行政院環保署環監測資處實證試辦水質業務 - HackMD

<style> .markdown-body { max-width: 1000px; } .markdown-body table { word-break: unset; } .text-center{ text-align: center; //文字置中 } .text-left{ text-align: left; //文字靠左 } .text-right{ text-align: right; //文字靠右 } </style> <span class="text-center"> # 行政院環保署環監測資處實證試辦水質業務 </span> # :bookmark_tabs: Workshop（第二場） **時間：2023年06月30日 14：00 - 16：30 地點：2樓預報室(臺北市中正區中華路一段83號環保署監資處) 參與單位：數位發展部多元創新司、行政院環保署環境監測及資訊處、環輿科技股份有限公司、財團法人資訊工業策進會科技法律研究所** --- # :label: 十二項指引 ## 7. 指引七：機關之資料以做成「開放資料」為原則；共享資料時則以開放格式、安全且有效方式為之 ++*機關之資料以做成開放資料為原則；機關共享資料時，宜以開放格式、安全且有效的方式為共享，以提升資料之效益及公開透明。*++ :::spoiler 7.1[機關資料的利用類型以做成開放資料為原則；符合例外情形時，可考量為「共享資料」或「不開放資料」](#g1) 7.1.1機關資料之利用類型以「開放資料」為原則。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.1.2機關資料有以下情形時，利用類型則可考量為「共享資料」或「不開放資料」： * 有政府資訊公開法第18條第1項各款情形之一者。 * 經評估資料開放不符合公共利益。 * 資料的建置或取得成本不符合效益，或需額外客製化費用。 * 其他法律規定者。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.1.3有下列情形之一者，各資料提供機關得停止全部或一部開放資料之提供： * 因政策變更或其他正當事由，致各資料提供機關評估認為原提供之資料宜轉為非開放資料。 * 所提供之資料，有侵害第三人智慧財產權、隱私權或其他法律上利益之虞。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 7.2[共享資料之情形](#g2) 7.2.1各級政府主計機關及辦理統計業務之中央一級主計機關若是為統計目的需要，或是為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，各級政府機關宜依據統計法第18條規定辦理。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.2.2共享資料雙方依需求約定共享資料授權條款並得保留撤回權，宜考量雙方平等互惠原則，必要時簽訂保密協議。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.2.3機關宜將共享資料清單及其特定利用條件與收費基準公開於政府資料開放平臺，並宜定期檢視前述項目之妥適性並適時調整。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.2.4於符合法規前提之適當情況下，資料擁有者及資料利用者宜致力於協調及共享其資料集，以推進共同目標、滿足機關資料需求及減少蒐集資料的負擔。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.2.5機關宜從制度面設計誘因鼓勵跨機關或跨單位之間提供或共享資料集，以提升機關人員資料提供之意願與效率。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 7.3[共通性要求--建立開放資料、共享資料之安全措施](#g3) 7.3.1資料若涉及個人資料或機敏性，提供資料以前宜有安全措施保護及經過適當處理，適當處理包括去識別化（de-identification）、加密（encryption）、匿名化（pseudonymization）等方式，或改以無洩漏個資之虞，並符合母體特性之抽樣資料或模擬（合成）資料方式開放。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:個人資料保護法及其施行細則 7.3.2於共享資料情形，宜有適當安全性保護措施，例如：電子傳輸時使用加密模式或加密連結等措施。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.3.3於共享資料情形，宜確保相關人員是基於適當存取權限、職務上、或合法之目的始能存取資料。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 7.4[共通性要求--確保開放資料、共享資料以合法、合規為前提](#g4) 7.4.1機關宜遵循相關法律、規範及指引文件，辦理資料之開放或共享。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:政府資訊公開法 :black_medium_small_square:政府資料開放授權條款 ::: :::spoiler 7.5[共通性要求--確保開放資料及共享資料之品質](#g5) 7.5.1機關於政府資料開放平臺發布資料集前，宜確保資料提供格式符合開放格式之原則，並確保資料品質。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.5.2於共享資料情形，宜進行適當風險評估、確認資料集符合開放格式原則；資料提供者與利用者之間宜確保資料之一致性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 7.6[有關開放資料或共享資料之過程宜盡量予以記錄](#g6) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |7.1、7.5| <span id="g1"></span>1. 開放資料時，宜符合「政府資料開放平臺」上關於「開放格式」之定義：以機器可讀、批次不零散，其格式之規格可被自由公開披露，且無收費或其他限制於其使用上。<br>2. 政府開放資料及共享資料，宜依循數位發展部發布之「行政院及所屬各級機關政府資料開放作業原則」、「政府資料品質提升運作指引」等相關規範。<br>3. 統籌規劃管理資料集，並將資料集集中於政府資料開放平臺發布予公眾。<br>4. 鼓勵資料開放與再利用。<br>5. 機關考量例外認定資料集為「共享資料」或「不開放資料」之情形。<br>6. 各資料提供機關停止提供全部或一部開放資料之例外情形。<br>7. 開放資料若因政策變更或其他正當事由，須轉為「非開放資料」之類型，有依循「行政院及所屬各級機關政府資料開放作業原則」所訂之正當程序，並於政府資料開放平臺公告停止提供及其理由。|※機關如何管理、維護開放之資料、資料清單？<br>※如何以標準開放格式（例如：使用通用性術語描述資料）、機器可讀且具一定品質方式，提供外界使用該資料？<br>※機關區分資料利用類型為開放資料、共享資料或不開放資料，考量為何？<br>※機關內部有無列出、建置共享資料或不開放資料之清單？如何檢視其合宜性？多久檢視一次？<br>※公眾建議機關提供的資料屬於共享資料或不開放資料時，如何適當回應公眾？<br>※機關列示於政府資料開放平臺的資料集有哪些？<br>※使用哪些適當的工具與技術，將資料集有效率的發布至政府資料開放平臺？<br>※如何鼓勵資料開放及資料再利用？<br>※機關考量「共享資料」或「不開放資料」時，有無評估政府資料是否符合以下情形之一：<br>1.政府資訊公開法第18條第1項各款情形之一者。<br>2.經評估認為資料開放不符公共利益者。<br>3.資料的建置或取得成本不符合效益，或需額外客製化費用者。<br>4.其他法律規定者。<br>※機關內部如何評估停止全部或一部開放資料之提供（機關內部檢視停止提供資料的方式為何）？<br>※經評估開放資料若有不符合公共利益，或涉及侵害第三人智慧財產權、個人隱私、營業秘密或其他法律上利益之虞時，各資料提供機關之因應機制或程序為何？<br>※若因政策變更或其他正當事由，致「開放資料」須轉為「非開放資料」類型的情形，機關內部之程序為何？| |7.2|<span id="g2"></span> 8. 主計機關(構)若為統計目的需要，或為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，建議宜留意統計法第18條之規定。 <br>9. 機關間宜考量基於互惠，妥適約定共享資料之方式，必要時簽訂保密協議。<br>10. 機關在制度面上宜設計鼓勵跨機關或跨單位間資料共享之誘因。<br>11. 機關可將共享資料清單及其特定利用條件與收費基準公開於政府資料開放平臺。<br> 12. 依據跨機關或跨單位間提供或共享資料需求，建立適當的資料傳輸機制。|※主計機關(構)若為統計目的需要，或為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，有無確認該資料是否屬於依法不得提供之資料（例如：國家機密保護法）？<br>※評估向其他機關申請提供資料時，有無考量資料的建置或取得成本是否符合效益？<br>※第三方單位向資料擁有者提出共享資料的需求時，資料擁有者有無評估額外收取客製化費用？（例如：所耗費之人力、時間過鉅）<br>※機關共享資料集時，如何確認所共享的資料符合開放格式原則？<br>※目前有將哪些資料集授權、提供給其他機關使用？有共通平臺可以使用？機關內部有無建立並維護共享之資料清單？<br>※機關如何確認不能共享或無法共享的資料為何？有哪些管理或限制方法？<br>※機關間共享資料時，有建立共享資料授權利用條款？針對機關雙方所約定的共享資料授權利用條款包含了哪些內容（例如：載明資料共享目的、資料範圍、利用方式及限制等）？有無約定資料撤回方式？是否另外簽訂保密協議？<br>※如何適當管理、定期檢視資料共享協議？多久定期檢視一次？<br>※資料共享時，是否留存申請或使用紀錄？相關紀錄如何留存？<br>※機關有無將共享資料清單及其特定利用條件與收費基準，公開於政府資料開放平臺？前述項目包含哪些內容？如何檢視、調整前述項目之妥適性？多久檢視一次？<br>※機關如何給予互利互惠或提供資料共享之誘因，以鼓勵、促進跨機關/跨單位間之資料共享、資料索取和提供意願？有無相關的制度或獎勵機制設計？<br>※機關如何將資料存取平臺中的資料安全地匯出至其他系統？<br>※機關採取何種標準格式，進行平臺間之資料傳輸？| |7.3| <span id="g3"></span>13. 機關擁有之個人資料經適當處理。<br>14. 採取適當安全性保護措施。<br>15. 審查資料釋出後被再識別的風險。|※可能會蒐集到哪些個人資料？提供資料前如何將個人資料進行適當處理？<br>※機關間個人資料的提供或傳輸程序，機關內部有無相關特別規範？<br>※如何確保開放資料或共享資料之安全性？<br>※機關如何保護個人資料和非個人資料之安全？機關存放個人資料之空間為何（例如：內網、外網）？以及刪除或抹除個人資料的機制或程序為何？<br>※資料若涉及個人資料或機敏性，採取了哪些安全保護措施？以及如何經過適當處理使資料符合開放資料特性？（例如：去識別化、加密、匿名化之方式為何？採取的技術工具為何？）<br>※資料蒐集或交換傳輸時，採取哪些適當安全性防護措施？（例如：身分識別、資料正確性檢核、電子傳輸時使用加密模式或加密連結等措施）<br>※如何確保相關人員是基於適當存取權限、職務上、或合法之目的始能存取資料？<br>※使用哪些工具測試安全性漏洞?<br>※機關如何事先評估提供去識別化資料集之風險？後續多久再次進行風險評估？| |7.4| <span id="g4"></span>16. 對資料進行適當管理。<br>17. 機關開放資料或共享資料時，宜留意遵循現行相關法規要求之事項（例如：「行政院及所屬各級機關政府資料開放作業原則」、「政府資料開放授權條款」、「資料集詮釋資料標準規範」、「政府資料開放跨平臺介接規範」等）。|※機關在管理資料時，有參考、遵循哪些既有規範？（例如：「個人資料保護法」、「政府資訊公開法」、「行政院及所屬各級機關政府資料開放作業原則」、「領域資料標準訂定流程參考指引」等規範）<br>※機關遵循哪些相關法律、規範及指引文件，辦理資料集之開放或共享？| |7.5|<span id="g5"></span> 18. 確保資料品質，具完整性、正確性、一致性。<br>19. 資料提供符合公開性、透明度。|※機關發布資料集，如何給予公眾就資料使用需求表達意見和反饋資料的正確性、更正資料的機會，並有充分的回應？如何確保、維護開放資料的完整性？<br>※機關共享資料前，如何評估風險、確認資料集符合開放格式？資料提供者與利用者之間，如何檢視、確保資料之一致性？<br>※資料（個人和敏感資料除外）以完整、開放、有品質的、非歧視性、易於理解和存取、免授權費、機器可讀取的格式等方式公開？| |7.6|<span id="g6"></span>20. 記錄開放或共享的資料。|※機關如何適當記錄個人資料之蒐集、處理與利用之過程？是否安排定期檢視、分析？<br>※機關採用集中式或聯合方法來管理這些紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？<br>※機關如何記錄與外部共享哪些資料，以及共享原因為何？| <br> ## 8. 指引八：妥善運用資料提升決策或服務品質 ++*機關宜將經過分析的資料運用在有需求之業務中，在決策、規劃等業務中有效及適當的依據資料分析結果，以提升決策或服務品質。*++ :::spoiler 8.1[資料宜經過適當分析](#h1) 8.1.1資料宜經過適當分析以做為決策、制定計畫等業務之參考基礎，並鼓勵運用新興科技（例如：人工智慧、大數據分析、雲端運算服務等技術）進行資料分析。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 8.1.2進行資料分析、應用時尤其宜注意基本道德原則（例如：非歧視性等）。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 8.2[機關進行規劃、決策時宜使用資料（即循證決策）](#h2) 8.2.1機關在下決策、制定計畫等業務中，宜盡可能有效且適當的使用資料，並參酌與決策議題相關之規範、指引。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 8.2.2確保依據資料分析之結果進行決策。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 8.2.3機關運用資料進行規劃、決策時，宜留意、設定資料存取權限，以維護資料安全性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 8.3[有關循證決策之過程宜盡量予以記錄](#h3) 8.3.1機關循證決策時所應用之資料集、項目宜予以記錄，定期統計並適當公布以了解各資料集運用程度，作為資料管理之依據。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |8.1|<span id="h1"></span>1. 運用適當新興科技或技術進行資料處理、分析。<br> 2. 機關應用、分析資料時，留意基本道德原則。<br>3. 促進資料使用之透明性。|※機關對資料進行處理或分析時，可能會應用到哪些技術或系統？<br>※機關如果有應用新興科技或創新技術進行資料處理或分析時，通常會如何進行評估（例如：會考量哪些風險因素、請專家學者協助評估等）？以及後續如何監督和管理資料處理或分析的結果是否有誤或偏差？<br>※對於進行資料應用、分析等業務時，機關事先可能會將哪些基本道德原則納入政策規劃、考量的要素（例如：非歧視性、公平性、安全性等）？<br>※機關如何存取分析處理後的資料，及其修改或變更的相關紀錄？<br>※機關是否妥適使用描述性詮釋資料，以提供資料存取及使用限制的相關資訊？<br>※機關運用資料時，是否妥適維護智慧財產權、標示資料來源、遵守相關法律規範？| |8.2|<span id="h2"></span>4. 機關進行業務規劃、決策時宜妥適使用資料，及參考相關規範。<br>5. 機關宜妥適依據資料分析之結果進行業務規劃、決策。<br>6. 系統與資料的存取權限經適當的授權及控管，防止不當存取以維護資料安全性。|※機關進行業務規劃、決策時，可能涉及、依據的內部規範或程序有哪些？<br>※機關平時業務規劃、決策上，最常用或可能使用到之資料集有哪些？<br>※機關使用資料進行規劃、決策前，如何檢視、確認資料分析結果之正確性、合宜性？（例如：事先透過什麼程序或由哪個單位負責確認資料分析結果的正確性）<br>※機關宜保護資料之機密、隱私及完整性，如何設定使用者之存取權限，並採用哪些技術或措施定期維護資料之安全性？（例如：使用帳號、密碼進行身分驗證後，建立安全加密通道，才允許其使用網路連線或進入系統）| |8.2、8.3|7. 遵循個人資料之目的外利用要件。|※依個人資料保護法第16條，機關是否具備特殊事由始對個人資料為目的外利用？（例如：法律明文規定、為維護國家安全或增進公共利益所必要、為防止他人權益之重大危害、有利於當事人權益、經當事人同意...等。）| |8.3|<span id="h3"></span> 8. 記錄循證決策之過程。|※機關循證決策時所應用之資料集、項目是否適當做成記錄？<br>※機關有無定期檢視和管理各資料集的運用情形？| <br> ## 9. 指引九：完善資料儲存作業 ++*機關宜依據相關法律規範或政策，在資料保存目的消滅以前，將資料與資料集詮釋資料表一併安全的儲存。*++ :::spoiler 9.1[資料集儲存方式及儲存環境之完備](#i1) 9.1.1確保資料集儲存方式及儲存環境能符合機關實際業務需求。倘若機關執行業務時有資料之多元存取需求，建議可規劃、評估整合不同的資料儲存模式。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 9.1.2宜考量發生資料受侵害、遺失、滅失、毀損等事件時對利害關係人之危害或損失風險，及備份、備援等保存需求，選定適當的儲存方式及儲存環境。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 9.2[資料儲存安全措施](#i2) 9.2.1機關宜確保資料受到安全的儲存和處理。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 9.2.2機關宜依據資料屬性備妥符合其機密性和敏感度的預防措施，例如：將雲端儲存空間、個人自攜電子設備（Bring Your Own Device , BYOD）等議題納入控管要求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 9.3[依據需求及相關法規進行資料保存](#i3) 9.3.1機關宜考量資料屬性、目的、需求、保存成本、法規等因素，決定適當的資料保存備份頻率、方式與保存年限。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square: 檔案法 :black_medium_small_square: 機關檔案保存年限及銷毀辦法 ::: :::spoiler 9.4[有關資料儲存之過程宜盡量予以記錄](#i4) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |9.1|<span id="i1"></span> 1. 機關先了解其資料之存取需求，如果有多元存取模式之需求，建議可規劃、評估整合不同的資料儲存模式。<br>2. 機關需考量資通安全事件對利害關係人之危害或損失風險，及備份、備援等保存需求。|※機關內部目前的資料儲存方式及儲存環境為何？有沒有存在哪些待改善的既有限制？抑或可再精進之處？<br>※機關近期對於資料集儲存方式及儲存環境是否評估使用、整合不同的儲存模式？（例如：採用融合資料湖（data lake）和資料倉儲（data warehouse）整合架構；跨多雲或跨雲端資料中心及本地資料中心的整合架構。）<br>※資料若發生受侵害、遺失、滅失、毀損等事件，對於機關、資料利害關係人等，可能會產生之危害、損失及風險為何？<br>※組織（業務單位或資訊單位）對於可能發生資安事件之危害、損失或風險，事先規劃、採取了哪些預防措施或機制？（例如：採取的備份、備援技術或機制是什麼)| |9.2| <span id="i2"></span>3. 確認資料具備相對應的儲存安全措施。|※儲存個人資料時，如何評估是否需進行匿名化（anonymization）？以什麼技術或方式進行匿名化？或考量其他相對應的安全維護措施？<br>※機關內部採取了哪些控制程序或預防措施，確保、維護資料之機密性、安全性？<br>※平時由哪個單位負責管理維護、改善資料儲存系統和架構？<br>※針對資料儲存相關人員，平時如何給予培訓和指導？| |9.3|<span id="i3"></span>4. 遵守資料保存規範。<br>5. 落實資料備份。|※機關根據哪些相關法律（例如：我國個人資料保護法、資通安全管理法等相關法規及指引等）、政策，規劃內部的資料儲存機制及流程？是否載明於機關內部規範或文件中？<br>※機關有無考量引入自動化（automation）措施進行資料保存及備份？若有，引入的自動化措施為何？（例如：資料輸入驗證、自動品質檢查、或使用專業編碼工具而非電子表格）<br>※平時由哪個單位負責進行資料備份？| |9.4|<span id="i4"></span>6. 記錄資料儲存之過程。|※機關有無資料儲存之相關紀錄？以及資料儲存程序為何？<br>※對於被儲存資料的任何變更，是否確實留有軌跡紀錄？<br>※機關如何管理、保存這些紀錄？| <br> ## 10. 指引十：完善資料抹除作業 ++*機關宜於資料保存目的消滅時，將資料以有效且安全的方式抹除，以降低資訊安全事故風險。*++ :::spoiler 10.1[建立資料抹除機制](#j1) 10.1.1機關宜依據法規、組織決策之授權等，必要時將資料以合法、有效且安全的方式抹除。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 10.1.2選擇抹除資料方式宜考量以下因素 * 被抹除資料的機敏程度。 * 資料未經授權而遭洩漏所造成的損害等。 * 確保資料抹除宜達到使資料無法被讀取或無法被檢索的程度，抹除範圍包含資料之副本及任何版本。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 10.2[資料抹除安全措施要求](#j2) 10.2.1確保抹除方式具備與資料機敏程度相同的安全保障措施。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 10.2.2確保抹除流程需與機關資訊安全風險評估一致。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 10.2.3機關依規定刪除或抹除資料時，宜依簽奉核定後刪除或抹除，並以適當方式記錄其執行結果。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 10.2.4建立資料抹除確認機制，以確保資料確實抹除並無其他備份。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 10.3[有關資料抹除作業過程宜盡量予以記錄](#j3) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:內政部個人資料保護管理要點 :black_medium_small_square:依據個資法27 III所規定之辦法 ::: <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |10.1|<span id="j1"></span> 1. 建立資料抹除制度、選擇適當資料抹除方式。|※哪個單位負責抹除資料？<br>※機關內部的資料抹除程序或制度為何？<br>※如何將資料以安全的方式加以刪除或抹除？<br>※選擇抹除資料的方式，有無考量以下因素：被抹除資料的機敏程度、資料未經授權而遭洩漏所造成的損害、資料抹除達到使資料無法被讀取或無法被檢索的程度等？| |10.2| <span id="j2"></span>2. 落實資料抹除之安全措施。|※資料抹除措施是否符合相關安全性要求？<br>※是否定期檢視或評估資料抹除措施之安全性、適當性？多久定期檢視一次？<br>※機關內部的資料抹除機制，如何達到使資料無法被讀取或無法被檢索的程度？（例如：採用了哪種抹除技術？)| |10.3|<span id="j3"></span>3. 適當記錄資料抹除作業過程。|※是否妥適記錄資料抹除相關資訊？（例如：抹除時間、資料機敏程度、抹除方式等)<br>※機關執行資料抹除作業時，有無記錄抹除原因為何？<br>※機關如何管理、保存這些抹除紀錄？| <br> ## 11. 指引十一：建立資料管理監督及評估機制 ++*機關宜建立監督及評估機制，定期檢視內部的資料管理是否遵循本指引要求事項及機關所訂之資料管理政策。*++ :::spoiler 11.1[實行稽核制度或適當監督機制](#k1) 11.1.1機關宜實行他方稽核或適當之監督機制制度，確認機關是否遵循本指引要求事項以及機關所訂之資料管理政策，並記錄過程以適當方式公佈結果，以持續精進相關制度。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 11.1.2宜保存監督及量測之佐證資料。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 11.2[機關宜定期檢視與評估](#k2) 11.2.1機關宜定期檢視與評估資料管理政策，以確保政策與相關執行機制之合宜性及有效性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 11.2.2機關資料管理執行機制之有效性評估，建議視機關之成本考量，參酌資料使用者之滿意度、必要資料之缺失率及補充率為評估。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 11.2.3針對資料管理政策中之資訊安全及個人資料保護相關措施，宜定期進行獨立及客觀之檢視與評估，以反映政府資通安全管理及個人資料保護政策、法令、技術及機關業務之最新情形，及確保資訊安全與個人資料保護實務作業之可行性及有效性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 11.3[有關監督及評估過程宜盡量予以記錄](#k3) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:電子化政府服務平臺機關資訊查詢作業管理要點 ::: <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |11.1|<span id="k1"></span> 1. 建立資料管理稽核制度或適當監督機制。<br>2. 建議機關保存監督及量測之佐證資料。|※機關有無建立、實行第二方或第三方稽核制度或適當之監督機制，確認機關是否遵循本指引要求事項以及機關所訂之資料管理政策？<br>※機關如何保存相關文件化資訊，作為監督及量測、評估之佐證資料？| |11.2|<span id="k2"></span> 3. 定期檢視與評估資料管理政策之合宜性及有效性。<br>4. 定期檢視與評估資料管理政策之資訊安全及個人資料保護措施。|※機關對資料實施了哪些品質監控？<br>※機關如何定期檢視與評估資料管理政策、制度或流程，是否仍具合宜性、適切性及有效性？<br>※隨著資料在系統中移動，資料的使用可能會發生變化，如何評估資料是否符合其原始目的和未來使用？（這將影響資料應用建議，以及原始資料是否適合繼續開放或宜進行更改。）<br>※資料料品質和價值可能因時間和應用領域等變化而降低，是否定期檢視、評估資料品質或價值有所影響以及繼續開放該資料集之必要性？多久檢視、評估一次？<br>※機關進行資料管理政策之資訊安全及個人資料保護評估、稽核相關作業，是否責由具獨立客觀之人，進行資訊安全與個人資料保護政策執行成果之評估？（例如：具專業技術及知識背景之內部稽核單位、資深主管人員，或委請民間專業組織或團體進行相關評估)<br>※機關有無定期針對所屬單位及人員進行資訊系統及技術應用之安全性評估（例如：資訊設備及系統提供者/管理者/資料擁有者/資料使用者/系統維護者等對象），以確保其遵守資訊安全相關規定？| |11.3|<span id="k3"></span> 5. 記錄資料管理監督及評估過程。|※機關有無建立監督及評估機制過程的文件化資訊？如何保存相關的文件化資訊？| <br> ## 12. 指引十二：持續改善與精進 ++*機關宜持續改善資料管理政策，並且宜有具體評鑑機制，以使資料管理政策持續與時精進。*++ :::spoiler 12.1[滾動精進資料管理需求](#l1) 12.1.1持續精進資料蒐集、分析與發布的運作方式與流程。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 12.1.2評估資料的使用效益及可再利用性，宜以使用者為出發點發布新的資料集，確保資料是必要的且高品質的，並能滿足機關、資料使用者之需求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 12.1.3根據資料管理需求，適當針對具機敏性資料調整保密協議。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 12.2[建立資料管理之預防及改善措施](#l2) 12.2.1機關宜持續改善資料管理制度之合宜性、適切性及有效性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 12.2.2稽核後有發生不符合事項時，機關宜有以下作為： * 因應不符合事項，適當採取行動以控制並矯正、處理後果。 * 審查不符合項目、列為不符合項目原因、是否有類似不符合項目存在，評估消除不符合事項原因的行動需求。 * 確實執行改善行動。 * 審查採取矯正措施之有效性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 12.2.3 機關宜定期進行風險評估，以判斷狀況是否已經改善。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 12.3[有關持續改善與精進過程宜盡量予以記錄。](#l3) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |12.1|<span id="l1"></span> 1. 根據資料管理需求調整、精進現行資料管理政策。<br>2. 機關評估資料使用效益及可再利用性，建議以使用者之角度考量發布新的資料集。<br>3. 若必要時，宜適當針對具機敏性之資料調整保密協議。|※機關如何識別導致工作項目和流程出現問題的原因，確保從源頭解決資料品質問題？<br>※機關如何評估資料是否符合其原始目的和未來使用需求，適時對於該資料管理措施進行調整？<br>※評估資料後，如何識別、確定需要改善的部分，並排定改善的優先順序、程序？<br>※機關如何評估資料的使用效益及再利用性？機關如何評估以使用者為出發點發布新的資料集，確保資料是必要且具品質的，並能滿足機關、資料使用者之需求？<br>※針對具機敏性的資料，機關內部如何調整保密協議？| |12.2| <span id="l2"></span>4. 資料管理之預防措施。<br>5. 資料管理之改善措施。<br>6. 定期進行風險評估。|※機關由哪個單位負責定期檢視資料管理政策、進行風險評估，以預防或降低風險與負面影響，確保達成其資料管理政策預期成果？<br>※機關多久進行一次定期檢視與風險評估？<br>※哪個單位負責維護、改善資料？<br>※機關如何關注、設定改善措施所欲達成的目標？設定目標時，是否考慮：資料的重要性、有多少資料可能受到影響、資料品質問題造成的風險、改善措施的衍生成本等？<br>※稽核後若有發生不符合事項時，機關將考量採取以下哪些作為？(1)因應不符合事項，適當採取行動以控制並矯正、處理後果。(2)審查不符合項目、列為不符合項目原因、是否有類似不符合項目存在，評估消除不符合事項原因的行動需求。(3)確實執行改善行動。(4)其他（請進一步詳細說明欲採取的措施）。<br>※機關後續如何審查採取矯正措施之有效性，並判斷狀況是否已經改善？| |12.3|<span id="l3"></span> 7. 記錄持續改善與精進過程。 |※機關內部是否會記錄改善與矯正了哪些資料？以及改善或矯正原因為何？<br>※機關如何管理、保存這些文件化資訊、紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？|