(範例)
30

32. 【內部使用】
ISMS與個資保護導入之整合
31

33. 【內部使用】
結論
Ÿ PDPS方法論旨在提供組織於導入個資保護系統之參考
，因而發展出一套適用於各組織面對個資法實施時，
如何建立組織內個資管理機制之參考步驟
Ÿ PDPS方法論分為定義、規劃、執行及維護等四個階段
− 各階段分別有不同的活動(Activity)進行，例如個資管
理組織架構、個資項目盤點、個資隱私衝擊分析與風
險評鑑、個資管理流程及技術控制措施建立等
− 各項活動中又有許多任務(Task)需要執行
− 過程中可能需要各種不同資訊的提供，再輔以各種執
行手法與相關工具，完成該項任務
− 任務如有產出將可能成為其他任務或活動執行時所需
參考之資訊
32