個人資料盤點及風險評估工具 資料輸入前台 使用者操作使用手冊 科技股份有限公司
資料輸入前台之使用者登入帳號 網站管理後台上方功能表之 帳號管理 \ 使用者管理 所設定之帳號為各單位之使用者 ( 個資盤點資料之承辦人 ) 登入資料輸入前台之帳號 使用者帳號之管理維護請見網站管理後台 - 管理者操作使用手冊 2
資料輸入前台之登入及登出 (1/2) 個資盤點及風險評估工具 : 資料輸入前台 輸入帳號 密碼 驗證碼以登入資料輸入前台 第一次登入時系統會強迫重設密碼 點選 登出 按鈕以登出資料輸入前台 3
資料輸入前台之登入及登出 (2/2) 忘記密碼時向系統提出重設密碼之需求 點選登入畫面之 忘記密碼 點選帳號類別 : 一般 一般 : 一般使用者帳號 二級 : 二級單位管理者帳號 一級 : 一級單位管理者帳號 輸入電子信箱 帳號 驗證碼 點選 送出 按鈕 電子信箱 與 帳號 須與申請帳號時一致不一致則無法申請重設密碼 4 以 E-Mail 信箱收到的系統重設之密碼登入後, 系統會強迫重設密碼, 使用者便可設定自己能記憶的密碼
個人資料盤點及風險評估工具 個資盤點及風險評估工具 : 資料輸入前台 開始個資項目盤點表 輸入個資盤點資料 進行個資檔案風險評估 ( 進行六個評估構面之風險分析 ) ( 判定風險發生可能性等級 ) 系統自動計算風險值風險值 (R) = 可能性 (P) 衝擊程度 (I) 個資法 17 條應公告事項 個資檔案風險評估彙整表 決定可接受風險值 不可接受 可接受 擬訂個資風險處理計畫 個資風險處理計畫 5 結束
輸入個資盤點資料 (1/3) 點選上方功能表之 個資盤點表 在左方區塊點選個資盤點時的正確 年度 再點選 新增盤點表 6
輸入個資盤點資料 (2/3) 依序輸入下列各個欄位之個資盤點資料 業務流程 個資檔案名稱 保有依據 特定目的 個資類別 個人資料之範圍 資料形式 有否特種資料 何種特種資料 個資存放位置 蒐集 ( 來源 方式 單位 ) 處理 ( 方式 單位 ) 利用 ( 期間 地區 方式 單位 ) 保存 ( 單位 期限 ) 銷毀 ( 形式 頻率 ) 揭露 ( 對象 方式 個資範圍 ) 全部輸入完成後按 送出 按鈕即完成新增 若按下 清除 按鈕則會清空已輸入資料 7
輸入個資盤點資料 (3/3) 輸入個資盤點資料畫面如下 : 8
列印個資盤點資料 個資盤點表列印 點選 個資盤點列印 列印個資項目盤點表 點選 列印個資法 17 條應公告事項 列印個資法 17 條規定個資應公告事項 點選 匯出資料 按鈕可將資料匯出成 Excel 檔案 9
刪除個資盤點資料 刪除個資盤點資料 找到欲刪除之個資後點選 刪除 按鈕 10
編輯個資盤點資料 (1/3) 點選欲編輯之 個資檔案名稱 進入該筆資料之個資項目盤點表 11
編輯個資盤點資料 (2/3) 點選下方 資料修改 按鈕 12
編輯個資盤點資料 (3/3) 編輯完成後點選下方 確認修改 按鈕 13
個資檔案風險評估 (1/5) 進行個資檔案風險評估 點選 個資盤點表 14 點選欲進行風險評估之個資所在 年度 點選 評估 按鈕進行個資檔案風險評估
個資檔案風險評估 (2/5) 進行六個評估構面之風險分析 15 可識別性 個資數量 敏感程度 特定目的範圍內利用 外部利用 國際傳輸 判定風險發生可能性等級 輸入 現有控制措施 全部輸入完成後按 送出 按鈕即完成風險評估
個資檔案風險評估 (3/5) 評估項目 ( 構面 ) 可識別性 個資數量 敏感程度 影響及衝擊等級表 影響及衝擊等級表 (I) 輕微 (1) 嚴重 (2) 非常嚴重 (3) 個人資訊查詢困難, 耗費過鉅或耗時過久始能識別特定當事人者 20 筆以下 ( 團體訴訟不成立 ) 僅有識別資料 ( 未含其他個人活動 財務金融或特種個人資料 ) 僅可以間接識別特定當事人者 ( 需要與其他資料進行對照 組合 連結等, 始能識別該特定的個人 ) 一般個資 21~20,000 筆特種個資 21~2,000 筆 含有個人活動資料或財務金融資料 可以直接識別特定當事人者 ( 不需要與其他資料進行對照 組合 連結等, 就能識別該特定的個人 ) 一般個資 20,001 筆以上特種個資 2,001 筆以上 含有特種個人資料 ( 醫療 基因 性生活 健康檢查 犯罪前科 ) 特定目的範圍內利用 僅於特定目的範圍內利用個人資料 有特定目的外利用個人資料, 但符合例外條款 有特定目的外利用個人資料, 但不符合例外條款 外部利用無外部利用情形無償委任關係外部利用有償委任關係外部利用 16 國際傳輸無國際傳輸情形主管機關未規定之國際傳輸主管機關訂定規定之國際傳輸 註記 : 評估項目參考 NIST SP800-122 選定, 等級判定依據 個人資料保護法 之相關要求訂定, 依據以上項目分項判定, 最後依據最高衝擊原則, 判定衝擊程度等級
個資檔案風險評估 (4/5) 風險發生可能性等級表 等級可能性發生機率描述 3( 高 ) 幾乎確定 61-100% 在大部分的情況下會發生 2( 中 ) 可能 41-60% 有些情況下會發生 1( 低 ) 幾乎不可能 0-40% 只會在特殊的情況下發生 17
個資檔案風險評估 (5/5) 修改個資檔案風險評估 點選 個資風險評估表 點選欲修改風險評估之個資所在 年度 點選 修改 按鈕修改個資檔案風險評估 18
個資風險值 (1/2) 系統自動計算風險值 風險值 (R) = 可能性 (P) 衝擊程度 (I) 風險分布矩陣 發生機率影響 / 衝擊程度 幾乎不可能 (1) 可能 (2) 幾乎確定 (3) 非常嚴重 (3) 3( 中度 ) 6( 高度 ) 9( 極高度 ) 嚴重 (2) 2( 低度 ) 4( 中度 ) 6( 高度 ) 輕微 (1) 1( 低度 ) 2( 低度 ) 3( 中度 ) 19
個資風險值 (2/2) 決定可接受風險值 風險判別與處理 風險值 (R) 風險等級 風險判別與處理 1 或 2 1 可接受風險 接受 3 或 4 2 可接受風險 持續監視 6 或 9 3 不可接受風險 立即控制 20
個資檔案風險評估彙整表 列印個資檔案風險評估彙整表 點選 個資風險等級判定 點選欲列印 年度 點選 風險評估表列印 列印個資檔案風險評估彙整表 點選 匯出資料 按鈕可將資料匯出成 Excel 檔案 21
個資風險處理計畫 (1/5) 擬訂個資風險處理計畫 擬訂時機 : 個資風險評估結果為不可接受風險 點選 個資風險處理計畫 22 點選欲擬訂個資風險處理計畫之 年度 點選 新增 按鈕新增個資風險處理計畫
個資風險處理計畫 (2/5) 23 依序輸入下列各個欄位以新增個資風險處理計畫 風險說明 風險處理型式 改善活動 / 控制措施 預定完成日 實際完成日 ( 已完成才須輸入 ) 覆核人員 處理結果 ( 預設為 未完成, 完成時才能點選 已完成 ) 全部輸入完成後按 送出 按鈕即完成新增
個資風險處理計畫 (3/5) 按 編輯 按鈕可修改個資風險處理計畫 24 點選 處理計畫列印 列印個資風險處理計畫 點選 匯出資料 按鈕可將資料匯出成 Excel 檔案
個資風險處理計畫 (4/5) 25 若個資風險處理計畫之處理結果已設定為 已完成, 評鑑欄位會出現 再評估 按鈕, 此時可點選 再評估 按鈕進行個資檔案風險再評估, 完成個資風險再評估作業之後, 再評估 按鈕會轉成 編輯 按鈕以供修改風險再評估之相關資料, 亦可點選上方功能表之 個資風險評估表 後, 點選個資 評估修改 欄位之 修改 按鈕進行修改 ( 上述兩種修改方式請詳見下頁畫面示意圖 )
個資風險處理計畫 (5/5) 26
~ 如有任何問題. 歡迎隨時來電詢問 ~ SafeLink 科技股份有限公司臺中市西屯區國安一路 208 巷 6 號 TEL:886-4-2525-0535 FAX:886-4-2461-5268 http://www.safelink.com.tw/ E-mail: sam@safelink.com.tw 27