2023年11月【政府機關資料管理參考指引】Beta版（含Checklist & Key Questions） - HackMD

<style> .markdown-body { max-width: 1000px; } .markdown-body table { word-break: unset; } .text-center{ text-align: center; //文字置中 } .text-left{ text-align: left; //文字靠左 } .text-right{ text-align: right; //文字靠右 } </style> <span class="text-center"> </span> </p> #### ※瀏覽本指引前，請先閱讀且遵守相關規範：[HackMD使用說明與規範](https://hackmd.io/GecXvJYFSe64YiiAuMs0QA?view) # 前言 :::info &emsp;&emsp;**本指引援引資料生命週期之概念**，大方向以 ++**確立資料管理目的**++、++**資料獲取（或產製）**++、++**資料使用**++、++**資料儲存（或抹除）**++ 等階段（註：各機關依其業務職掌所涉及資料性質不同，不必然會歷經前述資料生命週期各階段，例如：「資料抹除」階段即視組織之需求及資料性質而定，並非必然過程），並於資料生命週期之資料儲存（或抹除）階段後，銜接 ++**評估與精進**++ 階段，共擬定12項指引原則；本指引亦結合PDCA（Plan-Do-Check-Act的簡稱）循環式品質管理概念，期許政府機關能依循指引之原則擬定符合組織需求之資料管理政策與機制，並以PDCA精神予以循序精進。 ::: :::spoiler 圖 1 ![](https://i.imgur.com/CI0syEl.png) <p class="text-center" > 圖 1 本指引與資料生命週期階段以及循環式品質管理階段對應關係 </p> ::: # 一、舉例說明本指引與現行其它資料處理相關原則、指引文件之關聯性 :::spoiler 圖 2 ![](https://hackmd.io/_uploads/Bkai8bYt2.png) <p class="text-center" > 圖 2　舉例說明本指引與現行其他資料處理相關原則或指引文件之關聯性 </p> ::: 本指引之範圍系涵蓋資料生命週期各階段，範圍相對較廣泛，而針對政府機關資料處理之細節議題，現行亦有相關原則或指引文件可資參酌（依據法令、行政規則之義務性、強制性規範，因為數眾多且篇幅有限，爰此處不納入討論），原則上其他原則或指引文件在資料生命週期各階段皆須依循，與本指引所提醒之原則為相輔相成之關係，以下就其他原則或指引文件（包括但不限於下列各項）與本指引之主要關聯性，舉例說明如下（參圖2）： :::spoiler 1. 領域資料標準訂定流程參考指引「領域資料標準訂定流程參考指引」為協助機關間進行資料交換之參考作業流程，資料生命週期各階段皆宜依循，但與本指引的主要關聯性會在第5點「建立資料轉換作業」。 ::: :::spoiler 2. 政府資料品質提升機制運作指引「政府資料品質提升機制運作指引」為協助機關建立及提升資料品質之運作指引，資料生命週期各階段皆宜依循，但與本指引的主要關聯性會在第5點「建立資料轉換作業」。 ::: :::spoiler 3. 資通安全管理相關指引文件在資料生命週期過程中，宜同時兼顧留意資通安全管理相關指引之原則、內容，以加強資訊安全管理作業，確保資訊系統與資料之機密性、完整性及可用性，維持機關業務之順利運作及保障民眾權益。例如：政府機關於導入資訊安全管理制度時，為評估機關資通系統與所屬資產所面臨之風險，可參照「資通系統風險評鑑參考指引」（110年12月修訂）內之風險評鑑作法，依自身需求進行詳細風險評鑑。再依評鑑結果，選擇「安全控制措施參考指引」（111年1月修訂）當中，相對應之安全控制措施進行風險管控。此外，在政府資訊作業委外部分，可透過「政府資訊作業委外資安參考指引」（111年8月修訂），協助政府機關相關人員在資訊委外各階段宜注意之資通安全控制措施與做法。 ::: # 二、本指引適用範圍適用於資料生命週期各階段資料生命週期區分方式無一定標準，本指引以下列各階段為例：++**確立資料管理之目的**++、++**資料獲取（或產製）**++、++**資料使用**++、++**資料儲存（或抹除）**++、++**評估與精進**++。 # 三、本指引用語及定義 :::spoiler 1. 資料（Data）指各機關於職權範圍內取得或做成之各類電子資料，包含文字、數據、圖片、影像、聲音、詮釋資料等。 ::: :::spoiler 2. 資料集（Dataset）指一群相關電子資料之集合，為提供政府資料開放與再利用之基本單位。 ::: :::spoiler 3. 資料管理（Data management）參酌DAMA之定義，「資料管理」為一個總稱，描述組織用於規劃、指明、實現、建立、維護、使用、存取、控管、儲存及抹除資料等相關流程。 ::: :::spoiler 4. 詮釋資料（Metadata）描述資料集的資料。 ::: :::spoiler 5. 資料擁有者（Data owner）於本指引中，指對資料具有管控權利之機關單位。 ::: :::spoiler 6. 資料提供者（Data provider）於本指引中，指將資料經處理後提供予特定或不特定對象之機關單位。 ::: :::spoiler 7. 資料使用者／資料利用者（Data user）指可合法存取資料的任何自然人或非自然人，並經授權以該資料作為商業或非商業目的使用。 ::: :::spoiler 8. 利害關係人指會對機關資料管理機制產生影響之內、外部團體或個人。 ::: :::spoiler 9. 共享資料（Shared Data）指以開放格式提供，且得以保留撤回權或其他特定條件與利用者共享之政府機關資料集。 ::: :::spoiler 10. 資料集價值指資料集對政府機關運作可帶來之效益。 ::: :::spoiler 11. 互通性（Interoperability）於本指引中，指讓資料在不同系統或組織之環境裡皆可被運作的能力。 ::: :::spoiler 12. 開放資料（Open data）指以開放格式提供，採無償且不限制使用目的、地區、對象及期間，以不可撤回之方式授權利用之政府資料。 ::: :::spoiler 13. 不開放資料（Closed data）指依法律規定不得公開、因資料集敏感或有其他特殊情形，可不予提供之政府資料。 ::: :::spoiler 14. 存取（Access）指使用者儲存、複製、檢索、移動資料或其他相關行為。 ::: --- --- # **四、十二條指引** ## **【一】確立資料管理之目的** ## **1. 指引一：建立資料管理政策** ++*機關宜擬定資料管理政策，包含資料管理之基本規則，於管理資料時有所依循，提升機關資料運用的效益。*++ :::spoiler 1.1[**政策宜掌握組織願景並敘明循證決策原則**](#a1) 1.1.1 於政策中描述組織需運用資料之業務。 1.1.2 組織宜評估與其資料管理目的有關且影響達成其資料管理之內外部議題。 1.1.3 政策宜敘明以資料分析結果作為業務規劃、決策過程之基礎，協助機關判斷、實踐當責（Accountability）制度，以提升公共利益。 ::: :::spoiler 1.2[**政策宜展現管理階層之領導及宣示**](#a2) 1.2.1 機關最高管理階層宜展現對資料管理政策與制度之領導、決策、鼓勵與對資訊之充分掌握，並宣示將資料作為長期性的戰略資產並加以運用，且致力使其宣示能被組織理解。 1.2.2 政策宜載明管理階層須負責的任務，如：明定資料管理目標，並確保目標與組織的策略方向一致。 ::: :::spoiler 1.3[**政策宜定義資料使用者與利害關係人，並適切了解社會大眾需求及期望**](#a3) 1.3.1 以資料受益者角度為核心，定義資料使用者與利害關係人。 1.3.2 確認資料使用目的、內容以及使用情境。 1.3.3 主動與資料使用者分享及溝通資料管理的流程、方式、法規及文化差異等。 1.3.4 使用溝通工具與技術，將資料之相關訊息或趨勢傳達予社會大眾，並適度參酌、考量社會大眾之意見。 1.3.5 以適當方式檢視資料使用者對資料價值、準確性、客觀性及對隱私保護的認知，滾動評估資料管理政策並予以精進改善。 1.3.6 以適當方式了解資料使用者之需求，確保資料使用者之意見經過處理且向上呈報，並納入優先改善事項。 ::: :::spoiler 1.4[**政策宜決定資料管理之範圍並敘明資料品質之重要性**](#a4) 1.4.1 評估機關業務需求，決定資料管理之範圍。 1.4.2 評估項目包括但不限於：內部與外部議題、利害關係人所提之要求事項、機關的職責與業務、資料儲存模式、機關可接受之風險程度、適用的規範（法律、命令、契約）等。 1.4.3 機關宜於政策明示，各業務考量資料性質並透過各項指標及分類方式，訂定資料品質相關標準與檢測資料品質之方式。 ::: :::spoiler 1.5[**政策宜考量組織層級、資源及規模，依推動需求設置經授權的資料管理組織**](#a5) 1.5.1 機關宜考量組織層級、資源及規模，依推動需要設置經授權之資料管理組織，並揭示於政策中。 1.5.2 政策宜明定資料管理組織之運作，並定義其角色、責任及權限。 ::: :::spoiler 1.6[**政策宜鼓勵機關進行跨機關或跨單位資料提供或共享**](#a6) 1.6.1 資料管理政策宜鼓勵機關進行跨機關或跨單位提供或共享資料，提升資料再利用之效益。 1.6.2 資料管理政策中宜依推動需要，適當明示規劃提升資料再利用之相關計畫，以促進跨機關或跨單位間資料提供或共享之可行性。 ::: :::spoiler 1.7[**政策宜明訂機關內部之資料安全管理機制，與個人資料保護措施**](#a7) 1.7.1 政策配合資通安全相關法規及機關之資通安全維護計畫，訂定資料安全管理機制。 :black_medium_small_square:服務型智慧政府2.0推動計畫 :black_medium_small_square:邁向數位平權推動計畫-深化數位發展調查與研究 :black_medium_small_square:強化公部門網路服務與運算雲端基礎設施計畫 1.7.2 政策依據個人資料保護相關法規，針對個人資料之蒐集、處理、利用及相關安全維護事項，訂定機關內部之個人資料保護措施。 :black_medium_small_square:服務型智慧政府2.0推動計畫 :black_medium_small_square:邁向數位平權推動計畫-深化數位發展調查與研究 :black_medium_small_square:強化公部門網路服務與運算雲端基礎設施計畫 ::: :::spoiler 1.8[**機關資料管理政策除考量前述1.1至1.7內容之外，宜依需求考量之其他事項**](#a8) 1.8.1 識別所適用之法規與相關規範。 1.8.2 識別組織所保有之資料類別。 1.8.3 提升機關所屬人員依其職掌所對應之資料處理或資料應用技能，以及所需之教育訓練。 1.8.4 資料管理制度之文件與紀錄管理。 1.8.5 內、外部稽核及評估機制。 1.8.6 預防及改善措施。 ::: :::spoiler 1.9[**有關建立資料管理政策之過程宜盡量予以記錄**](#a12) <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------- | | 1.1| <span id="a1"></span>1. 機關首長或其代理人已責成高階領導人，進行資料管理政策之規劃，由受指定之高階領導人啟動資料管理政策與管理願景的撰寫。<br>2. 組織願景敘述涵蓋機關推動資料管理之目的及內外部議題。|※負責資料管理政策之高階領導人對機關願景之掌控與規劃能力？<br>※機關建立資料管理政策與管理願景的動機？ <br>※影響機關進行資料管理的內外部議題？| | 1.2| <span id="a2"></span>3. 將願景納入資料管理流程規劃過程。<br>4. 定期檢視、討論資料管理如何與整體組織願景保持一致。<br>5. 徵求機關領導層級及管理層級對於資料管理要求事項與業務運作扣合程度之意見。<br>6.確保資料管理指導、管理決策及優先事項之間具有關聯性和實用性。|※ 是否有將資料管理推動過程所需各項資源（例如：人力、系統、資訊、設備）之整備程度納入考量？<br>※機關領導層級及管理層級對於「資料管理」的想法為何？<br>※機關檢視組織願景落實程度情形方式為何？以及如何確認下一步需要關注的方面？<br>※領導階層之決策中那些事項具有優先性？<br>※優先事項對達成機關資料管理之關聯性？| |1.3| <span id="a3"></span> 7. 於政策中明確定義出資料使用者、資料利害關係人。<br>8.資料使用之目的、內容、應用情境等，需依循資料管理政策、原則。<br>9. 機關宜充分、適當地了解資料使用者之需求及意見，並平衡不同使用者群體之意見，同時考量納入優先改善事項。| ※在資料管理政策中，有無明確定義出資料使用者或資料利害關係人等角色、相關權限？<br>※如何確認、檢視資料使用之目的、內容、使用情境，與原始蒐集目的是否相符？如何檢視資料使用之目的、內容、應用情境等，是否合於資料管理政策、社會大眾需求？<br>※機關是否設計公開透明、雙向溝通或評估與精進措施等相關機制，使資料使用者可充分表達其需求及建議，以利於後續資料管理政策之優化？| |1.4|<span id="a4"></span> 10. 機關經評估業務需求後，界定資料管理之架構與範圍，並載明在資料管理政策中。<br>11. 界定資料管理架構與範圍之評估項目，依機關需求決定，例如：內部與外部議題、利害關係人所提及之要求事項、機關的職責與業務、資料儲存模式及管理架構、可接受的風險程度、適用的規範（法律、法規、合約）等。<br>12. 有關資料儲存模式與管理架構的評估，例如：是否有清楚的資料運用流程模型、資料儲存於地端或雲端或混合式、資料應用是封閉式或開放式等。|※機關如何在資料管理政策中表述資料管理之架構與範圍？ <br>※機關如何評估並檢視與資料管理相關之要求，以界定資料管理架構與範圍？<br>※決定資料管理架構與範圍的評估項目與組織願景、機關職責及業務之關聯性？| |1.5|<span id="a5"></span> 13. 機關參酌「政府資料品質提升機制運作指引」，並考量資料利用者之期待，於資料管理政策中敘明資料品質要求。<br>14. 機關考量資料之性質，參酌「政府資料品質提升機制運作指引」之資料類型及品質檢測指標，訂定資料品質檢測方式。|※資料管理政策中如何敘明對資料品質的要求？<br>※機關如何考量資料的性質及資料的類型，訂定符合需求的資料品質檢測方式？| |1.6|<span id="a6"></span> 15. 資料管理政策中，針對機關決策過程宜積極考量資料分析與應用結果有明確要求與鼓勵。|※資料管理政策內容有無強調機關循證決策之概念？<br>※資料管理政策內容針對機關循證決策之方式有無適當說明及相關機制？ |1.7|<span id="a7"></span> 16. 資料管理政策中，明示考量組織層級及規模，依推動需要設置適當的資料管理組織。<br>17. 資料管理組織可考量由機關既有的資料開放諮詢小組（或工作小組）予以功能擴充。|※依機關組織層級及規模，是否考量設置資料管理組織或相關工作小組（例如：資料管理委員會、資料諮詢會議或資料戰略小組等任務型組織）？<br>※在資料管理政策中有無明確授權資料管理組織或相關工作小組的角色、責任及權限？ |1.8| <span id="a8"></span>18. 資料管理政策中，有明確鼓勵機關本於互惠立場，跨機關或跨單位進行資料提供或共享。<br>19. 視機關推動需求，在資料管理政策中規劃訂定提升資料再利用相關計畫、或適當的資料再利用管理程序。|※資料管理政策中有無明確鼓勵跨機關或跨單位進行資料提供或共享？<br>※資料管理政策中，如何擬定促進資料再利用計畫獲適當的資料再利用管理程序所要達到的目標與效益？| |1.9、1.10|<span id="a9"></span> 20. 機關視內部需求，參酌資通安全管理法訂定相對應之資通安全管理機制於資料管理政策中。（例如：發生資通安全事件之緊急通報程序、處理流程）<br>21. 機關視內部需求將個人資料保護措施納入、明訂於資料管理政策中。（例如：發生個人資料外洩事件之通報程序、處理流程）<br> 22. 機關若有委託外部蒐集、處理或利用個人資料之情形，宜對受託單位為適當之管理、監督。|※機關之資料管理政策中，有哪些針對資訊安全之相對應規範、程序或機制？<br>※機關之資料管理政策中，有哪些針對個人資料保護之相對應規範、程序或機制？<br>※機關是否有建立對於選任受託單位之標準、監督與管理機制？若有，機關對於受託單位之監督、管理方式為何？| |1.11| <span id="a11"></span>23. 機關擬訂資料管理政策時，除了本指引1.1至1.10相對重要之基本內容之外，已視資料管理之目的與需要，將本指引1.11所列之其他事項依需求納入資料管理政策中。|※機關擬定資料管理政策時，如何確立政策之架構以及宜納入政策之重要內容？<br>※資料管理政策除了宜納入本指引1.1至1.9相對重要之基本內容之外，依據機關資料管理之目的與需要，仍需要進一步考量本指引1.10所列之哪些其他事項？| |1.12| <span id="a12"></span>24.適當記錄建立資料管理政策相關過程|※機關建立資料管理政策時，相關決策（決議）過程是否有盡量予以記錄？<br>※前述資料管理政策之相關決策（決議）紀錄如何適當予以文件化並妥善保存？| ::: <br> ### **2. 指引二：建立資料目錄** ++*機關宜以資料使用者為出發點，盤點機關所需管理的資料集，識別機關已存在的資料、與尚未取得的資料，釐清機關對資料之需求。*++ :::spoiler 2.1[**機關宜了解資料使用者之需求**](#b1) 2.1.1 以適當方式瞭解資料使用者之需求，以及資料使用者對於資料品質之期待。 2.1.2 建立資料集清單，並持續維護資料集清單之完整性及品質，以支持機關滿足資料使用者之需求。 2.1.3 依據組織之通用性資料集標準框架及相關規範、標準等文件，進行資料集（含詮釋資料）盤點及整備。 :black_medium_small_square:行政機關電子資料流通實施要點第三點 :black_medium_small_square:資料集詮釋資料標準規範 2.1.4 依組織需求運用資料之業務，說明資料的目的及用途。 2.1.5 根據資料使用者對資料的需求、品質及目的等，設立資料集價值之評估基準，以確認資料集價值及保管資料之風險。 2.1.6 盤點時宜規劃資料再利用之範圍、限制與互通性（interoperability），並使資料於導入新技術時仍可被應用。 2.1.7 依機關內部規劃期間，或業務發生重大變動時，宜考量相關準則，再次進行資料集盤點及相關程序。 ::: :::spoiler 2.2[**機關對於資料之資安維護措施**](#b2) 2.2.1 宜考量機關之業務、資訊種類、數量、性質等因素，依據機關之資通安全責任等級，規劃相對應之資安維護事項。 :black_medium_small_square:資通安全管理法§7、9、 10 :black_medium_small_square:資通安全管理法施行細則§4、6、7 :black_medium_small_square:資通安全責任等級分級辦法 :black_medium_small_square:ISO27001國際標準 -- 8實作、A.5~A.18資安控制措施 :black_medium_small_square:資通安全維護計畫範本 2.2.2 機關宜辨識資料的屬性，確認是否屬個人資料、是否具機敏性、是否涉及特定權利等。 :black_medium_small_square:個人資料保護法§6、18、19、27 :black_medium_small_square:個人資料保護法施行細則§12、24 :black_medium_small_square:資通安全管理法§9、 10、 16II、17I :black_medium_small_square:資通安全管理法施行細則§4、6 :black_medium_small_square:資通安全管理法相關指引文件，例如：「資通系統風險評鑑參考指引」（110年12月修訂）、「安全控制措施參考指引」（111年1月修訂）。 :black_medium_small_square:ISO27001國際標準--6.1因應風險與機會之行動、6.1.2資訊安全風險評鑑、6.1.3資訊安全風險處理。 2.2.3 針對涉及個人資料之資料集，宜依據個人資料保護法及其施行細則之規範，採取技術上及組織上之安全維護措施（如：建立風險評估與管理機制）。 2.2.4 機關考量使用目的，宜針對個人資料及機敏性資料採取必要的保護措施（如：加密）。 ::: :::spoiler 2.3[**機關考量業務情形設定資料需求處理之優先序**](#b3) 2.3.1 機關考量業務情形，若於新設或緊急業務情況下，須確認關鍵資料之需求問題，以決定問題優先處理順序。 2.3.2 機關決定資料需求處理之優先序時，宜將資料的保管、處理成本效益納入考量。 ::: :::spoiler 2.4[**機關盤點尚未取得之必要資料**](#b4) 2.4.1 識別並盤點未取得之必要資料，釐清未取得原因為組織內已有此資料但尚未盤點出或欠缺此資料。 2.4.2 確認前述未取得資料後續處理之方式及優先序。 ::: :::spoiler 2.5[**有關識別資料需求之過程宜盡量予以記錄**](#b5) :black_medium_small_square:個人資料保護法施行細則 :black_medium_small_square:電子化政府服務平臺機關資訊查詢作業管理要點 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |2.1|<span id="b1"></span> 1. 已由機關高階領導階層指示團隊進行資料集之識別與盤點，確認所需管理資料之範圍。<br>2. 考量資料使用者之需求，釐清所需管理資料之範圍。<br>3. 依據組織之通用性資料集標準框架及相關規範、標準等文件，訂定符合機關業務性質之詮釋資料標準內容。<br>4. 依據機關需運用資料之業務，確認資料集之目的及用途。<br>5. 考量資料使用者對資料的需求、資料品質及目的等，於機關內部建立資料集價值之評估基準。<br>6.依據資料集價值評估基準，確認資料集價值及保管資料之風險。<br>7. 考量資料再利用之可能性，包括評估資料再利用之範圍、限制與互通性。<br>8. 機關於內部規劃盤點資料集期間，或業務發生重大變動時，宜考量再次進行資料集盤點及相關程序。|※機關組織內部有無建立資料集識別與盤點機制？如何進行資料集識別與盤點程序？<br>※涉及機關各業務之資料使用者需求為何？<br>※機關各業務單位之資料集盤點範圍有無考量資料使用者之需求？<br>※機關有無參酌其內部通用性資料集標準框架及相關規範、標準等文件，訂定符合業務性質之詮釋資料標準內容？<br>※機關對於經盤點後之資料集，如何確認資料集之目的、用途，以及資料集之價值、保管之風險?<br>※機關確認資料集目的、用途、價值、保管風險之頻率為何?<br>※機關內部如何建立有共識之資料集價值評估基準？<br>※如何操作資料集價值評估基準以確認資料集價值及保管資料之風險？<br>※針對經盤點之資料集，如何進一步評估資料再利用之可能性?<br>※機關內部規劃盤點資料集期間，或業務發生重大變動時，是否會考量再次進行資料集盤點及相關程序？係依據何標準進行考量？| |2.2|<span id="b2"></span> 9. 依據資料所屬之資通系統屬性與資通安全責任等級，規劃相對應之資安維護事項。<br>10. 資通安全由專責人員負責，並建立資安事件發生時之通報與處理機制。<br>11. 資料集涉及個人資料者，宜依據個人資料保護法及相關規範採取相關安全維護措施。|※依據機關之資通安全責任等級劃分，有無規劃相對應之資安維護事項？<br>※相關資通安全機制定期與不定期之演練、測試是否落實？有無依循資安審核標準或管理機制，並確立責任歸屬？<br>※機關組織之資料集有無涉及個人資料？<br>※機關針對涉及個人資料之資料集，所採取之安全維護措施為何？對於個人資料之管理及保護機制為何？| |2.3|<span id="b3"></span> 12.討論資料需求優先序之成本與效益。|※資料保管、處理所帶來的效益，是否大於產生之成本，以及該成本對機關庶務之影響？<br>※保管與處理資料之依據或授權？| |2.4|<span id="b4"></span> 13.針對尚未取得之必要資料訂定取得之排程與執行方式。|※定期檢視、確認必要資料之取得情況與進度？<br>※排程無法達成時對機關之影響程度？<br>※機關如何確認前述未取得資料之後續處理方式及優先序？有無需要增加未取得資料後續處理方式及優先序之相關問題？| |2.5|<span id="b5"></span> 14.適當記錄機關識別資料之需求相關過程。|※機關識別資料需求之作業過程有無相關紀錄文件？若有，如何保存這些紀錄？| ::: <br> ### **3. 指引三：規劃資料管理所需資源** ++*機關宜投入相關資源，包括政策、組織架構、人員與權限、資源及技術等。*++ :::spoiler 3.1[**機關建立內部資料管理組織**](#c1) 3.1.1 各級機關宜於內部設立資料管理組織。 3.1.2 資料管理組織由具資料管理專長的組織成員組成。職責為訂定資料管理相關政策、標準及流程等，並確認組織欲透過資料解決之議題及訂定相應的資料處理需求優先順序。 3.1.3 機關宜在符合相關資料保護法令時，於其公開網頁中公告組織資料管理之相關資訊，包括但不限於成員、規則、會議紀錄等。 ::: :::spoiler 3.2[**機關進行資料管理落實程度自我評估，並能參酌評估結果決定投資戰略資源的優先順序**](#c2) 3.2.1 機關宜檢視內部資料管理現況，是否與資料管理之目標相符或存在落差，建議透過資料管理自我評估機制，持續審視落實程度。 :black_medium_small_square:歐盟《數據治理法》（Data Governance Act，DGA） 3.2.2 初步的資料管理落實程度與自我評估重點、項目，宜建立在資料及資料管理相關基礎制度，如：資料管理政策、程序、作業層面。 3.2.3 資料管理落實程度自我評估結果得作為後續持續檢視、檢討與修正機關投入資源先後順序之依據。 ::: :::spoiler 3.3[**建立及強化組織內部認知**](#c3) 3.3.1 機關領導人宜將其對機關資料管理之領導及承諾適當下達讓機關內部成員了解，並將資料的管理與運用納入決策中。 3.3.2 建立組織內部成員對資料品質的責任感。 ::: :::spoiler 3.4[**採用合適的資料架構與應用技術**](#c4) 3.4.1 機關依實際資料存取需求，並根據資料類型與性質，規劃、採用合適的資料架構。如：結構化、非結構化資料，及資料安全、儲存可靠性等資料特性。 3.4.2 機關宜進行資料架構風險評估。機敏資料之傳輸，與機敏資料存取、備份及備援之實體所在地宜依據政府資通安全管理相關法規及指引文件等為風險評估，以降低可能風險。 3.4.3 機關於規劃資料存取技術時，若有多元存取需求，可靈活採用資料湖（data lake）、資料倉儲（data warehouse）、多雲、跨多雲、混和雲等不同資料架構。 1.行政院及所屬各機關資料中心設置作業要點(1111215修正) 2.政府機關雲端服務應用資安參考指引(v1.2) 3.資通安全管理法&FAQ(1120214版) 3.4.4 隨時因應科技演進而適時調整所使用之新興技術。 ::: :::spoiler 3.5[**培訓機關人員能力**](#c5) 3.5.1 機關宜持續投資資料管理環境建立與人才培育，確保機關人員具有適當訓練、經驗與能力。 3.5.2 機關宜培養資料相關領導人才，據以實踐資料使命及發揮價值。 3.5.3 機關宜提高資料管理及分析能力（資料人員分析與評估、資料管理能力或隱私保護意識等）。 ::: :::spoiler 3.6[**建立外部溝通及合作機制**](#c6) 3.6.1 機關宜致力與外部資料使用者保持良好溝通，就以下事項（包括但不限於）達成共識，以兼顧資料使用者之需求。 ● 與外部資料使用者之間維持合作夥伴關係與良好溝通管道。 ● 與共享資料之資料使用者建立共享機制或互惠之合作機制，包括共享之方式、程序、撤回機制等，以確保共享資料時不致危害資料安全。 3.6.2 機關宜向特定之外部資料使用者，明確表示授權或使用描述性詮釋資料，以利資料存取及確認使用條件等相關資訊。 :black_medium_small_square:政府資訊公開法 :black_medium_small_square:著作權法 :black_medium_small_square:政府資料開放授權條款 :black_medium_small_square:行政院及所屬各級機關政府資料開放作業原則 ::: :::spoiler 3.7[**擬定及更新資料管理相關協議或條件**](#c7) 3.7.1 根據執行資料管理需求擬定相關協議文件，包括契約、合作協議等。 3.7.2 機關宜定期檢視更新、修正與資料管理需求相關之協議或條件。 ::: :::spoiler 3.8[**有關規劃資料管理所需資源之過程宜盡量予以記錄**](#c8) <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |3.1| <span id="c1"></span>1. 已決定由適當人選擔任機關內部資料管理組織之領導者並任命組織成員。<br>2. 列出資料管理組織成員的角色與任務。<br>3. 資料管理組織之章程已確保每個角色均有明確的責任歸屬。<br>4. 機關內部已建立常規化流程以檢視組織成員資格。<br>5. 建立資料管理組織之章程。|※資料管理組織領導者與成員對機關資料管理之掌握程度？<br>※資料管理組織所欲推動或執行之目標有無達成？<br>※個別資料管理組織成員角色的任務與行動與其職掌關聯程度？<br>※資料管理組織建立政策、流程及監督的範圍及授權程度？<br>※資料管理組織章程中相關權責劃分明確？<br>※資料管理組織內部對於角色劃分與責任歸屬有溝通、協調機制？<br>※針對資料管理組織成員之適任性有何檢視流程或機制？<br>※機關成立資料管理組織的動機與目標？<br>※資料管理組織要解決的議題？| |3.2| <span id="c2"></span>6. 依機關個別情形與需求，擬定資料管理落實程度自我評估機制。<br>7. 已進行資料管理現況落實程度及落差之初步評估。|※資料能力成熟度初步評估重點包括資料及資料相關基礎設施，評估項目為何（例如：資料管理流程、機關內部對資料管理之意識與認同、資訊系統、資料管理工具、資料分析、員工技能、資料相關資源產能，以及是否遵守資料管理相關法規與政策等）？<br>※初步評估後有無定期就評估結果進行後續檢討？定期評估與檢討之頻率？<br>※相關檢討內容有無確實記錄並可供檢驗？| |3.3| <span id="c3"></span>8. 已於組織內部溝通、布達機關之資料管理政策，並由機關領導人進行適當宣示。<br>9. 將維護資料品質適當與機關內部組織成員之工作與職責做連結。|※機關領導人已採適當方式於組織內部公布、宣導資料管理政策？<br>※由機關內部各單位辨識出內部人員的工作、職責與資料品質之關聯？| |3.4|<span id="c4"></span> 10. 若運用資料連結取得資料時，為確保資料安全，宜使用連結分析工具。<br>11. 機關按其資料存取需求，可評估應用新興技術，採取靈活、多元之資料儲存技術或架構。<br>12. 機關傳輸或備份、備援機敏資料時，宜依據「行政院及所屬各機關資料中心設置作業要點」、「政府機關雲端服務應用資安參考指引」、「資通安全管理法&FAQ」等政府資通安全管理相關法規及指引文件，進行資料儲存架構之風險評估。<br>13. 鼓勵機關運用新興科技進行資料分析，並留意技術中立性。|※機關平時若運用資料連結取得資料時，使用的連結分析工具為何？<br>※機關現階段在存取資料時，會運用哪些資料儲存模式或架構？未來可能考量使用哪種新興的資料儲存技術或模式？<br>※機關對於機敏資料的傳輸、存取、備份，以及備援的實體所在地時，如何進行資料儲存架構的風險評估？<br>※機關若在評估應用新興技術進行資料分析時，哪些事項會被列為優先評估、考量點？（例如：技術中立性、資安）| |3.5|<span id="c5"></span>14. 機關投資所需之資料基礎設施及人才教育，並持續投注資源。<br>15. 機關有培養資料相關領導人才。<br>16. 機關提升內部資料管理相關人員之能力、內部隱私保護意識等。|※機關如何規劃資料基礎設施及人才教育之投注及所需資源？<br>※機關對於其內部資料管理人員平時提供哪些教育訓練或精進學習管道，以提升資料管理、分析所需之能力或技術？<br>※機關有無規範資料管理相關人員需通過或取得哪些測驗或證照？| |3.6|<span id="c6"></span> 15. 與外部的資料使用者之間依資料使用情境與需求，規劃適當的溝通管道。<br>16. 對外部資料使用者以適當方式表示授權其使用資料、詮釋資料、資料存取及使用條件、遵循智財權等資訊。|※外部資料使用者若屬開放資料之使用者，對於自政府資料開放平臺而來的相關資料需求與意見，機關內部有無明確的回應與處理機制？<br>※外部資料使用者若屬特定的共享資料使用者，在共享資料之授權或協議條款中有無明定雙方溝通窗口與方式？<br>※對於共享資料情境之外部資料使用者，於共享資料之授權或協議條款中有明示授權對方使用的資料範圍、使用的詮釋資料、資料存取及使用條件、遵循智財權等資訊？| |3.7|<span id="c7"></span>17. 有依據機關執行資料管理之需求，與外部合作單位間擬定相關合作協議、約定或契約。<br>18. 有定期檢視、更新與外部單位間簽訂之相關合作協議、契約之條款。|※機關內部對於與外部單位之間有關資料的授權使用或要求提供等合作關係，有依循機關內部簽核程序與對方擬定相關合作協議、約定或契約？<br>※與外部單位間簽訂之相關合作協議、約定或契約，機關內部有定期追蹤、更新的機制？| |3.8| <span id="c8"></span>19. 對於規劃資料管理所需資源之過程進行適當記錄。|※機關如何妥適規劃資料管理所需資源？其規劃過程有無進行適當記錄？以及如何保存這些紀錄？| ::: <br> ## 【二】資料蒐集（或產製） ### 4. **指引四：滿足資料蒐集需求** ++*機關宜根據資料使用者的需求獲取或產製資料，並依照機關規範擷取適當詮釋資料，以滿足資料蒐集需求。*++ :::spoiler 4.1[**機關建立蒐集或產製資料用途**](#d1) 4.1.1 以資料使用者之需求為核心，確立資料蒐集或自行產製資料之用途。 4.1.2 資料蒐集或產製之用途宜與資料管理政策一致。 ::: :::spoiler 4.2[**機關建立資料蒐集機制**](#d2) 4.2.1 機關宜考量蒐集或產製資料之需求，搭配充足的詮釋資料描述資料集特性，得透過數位化資料傳輸或存取平臺，並注意所蒐集資料之正確性，以利跨機關各類資訊之互通。 4.2.2 蒐集資料宜秉持透過安全來源，依資料來源採用適當的安全檢測工具，測試及確認資料蒐集方式是否足以保護資料安全，並兼顧滿足資料使用者對資料之需求。 4.2.3 針對非公開資料若有蒐集、取用之需求，宜向資料擁有者提出申請，並表明使用目的、分析方法及使用期間等內容。 4.2.4 資料蒐集方式宜注意公開性及透明度，針對個人資料之蒐集宜符合最小蒐集原則。 :black_medium_small_square:個人資料保護法 ::: :::spoiler 4.3[**持續關注及評估資料蒐集之影響**](#d3) 4.3.1 持續滾動檢視新增之資料蒐集需求是否與資料管理政策一致，評估對公共利益之影響。 4.3.2 評估資料蒐集相關作業對公共利益之影響。 ::: :::spoiler 4.4[**有關滿足資料蒐集需求之過程宜盡量予以記錄**](#d4) <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |4.1|<span id="d1"></span> 1. 已評估資料蒐集或產製用途與政策之一致性。|※依一致性評估檢視資料管理政策與蒐集或產製用途間有無雙向修正或精進之處？<br>※依所需資料之必要程度，所採取之執行方式？| |4.2|<span id="d2"></span> 2. 已啟動資料存取平臺建立流程之規劃。<br>3. 資料傳輸或存取平臺得在現行之資通安全模式下傳輸資料。<br>4. 已檢視資通安全相關法規與對照資訊安全管理制度相關國際標準或國家標準之要求。<br>5. 已訂定資料無法蒐集或難以蒐集時之配套措施。<br>6. 資料蒐集方式宜注意公開性及透明度。<br>7. 針對個人資料之蒐集宜符合最小蒐集原則。|※機關如何妥適規劃、建立資料蒐集機制？<br>※考量機關內部單位的權責劃分、任務與特性，區辨不同單位間有無特殊的資料存取需求？<br>※資料蒐集之來源為安全來源？<br>※資料匯入有安全檢驗機制？<br>※導入相關國際標準或國家標準之驗證項目？<br>※傳輸軌跡有無留存？<br>※原定的資料蒐集方式發生阻礙時，有無配套措施？<br>※發現資料無法蒐集或難以蒐集時，機關內部如何進行呈報或溝通機制為何？<br>※進行資料蒐集時，是否留意符合公開性及透明度之要求。<br>※若有針對個人資料之蒐集，是否符合最小蒐集原則？| |4.3| <span id="d3"></span>8. 相關法規或政策變更時，已更新資料影響評估。|※影響評估內容更新過程中，有無將外部專家學者之意見納入？<br>※使用者或關係人對影響評估有疑義時是否有對話窗口或申訴管道？| |4.4|<span id="d4"></span> 9. 記錄滿足資料蒐集需求之過程。|※機關如何妥適規劃資料蒐集需求？其規劃過程有無進行適當記錄？<br>※機關如何保存這些紀錄？採用集中式或聯合方法來管理這些紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？| ::: <br> ### 5. **指引五：建立資料轉換作業** ++*機關宜依需求採用資料轉換標準，建立資料處理可觀測性流程，將資料進行格式化、資料清洗等標準校正作業，確保資料品質，以提供後續階段使用。*++ :::spoiler 5.1[**運用資料轉換標準與可觀測性機制，確保資料品質**](#e1) 5.1.1 機關宜視需求採用資料標準，以盡力提升資料品質，並促進資料的使用、存取、共享及互通性（interoperability）。 5.1.2 機關宜確保資料之正確性、易用性與即時性，以確保資料滿足使用者期待，定期檢查資料是否適當、正確、客觀、可存取、可用、易於理解，以及具使用之便利性。 5.1.3 機關宜視各機關業務需求，就業管領域建立資料標準與作業規範。 5.1.4 機關宜建立資料處理可觀測性機制，依需求建置自動偵測或人為監控等功能，適時掌握資料異常之預警、告知、修復、改善情形。 ::: :::spoiler 5.2[**資料清洗作業宜有資料版本控制措施**](#e2) 5.2.1 機關宜根據使用目的進行資料清洗、格式轉換，並進行版本控制予以保存。 5.2.2 格式化資料清洗後宜回饋予原始資料提供單位，避免重複確認。 ::: :::spoiler 5.3[**提升資料再利用之可用性**](#e3) 5.3.1 資料除了屬不開放資料之外，以開放格式提供，宜建立資料品質提升機制。 5.3.2 機關宜盡力保持最完整的原始資料狀態。 5.3.3 機關宜確保資料經格式化後儲存，於資料生命週期的後續階段供機關使用及再利用。 ::: :::spoiler 5.4[**有關資料轉換作業之過程宜盡量予以記錄**](#e5) :black_medium_small_square: 國家檔案移轉作業指引 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |5.1|<span id="e1"></span> 1. 資料屬性清單已由機關一定職位或其授權人員確認與核可。<br>2. 已建立並由專人負責機敏性資料之保管檢核機制。<br>3. 確保資料清洗或格式轉換具可靠性、安全性。|※經核可後之後續執行流程？<br>※機關首長或其授權人員對執行程度之監督機制？<br>※負責保管、處理資料之專人是否適任?有無定期精進其專業技能？<br>※相關程式保護力是否足夠？資料有無定期備份？<br>※備份機制之安全性？| |5.2|<span id="e2"></span> 4. 已考量機關業務需求與差異性，評估是否研擬資料轉換標準（以「領域資料標準訂定流程參考指引」附錄之範本為基礎）。|※機關如何妥適規劃、評估資料轉換之標準？<br>※機關業務單位對資料轉換有何種特殊目的或差異性？<br>※目前所採用之資料轉換標準之安全性與落實可行性？| |5.3|<span id="e3"></span> 5. 資料版本控制措施得檢視與驗證。|※如何劃分執行人員對檔案變更控制權之層級？版本控制有何標準？<br>※檢視人員之專業程度？<br>※各階段之軌跡或內容有無紀錄？| |5.4|<span id="e4"></span> 6. 機關內部已參酌「政府資料品質提升機制運作指引」建立適當且有共識之資料品質提升機制。<br>7. 確認資料符合開放格式。<br>8. 對於機關取得或做成之原始資料，有適當之保存機制。<br>9. 已留存資料使用紀錄以確保資料庫之完整性。<br>10. 機關內部有相關機制以鼓勵、促進資料之再利用。|※機關內部目前是否有既有之資料品質提升作法或機制？<br>※參酌「政府資料品質提升機制運作指引」如何訂定符合機關單位需求且可行之資料品質提升機制？<br>※資料未符合開放格式之原因為何？<br>※取得或做成原始資料後之保管方式及程序為何？<br>※目前的資料保存方式，是否能盡力維持原始資料版本或易於回復原始之資料？<br>※機關之資料管理政策或機制有無設計鼓勵、促進資料再利用之作法？| |5.5|<span id="e5"></span> 11.適當記錄資料轉換之過程。|※機關如何進行資料轉換之過程？<br>※機關進行資料轉換之過程有無進行適當紀錄？機關如何保存這些紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？| ::: <br> ## 【三】資料使用 ### **6. 指引六：提供資料使用適當環境，確保資料正確發揮效益** ++*機關宜設定使用者的存取權限，持續監控資料品質，為使用者提供適當的資料使用安全措施，以確保資料能正確的發揮其作用。*++ :::spoiler 6.1[**機關內部設立適當資料存取權限**](#f1) 6.1.1 採用各種工具或技術，讓使用者適當存取、瀏覽資料。 6.1.2 根據使用者被授予的權限，決定使用者能存取、瀏覽資料的範圍。 ::: :::spoiler 6.2[**機關宜建立資料使用安全措施要求**](#f2) 6.2.1 機關宜依據資通安全維護計畫，建立適當之資料使用安全措施要求。 6.2.2 機關宜針對保有之個人資料，宜依據法規建立適當之個人資料安全維護措施。 6.2.3 機關宜擬定明確的流程，確保個人資料當事人能依相關法規查閱、補充、更正、刪除資料。 ::: :::spoiler 6.3[**機關宜持續確保資料使用階段之品質**](#f3) 6.3.1 機關宜持續監控資料品質，遇有共享資料情形時，宜採適當方式以確保所共享資料的一致性。 6.3.2 機關宜及時留存所有資料更動紀錄，而儲存資料時則依需求確保每筆資料或記錄欄位之完整性為原則。 ::: :::spoiler 6.4[**機關宜擬定明確的流程，確保個人資料當事人能根據法規查閱、補充、更正、刪除資料**](#f4) :black_medium_small_square:個人資料保護法及其細則 :black_medium_small_square:國民法官個人資料保護辦法 6.4.1 機關保有個人資料者，宜擬定明確的個人資料當事人權利行使流程。 6.4.2 機關宜以最適切方式確保個人資料當事人能根據法規查閱、補充、更正、刪除資料。 ::: :::spoiler 6.5[**有關資料使用之過程宜盡量予以記錄**](#f6) :black_medium_small_square:內政部個人資料保護管理要點 :black_medium_small_square:依據個資法27 III所規定之辦法 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |6.1|<span id="f1"></span> 1. 已明確布達資料存取、瀏覽之權限與範圍。<br>2. 已訂定資料存取、瀏覽規範。|※資料取得之初始日期、保存期限、保管方式？<br>※權限審查與開通程序？<br>※資料存取相關規範對違反之使用者有何處理方式？| |6.2| <span id="f2"></span>3. 確保資料使用者知悉宜避免機敏性資料外流。|※依機關之資通安全機制，可有效避免資料遭不具權限之使用者存取或瀏覽？| |6.1、6.2、6.4|<span id="f4"></span> 4. 所研擬之資料使用流程已由資安與個資保護單位審視。|※依資通安全等級將資料進行分類?若進行個資之蒐集，有無法令依據或取得個資當事人書面同意？<br>※資料使用與蒐集目的之關聯性？資料後續刪除或抹除流程？| |6.3| <span id="f3"></span>5. 已考量資料所描述事件的清晰程度需求，以資料的最小單位或小細節（即資料的最細顆粒度）儲存資料，提高資料完整性。<br>6. 已確保資料使用工具於便利使用者之角度為開發與維護。|※儲存資料時，如何評估有無依資料所描述事件的具體及清晰程度需求，以資料的最細粒度等級儲存？<br>※以何種方式讓使用者得將使用體驗反饋？工具或流程更新時相關反饋之參考程度？<br>※工具或流程之更新對原本權責劃分之影響？| |6.5| <span id="f5"></span>7. 資料已持續維護品質並定期檢討是否正確發揮作用。<br>8.擬定資料品質改善目標與執行措施。|※各類資料之保管者有無維護權限？<br>※是否持續且定期檢視資料品質？<br>※針對資料品質如何規劃改善目標及執行措施？| |6.6|<span id="f6"></span>9. 適當記錄資料使用之過程。|※機關進行資料使用之過程有無進行適當紀錄？機關如何保存這些紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？| ::: <br> ### **7. 指引七：政府資料利用類型以開放資料為優先；共享資料時以開放格式、安全且有效方式為之** ++*政府機關之資料利用類型以開放資料為優先；機關共享資料時，宜以開放格式、安全且有效的方式為共享，以提升資料之效益及公開透明。*++ :::spoiler 7.1[**政府資料的利用類型以開放資料為優先**](#g1) 7.1.1 政府資料之利用類型以「開放資料」為優先。 7.1.2 因政策變更或其他正當理由，經資料提供機關評估認為繼續提供將不符合公共利益，或有侵害第三人智慧財產權、隱私權或其他法律上利益之虞，得停止全部或一部開放資料之提供。 ::: :::spoiler 7.2[**機關資料若有下列情形者，可考量為「共享資料」或「不開放資料」：**](#g2) >**●有政府資訊公開法第18條第1項各款情形之一者。<br>●經評估資料開放不符合公共利益。<br>●資料的建置或取得成本不符合效益，或需額外客製化費用。<br>●依其他法律規定者。** ::: :::spoiler 7.3[**機關資料以開放格式或應用程式介面提供，並盡力推動、協調跨機關或單位共享資料**](#g3) 7.3.1 於符合法規前提之適當情況下，資料擁有者及資料利用者宜致力於協調及共享資料集，以推進共同目標、滿足機關資料需求及減少蒐集資料的負擔。 7.3.2 各級政府主計機關及辦理統計業務之中央一級主計機關若是為統計目的需要，或是為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，各級政府機關即依據統計法第18條規定辦理。 7.3.3 共享資料以開放格式或應用程式介面提供，雙方依需求約定共享資料授權條款並得保留撤回權，宜考量雙方平等互惠原則，必要時簽訂保密協議。 7.3.4 機關宜將共享資料清單及其特定利用條件與收費基準公開於政府資料開放平臺，並宜定期檢視前述項目之妥適性並適時調整。 7.3.5 機關宜從制度面設計誘因，以鼓勵跨機關或跨單位之間提供或共享資料集，進而提升機關人員資料提供之意願與效率。 ::: :::spoiler 7.4[**確保開放資料、共享資料合法、合規，及建立安全措施**](#g4) 7.4.1 機關宜遵循相關法律、規範及指引文件，辦理資料之開放或共享。 7.4.2 資料若涉及個人資料或機敏性，提供資料前宜有安全措施及經過去識別化（de-identification）等適當處理方式，或改以無洩漏個資疑慮之適當方式提供。 :black_medium_small_square:個人資料保護法及其施行細則 7.4.3 於共享資料情形，宜有適當的安全性保護措施，如：電子傳輸時使用加密模式或加密連結等措施。 7.4.4 於共享資料情形，宜確保相關人員是基於適當存取權限、職務上、或合法之目的始能存取資料。 ::: :::spoiler 7.5[確保開放資料及共享資料之品質](#g5) 7.5.1 機關於政府資料開放平臺發布資料集前，宜確保資料提供格式符合開放格式之原則，並確保資料品質。 7.5.2 於共享資料情形，宜進行適當風險評估、確認資料集符合開放格式原則；資料提供者與利用者之間宜確保資料之一致性。 ::: :::spoiler 7.6[**有關開放資料或共享資料之過程宜盡量予以記錄**](#g6) <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |7.1、7.5| <span id="g1"></span>1. 開放資料時，宜符合「政府資料開放平臺」上關於「開放格式」之定義：以機器可讀、批次不零散，其格式之規格可被自由公開披露，且無收費或其他限制於其使用上。<br>2. 政府開放資料及共享資料，宜依循數位發展部發布之「行政院及所屬各級機關政府資料開放作業原則」、「政府資料品質提升運作指引」等相關規範。<br>3. 統籌規劃管理資料集，並將資料集集中於政府資料開放平臺發布予公眾。<br>4. 鼓勵資料開放與再利用。<br>5. 機關考量例外認定資料集為「共享資料」或「不開放資料」之情形。<br>6. 各資料提供機關停止提供全部或一部開放資料之例外情形。<br>7. 開放資料若因政策變更或其他正當事由，須轉為「非開放資料」之類型，有依循「行政院及所屬各級機關政府資料開放作業原則」所訂之正當程序，並於政府資料開放平臺公告停止提供及其理由。|※機關如何管理、維護開放之資料、資料清單？<br>※如何以標準開放格式（例如：使用通用性術語描述資料）、機器可讀且具一定品質方式，提供外界使用該資料？<br>※機關區分資料利用類型為開放資料、共享資料或不開放資料，考量為何？<br>※機關內部有無列出、建置共享資料或不開放資料之清單？如何檢視其合宜性？多久檢視一次？<br>※公眾建議機關提供的資料屬於共享資料或不開放資料時，如何適當回應公眾？<br>※機關列示於政府資料開放平臺的資料集有哪些？<br>※使用哪些適當的工具與技術，將資料集有效率的發布至政府資料開放平臺？<br>※如何鼓勵資料開放及資料再利用？<br>※機關考量「共享資料」或「不開放資料」時，有無評估政府資料是否符合以下情形之一：<br>1.政府資訊公開法第18條第1項各款情形之一者。<br>2.經評估認為資料開放不符公共利益者。<br>3.資料的建置或取得成本不符合效益，或需額外客製化費用者。<br>4.其他法律規定者。<br>※機關內部如何評估停止全部或一部開放資料之提供（機關內部檢視停止提供資料的方式為何）？<br>※經評估開放資料若有不符合公共利益，或涉及侵害第三人智慧財產權、個人隱私、營業秘密或其他法律上利益之虞時，各資料提供機關之因應機制或程序為何？<br>※若因政策變更或其他正當事由，致「開放資料」須轉為「非開放資料」類型的情形，機關內部之程序為何？| |7.2|<span id="g2"></span> 8. 主計機關(構)若為統計目的需要，或為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，建議宜留意統計法第18條之規定。 <br>9. 機關間宜考量基於互惠，妥適約定共享資料之方式，必要時簽訂保密協議。<br>10. 機關在制度面上宜設計鼓勵跨機關或跨單位間資料共享之誘因。<br>11. 機關可將共享資料清單及其特定利用條件與收費基準公開於政府資料開放平臺。<br> 12. 依據跨機關或跨單位間提供或共享資料需求，建立適當的資料傳輸機制。|※主計機關(構)若為統計目的需要，或為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，有無確認該資料是否屬於依法不得提供之資料（例如：國家機密保護法）？<br>※評估向其他機關申請提供資料時，有無考量資料的建置或取得成本是否符合效益？<br>※第三方單位向資料擁有者提出共享資料的需求時，資料擁有者有無評估額外收取客製化費用？（例如：所耗費之人力、時間過鉅）<br>※機關共享資料集時，如何確認所共享的資料符合開放格式原則？<br>※目前有將哪些資料集授權、提供給其他機關使用？有共通平臺可以使用？機關內部有無建立並維護共享之資料清單？<br>※機關如何確認不能共享或無法共享的資料為何？有哪些管理或限制方法？<br>※機關間共享資料時，有建立共享資料授權利用條款？針對機關雙方所約定的共享資料授權利用條款包含了哪些內容（例如：載明資料共享目的、資料範圍、利用方式及限制等）？有無約定資料撤回方式？是否另外簽訂保密協議？<br>※如何適當管理、定期檢視資料共享協議？多久定期檢視一次？<br>※資料共享時，是否留存申請或使用紀錄？相關紀錄如何留存？<br>※機關有無將共享資料清單及其特定利用條件與收費基準，公開於政府資料開放平臺？前述項目包含哪些內容？如何檢視、調整前述項目之妥適性？多久檢視一次？<br>※機關如何給予互利互惠或提供資料共享之誘因，以鼓勵、促進跨機關/跨單位間之資料共享、資料索取和提供意願？有無相關的制度或獎勵機制設計？<br>※機關如何將資料存取平臺中的資料安全地匯出至其他系統？<br>※機關採取何種標準格式，進行平臺間之資料傳輸？| |7.3| <span id="g3"></span>13. 機關擁有之個人資料經適當處理。<br>14. 採取適當安全性保護措施。<br>15. 審查資料釋出後被再識別的風險。|※可能會蒐集到哪些個人資料？提供資料前如何將個人資料進行適當處理？<br>※機關間個人資料的提供或傳輸程序，機關內部有無相關特別規範？<br>※如何確保開放資料或共享資料之安全性？<br>※機關如何保護個人資料和非個人資料之安全？機關存放個人資料之空間為何（例如：內網、外網）？以及刪除或抹除個人資料的機制或程序為何？<br>※資料若涉及個人資料或機敏性，採取了哪些安全保護措施？以及如何經過適當處理使資料符合開放資料特性？（例如：去識別化、加密、匿名化之方式為何？採取的技術工具為何？）<br>※資料蒐集或交換傳輸時，採取哪些適當安全性防護措施？（例如：身分識別、資料正確性檢核、電子傳輸時使用加密模式或加密連結等措施）<br>※如何確保相關人員是基於適當存取權限、職務上、或合法之目的始能存取資料？<br>※使用哪些工具測試安全性漏洞?<br>※機關如何事先評估提供去識別化資料集之風險？後續多久再次進行風險評估？| |7.4| <span id="g4"></span>16. 對開放資料或共享資料進行適當管理。<br>17. 機關開放資料或共享資料時，宜留意遵循現行相關法規要求之事項（例如：「行政院及所屬各級機關政府資料開放作業原則」、「政府資料開放授權條款」、「資料集詮釋資料標準規範」、「政府資料開放跨平臺介接規範」等）。|※機關在管理資料時，有參考、遵循哪些既有規範？（例如：「個人資料保護法」、「政府資訊公開法」、「行政院及所屬各級機關政府資料開放作業原則」、「領域資料標準訂定流程參考指引」等規範）<br>※機關遵循哪些相關法律、規範及指引文件，辦理資料集之開放或共享？| |7.5|<span id="g5"></span> 18. 確保資料品質，具完整性、正確性、一致性。<br>19. 資料提供符合公開性、透明度。|※機關發布資料集，如何給予公眾就資料使用需求表達意見和反饋資料的正確性、更正資料的機會，並有充分的回應？如何確保、維護開放資料的完整性？<br>※機關共享資料前，如何評估風險、確認資料集符合開放格式？資料提供者與利用者之間，如何檢視、確保資料之一致性？<br>※資料（個人和敏感資料除外）以完整、開放、有品質的、非歧視性、易於理解和存取、免授權費、機器可讀取的格式等方式公開？| |7.6|<span id="g6"></span>20. 以適當方式盡量保留開放資料或共享資料的過程紀錄。|※機關如何記錄與外部共享那些資料，以及共享原因為何？<br>※機關如何保留開放資料集共享資料之資料軌跡？| ::: <br> ### **8. 指引八：妥善運用資料提升決策效益或服務品質** ++*機關宜將經過分析的資料運用在有需求之業務中，在業務規劃、決策中有效及適當的依據資料分析結果，以提升決策效益或服務品質。*++ :::spoiler 8.1[**資料宜經過適當分析**](#h1) 8.1.1 資料宜經過適當分析以做為決策、制定計畫等業務之參考基礎，並鼓勵運用新興科技進行資料分析。 8.1.2 進行資料分析、應用時尤其宜注意基本道德原則（如：非歧視性等）。 ::: :::spoiler 8.2[**機關進行業務規劃、決策時宜使用資料（即循證決策）**](#h2) 8.2.1 機關在下決策、制定計畫等業務中，宜盡可能有效且適當的使用資料，並參酌與決策議題相關之規範、指引。 8.2.2 確保依據資料分析之結果進行決策。 8.2.3 機關宜定期統計循證決策時所應用之資料集，並適當評估資料分析結果對決策之效益，以了解各資料集運用程度，作為資料管理之依據。 ::: :::spoiler 8.3[**有關循證決策之過程宜盡量予以記錄**](#h3) <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |8.1|<span id="h1"></span>1. 運用適當新興科技或技術進行資料處理、分析。<br> 2. 機關應用、分析資料時，留意基本道德原則。<br>3. 促進資料使用之透明性。|※機關對資料進行處理或分析時，可能會應用到哪些技術或系統？<br>※機關如果有應用新興科技或創新技術進行資料處理或分析時，通常會如何進行評估（例如：會考量哪些風險因素、請專家學者協助評估等）？以及後續如何監督和管理資料處理或分析的結果是否有誤或偏差？<br>※對於進行資料應用、分析等業務時，機關事先可能會將哪些基本道德原則納入政策規劃、考量的要素（例如：非歧視性、公平性、安全性等）？<br>※機關如何存取分析處理後的資料，及其修改或變更的相關紀錄？<br>※機關是否妥適使用描述性詮釋資料，以提供資料存取及使用限制的相關資訊？<br>※機關運用資料時，是否妥適維護智慧財產權、標示資料來源、遵守相關法律規範？| |8.2|<span id="h2"></span>4. 機關進行業務規劃、決策時宜妥適使用資料，及參考相關規範。<br>5. 機關宜妥適依據資料分析之結果進行業務規劃、決策。|※機關進行業務規劃、決策時，可能涉及、依據的內部規範或程序有哪些？<br>※機關平時業務規劃、決策上，最常用或可能使用到之資料集有哪些？<br>※機關使用資料進行規劃、決策前，如何檢視、確認資料分析結果之正確性、合宜性？（例如：事先透過什麼程序或由哪個單位負責確認資料分析結果的正確性）| |8.2|<span id="h2"></span>6. 系統與資料的存取權限經適當的授權及控管，防止不當存取以維護資料安全性。|※機關宜保護資料之機密、隱私及完整性，如何設定使用者之存取權限，並採用哪些技術或措施定期維護資料之安全性？（例如：使用帳號、密碼進行身分驗證後，建立安全加密通道，才允許其使用網路連線或進入系統）| |8.2、8.3|7. 遵循個人資料之目的外利用要件。|※依個人資料保護法第16條，機關是否具備特殊事由始對個人資料為目的外利用？（例如：法律明文規定、為維護國家安全或增進公共利益所必要、為防止他人權益之重大危害、有利於當事人權益、經當事人同意...等。）| |8.3|<span id="h3"></span> 8. 記錄循證決策之過程。|※機關循證決策時所應用之資料集、項目是否適當做成記錄？<br>※機關有無定期檢視和管理各資料集的運用情形？| ::: <br> ## 【四】資料儲存（或抹除） ### **9. 指引九：完善資料儲存作業** ++*機關宜依據相關法律規範或政策，在資料保存目的消滅以前，將資料安全的儲存，並採取適當的備份機制。*++ :::spoiler 9.1[**資料集儲存方式及備份機制之完備**](#i1) 9.1.1 確保資料集儲存方式及儲存環境能符合機關實際業務需求。倘若機關執行業務時有資料之多元存取需求，建議可規劃、評估整合不同的資料儲存模式，選定適當的儲存方式及儲存環境。 9.1.2 機關宜考量發生資料受侵害、遺失、滅失、毀損等事件時對利害關係人之危害或損失風險，及備份、備援等保存需求，選定適當的備份、備援機制。 ::: :::spoiler 9.2[**資料儲存安全措施**](#i2) 9.2.1 機關宜確保資料受到安全的儲存和處理。 9.2.2 機關宜依據資料屬性備妥符合其機密性和敏感度的預防措施，考量將雲端儲存空間、個人自攜電子設備（Bring Your Own Device , BYOD）等議題納入控管要求。 ::: :::spoiler 9.3[**依據需求及相關法規進行資料保存**](#i3) 9.3.1 機關宜考量資料屬性、目的、需求、保存成本、法規等因素。 :black_medium_small_square: 檔案法 :black_medium_small_square: 機關檔案保存年限及銷毀辦法 9.3.2 決定適當的資料保存頻率、方式與保存年限。 ::: :::spoiler 9.4[**有關資料儲存之過程宜盡量予以記錄**](#i4) <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |9.1|<span id="i1"></span> 1. 機關先了解其資料之存取需求，如果有多元存取模式之需求，建議可規劃、評估整合不同的資料儲存模式。<br>2. 機關需考量資通安全事件對利害關係人之危害或損失風險，及備份、備援等保存需求。|※機關內部目前的資料儲存方式及儲存環境為何？有沒有存在哪些待改善的既有限制？抑或可再精進之處？<br>※機關近期對於資料集儲存方式及儲存環境是否評估使用、整合不同的儲存模式？（例如：採用融合資料湖（data lake）和資料倉儲（data warehouse）整合架構；跨多雲或跨雲端資料中心及本地資料中心的整合架構。）<br>※資料若發生受侵害、遺失、滅失、毀損等事件，對於機關、資料利害關係人等，可能會產生之危害、損失及風險為何？<br>※組織（業務單位或資訊單位）對於可能發生資安事件之危害、損失或風險，事先規劃、採取了哪些預防措施或機制？（例如：採取的備份、備援技術或機制是什麼)| |9.2| <span id="i2"></span>3. 確認資料具備相對應的儲存安全措施。|※儲存個人資料時，如何評估是否需進行匿名化（anonymization）？以什麼技術或方式進行匿名化？或考量其他相對應的安全維護措施？<br>※機關內部採取了哪些控制程序或預防措施，確保、維護資料之機密性、安全性？<br>※平時由哪個單位負責管理維護、改善資料儲存系統和架構？<br>※針對資料儲存相關人員，平時如何給予培訓和指導？| |9.3|<span id="i3"></span>4. 遵守資料保存規範。<br>5. 落實資料備份。|※機關根據哪些相關法律（例如：我國個人資料保護法、資通安全管理法等相關法規及指引等）、政策，規劃內部的資料儲存機制及流程？是否載明於機關內部規範或文件中？<br>※機關有無考量引入自動化（automation）措施進行資料保存及備份？若有，引入的自動化措施為何？（例如：資料輸入驗證、自動品質檢查、或使用專業編碼工具而非電子表格）<br>※平時由哪個單位負責進行資料備份？| |9.4|<span id="i4"></span>6. 記錄資料儲存之過程。|※機關有無資料儲存之相關紀錄？以及資料儲存程序為何？<br>※對於被儲存資料的任何變更，是否確實留有軌跡紀錄？<br>※機關如何管理、保存這些紀錄？| ::: <br> ### **10. 指引十：完善資料抹除作業** ++*機關宜於資料保存目的消滅時，將資料以有效且安全的方式抹除，以降低資訊安全事故風險。*++ :::spoiler 10.1[**建立資料抹除機制**](#j1) 10.1.1 視各機關單位之業務性質，訂定各類、各級資料、歷史資料保存年限與抹除等相關策略或程序。 10.1.2 機關宜依據法規、組織決策之授權等，必要時將資料以合法、有效且安全的方式抹除。 10.1.3 選擇抹除資料方式宜考量資料的機敏程度、資料未經授權遭洩漏所造成的損害等。 10.1.4 確保資料抹除機制已達到使資料無法被讀取或無法被檢索的程度，抹除範圍包含資料之副本及任何版本。 ::: :::spoiler 10.2[**資料抹除安全措施要求**](#j2) 10.2.1 確保抹除方式具備與資料機敏程度相同的安全保障措施。 10.2.2 確保抹除流程需與機關資訊安全風險評估一致。 10.2.3 機關依規定刪除或抹除資料時，宜依簽奉核定後刪除或抹除，並以適當方式記錄其執行結果。 10.2.4 建立資料抹除確認機制，以確保資料確實抹除並無其他備份。 ::: :::spoiler 10.3[**有關資料抹除作業過程宜盡量予以記錄**](#j3) :black_medium_small_square:內政部個人資料保護管理要點 :black_medium_small_square:依據個資法27 III所規定之辦法 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |10.1|<span id="j1"></span> 1. 建立資料抹除制度、選擇適當資料抹除方式。|※哪個單位負責抹除資料？<br>※機關內部的資料抹除程序或制度為何？<br>※如何將資料以安全的方式加以刪除或抹除？<br>※選擇抹除資料的方式，有無考量以下因素：被抹除資料的機敏程度、資料未經授權而遭洩漏所造成的損害、資料抹除達到使資料無法被讀取或無法被檢索的程度等？| |10.2| <span id="j2"></span>2. 落實資料抹除之安全措施。|※資料抹除措施是否符合相關安全性要求？<br>※是否定期檢視或評估資料抹除措施之安全性、適當性？多久定期檢視一次？<br>※機關內部的資料抹除機制，如何達到使資料無法被讀取或無法被檢索的程度？（例如：採用了哪種抹除技術？)| |10.3|<span id="j3"></span>3. 適當記錄資料抹除作業過程。|※是否妥適記錄資料抹除相關資訊？（例如：抹除時間、資料機敏程度、抹除方式等)<br>※機關執行資料抹除作業時，有無記錄抹除原因為何？<br>※機關如何管理、保存這些抹除紀錄？| ::: <br> ## 【五】評估與精進 ### **11. 指引十一：建立資料管理稽核及評估機制** ++*機關宜建立適當之稽核及評估機制，定期檢視內部資料管理是否遵循本指引要求事項與機關所訂之資料管理政策。*++ :::spoiler 11.1[**實行適當之稽核機制**](#k1) 11.1.1 機關宜採適當之稽核機制，確認機關是否遵循本指引之要求事項與機關所訂之資料管理政策，並於記錄過程後採適當方式公佈結果，以持續精進相關制度。 11.1.2 宜保存稽核及量測之佐證資料。 ::: :::spoiler 11.2[**機關宜定期檢視與評估**](#k2) 11.2.1 機關宜定期檢視與評估資料管理政策，以確保政策與相關執行機制之合宜性及有效性。 11.2.2 機關資料管理執行機制之有效性評估，建議視機關之成本考量，參酌資料使用者之滿意度、資料使用情形之相關紀錄、必要資料之缺失率及補充率、資料轉換作業執行成功率等，進行整體評估。 11.2.3 針對資料管理政策中之資訊安全及個人資料保護相關措施，宜定期進行獨立及客觀之檢視與評估，以反映政府資通安全管理及個人資料保護政策、法令、技術及機關業務之最新情形，及確保資訊安全與個人資料保護實務作業之可行性及有效性。 ::: :::spoiler 11.3[**有關稽核及評估過程宜盡量予以記錄**](#k3) :black_medium_small_square:電子化政府服務平臺機關資訊查詢作業管理要點 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |11.1|<span id="k1"></span> 1. 建立資料管理稽核制度或適當監督機制。<br>2. 建議機關保存監督及量測之佐證資料。|※機關有無建立、實行第二方或第三方稽核制度或適當之監督機制，確認機關是否遵循本指引要求事項以及機關所訂之資料管理政策？<br>※機關如何保存相關文件化資訊，作為監督及量測、評估之佐證資料？| |11.2|<span id="k2"></span> 3. 定期檢視與評估資料管理政策之合宜性及有效性。<br>4. 定期檢視與評估資料管理政策之資訊安全及個人資料保護措施。|※機關對資料實施了哪些品質監控？<br>※機關如何定期檢視與評估資料管理政策、制度或流程，是否仍具合宜性、適切性及有效性？<br>※隨著資料在系統中移動，資料的使用可能會發生變化，如何評估資料是否符合其原始目的和未來使用？（這將影響資料應用建議，以及原始資料是否適合繼續開放或宜進行更改。）<br>※資料品質和價值可能因時間和應用領域等變化而降低，是否定期檢視、評估資料品質或價值有所影響以及繼續開放該資料集之必要性？多久檢視、評估一次？<br>※機關進行資料管理政策之資訊安全及個人資料保護評估、稽核相關作業，是否責由具獨立客觀之人，進行資訊安全與個人資料保護政策執行成果之評估？（例如：具專業技術及知識背景之內部稽核單位、資深主管人員，或委請民間專業組織或團體進行相關評估)<br>※機關有無定期針對所屬單位及人員進行資訊系統及技術應用之安全性評估（例如：資訊設備及系統提供者/管理者/資料擁有者/資料使用者/系統維護者等對象），以確保其遵守資訊安全相關規定？| |11.3|<span id="k3"></span> 5. 記錄資料管理監督及評估過程。|※機關有無建立監督及評估機制過程的文件化資訊？如何保存相關的文件化資訊？| ::: <br> ### **12. 指引十二：持續改善與精進** ++*機關宜持續改善資料管理政策，並且宜有具體評鑑機制，以使資料管理政策持續與時精進。*++ :::spoiler 12.1[**滾動精進資料管理需求**](#l1) 12.1.1 持續精進資料蒐集、分析與發布的運作方式與流程。 12.1.2 評估資料的使用效益及可再利用性，宜以使用者為出發點發布新的資料集，確保資料屬必要且具備高品質，並能滿足機關、資料使用者之需求。 12.1.3 根據資料管理需求，適當針對具機敏性資料調整保密協議。 ::: :::spoiler 12.2[**建立資料管理之預防及改善措施**](#l2) 12.2.1 機關宜持續改善資料管理制度之合宜性、適切性及有效性。 12.2.2 稽核後有發生不符合事項時，機關宜採取適當的矯正或改善措施。 12.2.3 機關宜定期進行風險管理循環流程，以判斷狀況已經改善。 ::: :::spoiler 12.3[**有關持續改善與精進過程宜盡量予以記錄**](#l3) <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |12.1|<span id="l1"></span> 1. 根據資料管理需求調整、精進現行資料管理政策。<br>2. 機關評估資料使用效益及可再利用性，建議以使用者之角度考量發布新的資料集。<br>3. 若必要時，宜適當針對具機敏性之資料調整保密協議。|※機關如何識別導致工作項目和流程出現問題的原因，確保從源頭解決資料品質問題？<br>※機關如何評估資料是否符合其原始目的和未來使用需求，適時對於該資料管理措施進行調整？<br>※評估資料後，如何識別、確定需要改善的部分，並排定改善的優先順序、程序？<br>※機關如何評估資料的使用效益及再利用性？機關如何評估以使用者為出發點發布新的資料集，確保資料是必要且具品質的，並能滿足機關、資料使用者之需求？<br>※針對具機敏性的資料，機關內部如何調整保密協議？| |12.2| <span id="l2"></span>4. 資料管理之預防措施。<br>5. 資料管理之改善措施。<br>6. 定期進行風險評估。|※機關由哪個單位負責定期檢視資料管理政策、進行風險評估，以預防或降低風險與負面影響，確保達成其資料管理政策預期成果？<br>※機關多久進行一次定期檢視與風險評估？<br>※哪個單位負責維護、改善資料？<br>※機關如何關注、設定改善措施所欲達成的目標？設定目標時，是否考慮：資料的重要性、有多少資料可能受到影響、資料品質問題造成的風險、改善措施的衍生成本等？<br>※稽核後若有發生不符合事項時，機關將考量採取以下哪些作為？(1)因應不符合事項，適當採取行動以控制並矯正、處理後果。(2)審查不符合項目、列為不符合項目原因、是否有類似不符合項目存在，評估消除不符合事項原因的行動需求。(3)確實執行改善行動。(4)其他（請進一步詳細說明欲採取的措施）。<br>※機關後續如何審查採取矯正措施之有效性，並判斷狀況是否已經改善？| |12.3|<span id="l3"></span> 7. 記錄持續改善與精進過程。 |※機關內部是否會記錄改善與矯正了哪些資料？以及改善或矯正原因為何？<br>※機關如何管理、保存這些文件化資訊、紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？| :::