<style> .markdown-body { max-width: 1000px; } .markdown-body table { word-break: unset; } .text-center{ text-align: center; //文字置中 } .text-left{ text-align: left; //文字靠左 } .text-right{ text-align: right; //文字靠右 } </style> <span class="text-center"> # 相關法規盤點（政府機關資料管理參考指引） </span> ### 一、開放資料： <相關法規> 1.行政院及所屬各級機關政府資料開放作業原則 2.資料集詮釋資料標準規範 3.政府資料開放諮詢小組設置要點 4.開放資料適用之授權條款 5.行政院所屬二級機關資料開放諮詢小組運作指引 6.政府資料開放優質標章暨深化應用獎勵措施 7.政府資料開放跨平臺介接規範 8.共通性應用程式介面規範 <指引> 1.政府資料品質提升機制運作指引（105年12月修訂） <標準> 待補充 <其他國外相關參考> 待補充 --- ### 二、共享資料 <相關法規> 1.資料集詮釋資料標準規範 2.政府資料開放諮詢小組設置要點 3.開放資料適用之授權條款 4.行政院所屬二級機關資料開放諮詢小組運作指引 <指引> 1.政府資料品質提升機制運作指引 2.本草案擬定中 <標準> 1.ISO 27001 2.ISO 27701 <其他國外相關參考> 待補充 ---- ### 三、數據公益 <相關法規> 待補充 <指引> 待補充 <標準> 待補充 <其他國外相關參考> :::spoiler 歐盟《數據治理法》（Data Governance Act，DGA） 歐盟強調數據之於整體環境的良善目的，個人與數據持有者自願無償提供數據用於科學研究、改善公共服務，以簡單的方式讓數據可共享，造福社會環境。 ::: ---- ### 四、高應用價值 <相關法規> 1.資料集詮釋資料標準規範 2.政府資料開放諮詢小組設置要點 3.開放資料適用之授權條款 :::spoiler 4.預計公布正式機制 [數位部推高應用價值資料機制 年底公布細節](https://ec.ltn.com.tw/article/breakingnews/4069997) ::: <指引> 1.政府資料品質提升機制運作指引 2.領域資料標準訂定流程參考指引 3.行政院所屬二級機關資料開放諮詢小組運作指引 <標準> 待補充 <其他國外相關參考> 待補充 --- ### 五、資訊安全 <相關法規> 1.資通安全管理法 2.資通安全管理法施行細則 3.資通安全責任等級分級辦法 4.資通安全事件通報及應變辦法 5.資通安全情資分享辦法 5.公務機關所屬人員資通安全事項獎懲辦法 6.政府資料傳輸平台管理規範 7.電子化政府服務平臺機關資訊查詢作業管理要點 <指引> 1.資通系統風險評鑑參考指引（110年12月修訂） 2.安全控制措施參考指引（111年1月修訂） 3.政府資訊作業委外資安參考指引（111年8月修訂） 4.資通系統籌獲各階段資安強化措施 5.資訊服務採購案之資安檢核事項 6.我國電腦機房異地備援機制參考指引 7.資安治理成熟度評估參考指引 8.政府機關雲端服務應用資安參考指引 9.安全控制措施參考指引 10.Web應用程式安全參考指引 11.VPN安全參考指引 12.電子資料保護參考指引 13.防火牆建置資安參考指引 14.入侵偵測與防禦系統建置資安參考指引 15.無線網路安全參考指引 16.政府資訊改造資安參考指引 17.實體隔離作業安全參考指引 18.電子身分認證參考指引 19.領域電腦緊急應變團隊(Computer Emergency Response Team, CERT)實務建置指引 20.領域資安資訊分享與分析中心(Information Sharing and Analysis Center, ISAC)實務建置指引 21.領域資訊安全監控中心(Security Operation Center, SOC)實務建置指引 <標準> 1.ISO 27001 2.ISO 27701 <其他國外相關參考> 待補充 --- ### 六、個人資料 <相關法規> 1.個人資料保護法 2.個人資料保護法施行細則 3.各機關人事資料管理規則 <指引> 1.個人資料保護參考指引（100年12月修訂） 2.個人資料法規遵循參考指引（109年12月修訂） 3.資訊服務業者落實個人資料保護暨資訊安全參考指引（110年12月修訂） <標準> BS10012 <其他國外相關參考> 待補充 --- ### 七、數位政府 4.政府資料傳輸平台管理規範 5.服務型智慧政府2.0推動計畫 <指引> 1.政府資料品質提升機制運作指引 2.本草案擬定中 <標準> 1.ISO 27001 2.ISO 27701 <其他國外相關參考> 待補充 ### 八、其他 <相關法規> 醫療機構電子病歷製作及管理辦法第8條 1.行政院公共工程委員會101年09月13日工程企字第10100346580號函 (1)大陸地區廠商：指依大陸地區法律設立登記之公司、合夥或獨資之工商行號、法人、機構或團體。 (2)第三地區含陸資成分廠商：非依兩岸之法律設立登記而含陸資之廠商，且符合大陸地區人民來臺投資許可辦法第3條第2項規定之陸資投資公司，即大陸地區人民、法人、團體、其他機構直接或間接持有該第三地區公司股份或出資總額逾百分之三十或對該第三地區公司具有控制能力。 (3)在臺陸資廠商：依我國法律設立登記之公司或事業，且屬大陸地區人民來臺投資許可辦法第5條規定之陸資投資事業。 <標準> 1.資訊安全標準驗證： (1)ISO/CNS 27001、ISO27017、ISO/CNS27018及ISO/CNS27701（或BS10012）：自公告日起。 (2)ISO/CNS 22301：自公告日起3年內增列。 2.驗證範圍應涵蓋所使用之雲端服務相關流程，驗證文件應持續有效，且驗證文件之發證單位應為國際認證論壇（International Accreditation Forum，IAF）認證機構認可之驗證機構。 # 十二項指引 ## 1. 指引一：建立資料管理政策 ++*機關宜擬定資料管理政策，包含資料管理之基本規則，於管理資料時有所依循，提升機關資料運用的效益。*++ :::spoiler 1.1[政策宜掌握組織願景](#a1) 1.1.1 描述組織需運用資料之業務。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.1.2 組織宜評估與其資料管理目的有關且影響達成其資料管理之內外部議題。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 1.2[政策宜展現管理階層之領導及承諾](#a2) 1.2.1機關首長及最高管理階層宜展現對資料管理政策與制度之領導、決策、監督與資訊之充分掌握，並承諾將資料作為長期性的戰略資產並加以運用；並確保其承諾能被組織理解。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.2.2政策宜載明管理階層需要負責的任務，例如：明定資料管理的目標，並確保目標與組織的策略方向一致、確保資料管理的要求事項能夠與機關的業務運作過程適度整合，以及適當藉由相關管理角色的職責，加以支持管理階層之領導力。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 1.3[政策宜定義資料使用者與利害關係人，並適切地了解社會大眾需求及期望](#a3) 1.3.1 以資料受益者角度為核心，定義資料使用者與利害關係人（資料利害關係人可能來自內外部組織、民眾等）。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.3.2 確認資料使用的目的、內容以及使用情境。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.3.3 主動與資料使用者分享及溝通資料管理的流程、方式、法規及文化差異等。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.3.4 使用溝通工具與技術，將資料之相關訊息或趨勢傳達予社會大眾，並適度參酌、考量社會大眾之意見。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.3.5 以適當方式檢視資料使用者對資料價值、準確性、客觀性及隱私保護的看法，並於資料管理政策中予以滾動評估、改善。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.3.6 以適當方式了解資料使用者之需求，確保資料使用者之意見經過處理且向上呈報，並納入優先改善事項。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 1.4[政策宜決定資料管理之範圍](#a4) 1.4.1 評估機關業務需求，決定資料管理之範圍。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.4.2 評估項目包括但不限於：內部與外部議題、利害關係人所提及之要求事項、機關的職責與業務、機關可接受的風險程度、適用的規範（法律、法規、合約）等。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 1.5[政策宜確保資料分析與運用納入決策過程中，協助政府機關決策、實踐問責制度以提升公共利益](#a5) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 1.6[政策宜考量組織層級、資源及規模，依推動需要設置經授權的資料治理組織（例如：資料治理委員會、資料諮詢會議或資料戰略小組等），並定義組織的角色、責任及權限](#a6) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 1.7[政策宜鼓勵機關進行跨機關或跨單位資料提供或共享](#a7) 1.7.1資料管理政策宜鼓勵機關跨機關或跨單位提供或共享資料資產，提升資料資源再利用之效益。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:服務型智慧政府2.0推動計畫 :black_medium_small_square:邁向數位平權推動計畫-深化數位發展調查與研究 :black_medium_small_square:強化公部門網路服務與運算雲端基礎設施計畫 1.7.2資料管理政策中宜依推動需要，適當明示規劃提升資料再利用之相關計畫，以促進跨機關或跨單位間資料提供或共享之可行性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:服務型智慧政府2.0推動計畫 :black_medium_small_square:邁向數位平權推動計畫-深化數位發展調查與研究 :black_medium_small_square:強化公部門網路服務與運算雲端基礎設施計畫 ::: :::spoiler 1.8[機關資料管理政策除考量前述1.1至1.7內容之外，宜依需求考量之其他事項](#a8) 1.8.1識別所適用之法規與相關規範。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.8.2識別組織所保有之資料類別。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.8.3配合機關依據資通安全管理法擬定之資通安全維護計畫，訂定資訊安全管理機制。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:資通安全管理法§10、 16II、17I :black_medium_small_square:資通安全管理法施行細則§6 :black_medium_small_square:ISO27001國際標準 --5.2A.5資訊安全政策、6.2資訊安全目標、A.15供應商資安管理、A.7.2.3正式懲處流程。 :black_medium_small_square:資通安全維護計畫範本 >>1.8.3.1訂定組織各部門及各層級所有之資料管理權限與責任。 >>>《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） >>1.8.3.2明確資料保存相關之風險及管控措施。 >>>《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） >>1.8.3.3對資訊安全事故之應變措施，宜依循資通安全管理法相關規範。 >>>《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:資通安全管理法§14 :black_medium_small_square:資通安全管理法施行細則§6、8、18 :black_medium_small_square:資通安全事件通報及應變辦法§2 :black_medium_small_square:ISO27001國際標準 -- A.16資訊安全事件及事故管理、A.6.1.3與權責機關之聯繫 :black_medium_small_square:各機關資通安全事件通報及應變處理作業程序 :black_medium_small_square:公務機關資通安全事件通報應變程序範本 1.8.4針對個人資料之蒐集、處理、利用及相關安全維護事項。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square: 個人資料保護法及其施行細則 >>1.8.4.1機關宜依據個人資料保護法及相關法規進行個人資料蒐集、處理、利用之機制及辦理安全維護事項。 >>>《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square: 個人資料保護法及其施行細則 >>1.8.4.2機關委託外部蒐集、處理或利用個人資料者： >>* 選擇可提供技術及組織安全措施的單位或機構作為資料處理者。 >>* 決定與受託者締結契約前，進行適當安全性評估，且如因處理的個人資料之本質或處理的特殊狀況所需要，宜在締結契約前對其安全措施進行評估。 >>* 決定挑選作為資料處理者時，宜與受託者簽定契約或協議。 >>>《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square: 個人資料保護法及其施行細則 1.8.5提升機關所屬人員依其職掌所對應之資料處理或資料應用技能，以及所需之教育訓練。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.8.6訂定機關組織人員之資料管理監督與獎懲機制，明定組織內落實監督之角色；並做為領導階層為獎懲之參考依據。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square: 公務機關所屬人員資通安全事項獎懲辦法 1.8.7資料管理制度之文件與紀錄管理。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.8.8內、外部監督及評估機制。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 1.8.9預防及改善措施。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 1.9[有關建立資料管理政策之過程宜盡量予以記錄](#a9) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------- | | 1.1| <span id="a1"></span>1. 機關首長或其代理人已責成高階領導人，進行資料管理政策之規劃由受指定之高階領導人啟動資料治理與管理願景的撰寫。<br>2. 組織願景敘述涵蓋機關推動資料管理之目的及內外部議題。|※負責資料管理政策之高階領導人對機關願景之掌控與規劃能力？<br>※機關建立資料治理與管理願景的動機？ <br>※影響機關進行資料管理的內外部議題？| | 1.2| <span id="a2"></span>3. 將願景納入資料管理流程規劃過程。<br>4. 定期檢視、討論資料治理如何與整體組織願景保持一致。<br>5. 徵求機關領導層級及管理層級對於資料管理要求事項與業務運作扣合程度之意見。<br>6. 確保資料治理指導、管理決策及優先事項之間具有關聯性和實用性。|※ 是否有將資料管理推動過程所需各項資源（例如：人力、系統、資訊、設備）之整備程度納入考量？<br>※機關領導層級及管理層級對於「資料管理」的想法為何？<br>※機關檢視組織願景落實程度情形方式為何？以及如何確認下一步需要關注的方面？<br>※領導階層之決策中那些事項具有優先性？<br>※優先事項對達成機關資料治理之關聯性？| |1.3| <span id="a3"></span> 7. 於政策中明確定義出資料使用者、資料利害關係人。<br>8. 資料使用之目的、內容、應用情境等，需依循資料管理政策、原則。<br>9. 機關宜充分、適當地了解資料使用者之需求及意見，並平衡不同使用者群體之意見，同時考量納入優先改善事項。| ※在資料管理政策中，有無明確定義出資料使用者或資料利害關係人等角色、相關權限？<br>※如何確認、檢視資料使用之目的、內容、使用情境，與原始蒐集目的是否相符？如何檢視資料使用之目的、內容、應用情境等，是否合於資料管理政策、社會大眾需求？<br>※機關是否設計公開透明、雙向溝通或評估與精進措施等相關機制，使資料使用者可充分表達其需求及建議，以利於後續資料管理政策之優化？| |1.4|<span id="a4"></span> 10. 機關經評估業務需求後，界定資料管理範圍。|※機關如何評估並檢視與資料管理相關之要求（例如：適用法規、政策、風險程度等），以界定資料管理範圍？<br>※所需求之資料與組織願景、資料治理相關之法規與政策之關聯性？| |1.5|<span id="a5"></span> 11. 資料管理政策中，針對機關決策過程宜積極考量資料分析與應用結果有明確要求與鼓勵。|※資料管理政策內容有無強調機關循證決策之概念？<br>※資料管理政策內容針對機關循證決策之方式有無適當說明及相關機制？| |1.6|<span id="a6"></span> 12. 資料管理政策中，明示考量組織層級及規模，依推動需要設置適當的資料管理組織。<br>13. 資料治理組織可考量由機關既有的資料開放諮詢小組（或工作小組）予以功能擴充。|※依機關組織層級及規模，是否考量設置資料管理組織或相關工作小組（例如：資料治理委員會、資料諮詢會議或資料戰略小組等任務型組織）？<br>※在資料管理政策中有無明確授權資料管理組織或相關工作小組的角色、責任及權限？ |1.7|<span id="a7"></span> 14. 資料管理政策中，有明確鼓勵機關本於互惠立場，跨機關或跨單位進行資料提供或共享。<br>15. 視機關推動需求，在資料管理政策中規劃訂定提升資料再利用相關計畫、或適當的資料再利用管理程序。|※資料管理政策中有無明確鼓勵跨機關或跨單位進行資料提供或共享？<br>※資料管理政策中，如何擬定促進資料再利用計畫獲適當的資料再利用管理程序所要達到的目標與效益？ |1.8| <span id="a8"></span>16. 機關擬訂資料管理政策時，除了本指引1.1至1.7相對重要之基本內容之外，已視資料管理之目的與需要，將本指引1.8所列事項依需求納入資料管理政策中。|※機關擬定之資料管理政策時，如何確立政策之架構以及宜納入政策之重要內容？<br>※資料管理政策除了宜納入本指引1.1至1.7相對重要之基本內容之外，依據機關資料管理之目的與需要，需要進一步考量本指引1.8所列之何事項？| |1.9|<span id="a9"></span> 17. 適當記錄建立資料管理政策相關過程|※機關建立資料管理政策時，相關決策（決議）過程是否有盡量予以記錄？<br>※前述資料管理政策之相關決策（決議）紀錄如何適當予以文件化並妥善保存？| ::: <br> ## 2. 指引二：盤點機關資料集及資料需求 ++*機關宜以資料使用者為出發點，盤點機關所需管理的資料集，識別機關已存在的資料、與尚未取得的資料，釐清機關對資料之需求。*++ :::spoiler 2.1[機關宜盤點資料集](#b1) 2.1.1建立資料集清單，並持續維護資料集清單之完整性及品質，以支持機關滿足資料使用者之需求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 2.1.2依據組織之通用性資料集標準框架及相關規範、標準等文件，進行資料集盤點及整備。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:行政機關電子資料流通實施要點第三點 :black_medium_small_square:資料集詮釋資料標準規範 2.1.3依組織需運用資料之業務，說明資料的目的及用途。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 2.1.4根據資料使用者對資料的需求、品質及目的等，設立資料集價值之評估基準，以確認資料集價值及保管資料之風險 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 2.1.5盤點時宜規劃資料再利用之範圍、限制與互通性（interoperability），並使資料於導入新技術時仍可被應用。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 2.1.6依機關內部規劃期間，或業務發生重大變動時，宜考量相關準則，再次進行資料集盤點及相關程序。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 2.2[機關對於資料之資安維護措施](#b2) 2.2.1宜考量機關之業務、資訊種類、數量、性質等因素，依據機關之資通安全責任等級，規劃相對應之資安維護事項。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:資通安全管理法§7、9、 10 :black_medium_small_square:資通安全管理法施行細則§4、6、7 :black_medium_small_square:資通安全責任等級分級辦法 :black_medium_small_square:ISO27001國際標準 -- 8實作、A.5~A.18資安控制措施 :black_medium_small_square:資通安全維護計畫範本 2.2.2針對涉及個人資料之資料集，宜依據個人資料保護法及其施行細則之規範，採取技術上及組織上之安全維護措施（例如：建立風險評估與管理機制）。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:個人資料保護法§6、18、19、27 :black_medium_small_square:個人資料保護法施行細則§12、24 :black_medium_small_square:資通安全管理法§9、 10、 16II、17I :black_medium_small_square:資通安全管理法施行細則§4、6 :black_medium_small_square:資通安全管理法相關指引文件，例如：「資通系統風險評鑑參考指引」（110年12月修訂）、「安全控制措施參考指引」（111年1月修訂）。 :black_medium_small_square:ISO27001國際標準--6.1因應風險與機會之行動、6.1.2資訊安全風險評鑑、6.1.3資訊安全風險處理。 ::: :::spoiler 2.3[機關設定資料需求處理之優先序](#b3) 2.3.1確定需先處理的關鍵資料需求問題，以決定問題優先處理順序。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 2.3.2機關決定資料需求處理之優先序宜將資料的保管、處理成本效益納入考量。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 2.4[機關盤點尚未取得之必要資料](#b4) 2.4.1識別並盤點未取得之必要資料，釐清未取得原因為組織內已有此資料但尚未盤點出或欠缺此資料。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 2.4.2確認前述未取得資料後續處理之方式及優先序。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 2.5[有關識別資料需求之過程宜盡量予以記錄](#b5) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:個人資料保護法施行細則 :black_medium_small_square:電子化政府服務平臺機關資訊查詢作業管理要點 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |2.1|<span id="b1"></span> 1. 已由機關高階領導階層指示團隊進行資料集之識別與盤點，確認所需管理資料之範圍。<br>2. 考量資料使用者之需求，釐清所需管理資料之範圍。<br>3. 依據組織之通用性資料集標準框架及相關規範、標準等文件，訂定符合機關業務性質之詮釋資料標準內容。<br>4. 依據機關需運用資料之業務，確認資料集之目的及用途。<br>5. 考量資料使用者對資料的需求、資料品質及目的等，於機關內部建立資料集價值之評估基準。<br>6.依據資料集價值評估基準，確認資料集價值及保管資料之風險。<br>7. 考量資料再利用之可能性，包括評估資料再利用之範圍、限制與互通性。<br>8. 機關於內部規劃盤點資料集期間，或業務發生重大變動時，宜考量再次進行資料集盤點及相關程序。|※機關組織內部有無建立資料集識別與盤點機制？如何進行資料集識別與盤點程序？<br>※涉及機關各業務之資料使用者需求為何？<br>※機關各業務單位之資料集盤點範圍有無考量資料使用者之需求？<br>※機關有無參酌其內部通用性資料集標準框架及相關規範、標準等文件，訂定符合業務性質之詮釋資料標準內容？<br>※機關對於經盤點後之資料集，如何確認資料集之目的、用途，以及資料集之價值、保管之風險?<br>※機關確認資料集目的、用途、價值、保管風險之頻率為何?<br>※機關內部如何建立有共識之資料集價值評估基準？<br>※如何操作資料集價值評估基準以確認資料集價值及保管資料之風險？<br>※針對經盤點之資料集，如何進一步評估資料再利用之可能性?<br>※機關內部規劃盤點資料集期間，或業務發生重大變動時，是否會考量再次進行資料集盤點及相關程序？係依據何標準進行考量？| |2.2|<span id="b2"></span> 9. 依據資料所屬之資通系統屬性與資通安全責任等級，規劃相對應之資安維護事項。<br>10. 資通安全由專責人員負責，並建立資安事件發生時之通報與處理機制。<br>11. 資料集涉及個人資料者，宜依據個人資料保護法及相關規範採取相關安全維護措施。|※依據機關之資通安全責任等級劃分，有無規劃相對應之資安維護事項？<br>※相關資通安全機制定期與不定期之演練、測試是否落實？有無依循資安審核標準或管理機制，並確立責任歸屬？<br>※機關組織之資料集有無涉及個人資料？<br>※機關針對涉及個人資料之資料集，所採取之安全維護措施為何？對於個人資料之管理及保護機制為何？| |2.3|<span id="b3"></span> 12.討論資料需求優先序之成本與效益。|※資料保管、處理所帶來的效益，是否大於產生之成本，以及該成本對機關庶務之影響？<br>※保管與處理資料之依據或授權？| |2.4|<span id="b4"></span> 13.針對尚未取得之必要資料訂定取得之排程與執行方式。|※定期檢視、確認必要資料之取得情況與進度？<br>※排程無法達成時對機關之影響程度？<br>※機關如何確認前述未取得資料之後續處理方式及優先序？| |2.5|<span id="b5"></span> 14.適當記錄機關識別資料之需求相關過程。|※機關識別資料需求之作業過程有無相關紀錄文件？若有，如何保存這些紀錄？| ::: <br> ## 3. 指引三：規劃資料管理所需資源 ++*機關宜投入相關資源，包括政策、組織架構、人員與權限、資源及技術等。*++ :::spoiler 3.1[機關建立內部資料治理組織](#c1) 3.1.1各級機關宜於內部設立資料治理組織（例如：資料治理委員會、資料諮詢會議或資料戰略小組等）。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.1.2資料治理組織由具資料管理專長的組織成員組成。該資料治理組織主要負責訂定資料管理相關政策、標準及流程等，並確認組織欲透過資料解決之議題及訂定相應的資料處理需求優先順序。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.1.3機關宜在符合相關資料保護法令時，於其公開網頁中公告組織資料治理之相關資訊，包括但不限於成員、規則、會議紀錄等。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 3.2[機關進行資料管理落實程度自我評估，並能參酌評估結果決定投資戰略資源的優先順序](#c2) 3.2.1初步的資料管理落實程度自我評估重點，宜放在資料及資料相關基礎設施上，例如：資料治理政策、程序、作業層面，包括但不限於資料管理流程、機關內部對資料管理之意識與認同、資訊系統、資料管理工具、資料分析、員工技能、資料相關資源產能，以及是否遵守資料治理相關法規與政策等。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:歐盟《數據治理法》（Data Governance Act，DGA） 3.2.2資料管理落實程度自我評估結果得作為後續持續檢視、檢討與修正機關投入資源先後順序之依據。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 3.3[建立及強化組織內部認知](#c3) 3.3.1機關領導人宜將其對機關資料管理之領導及承諾適當下達讓機關內部成員了解，並將資料的管理與運用納入決策中。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.3.2建立組織內部成員對資料品質的責任感。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 3.4[採用合適的資料應用技術](#c4) 3.4.1取得資料之來源若為連結時，使用安全資料連結：宜設置連結分析工具，測試及確認資料連結技術上是否足以保護資料之安全，並且兼顧滿足資料使用者對資料之需求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.4.2採用多樣化資料存取方式：設立多樣化存取方式，盡可能的使資料更容易存取，並進行風險評估。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.4.3鼓勵適當運用新興科技進行資料分析，例如：人工智慧技術、大數據分析技術、雲端運算服務等，並隨時因應科技演進適時調整鼓勵推動之新興科技。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.4.4採用資料應用技術宜注意技術中立性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 3.5[培訓機關人員能力](#c4) 3.5.1機關宜持續投資資料基礎設施及人才教育，確保機關人員具有適當訓練、經驗與能力。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.5.2機關宜培養資料相關領導人才，據以發展資料的使命及價值。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.5.3機關宜提高資料管理及分析的能力（資料人員分析與評估、資料管理、隱私保護意識等）。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 3.6[建立外部溝通及合作機制](#c6) 3.6.1機關宜盡力與外部資料使用者（包括其他機關要求使用、開放資料、共享資料情境下之外部資料使用者）保持溝通，就以下事項（包括但不限於）達成共識，並兼顧資料使用者之需求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） >>3.6.1.1 與外部資料使用者之間維持合作夥伴關係與溝通管道。 >>>《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） >>3.6.1.2 與共享資料之資料使用者建立共享機制或互惠之合作機制，包括共享之方式、程序、撤回機制等，以確保共享資料時不致危害資料安全。 >>>《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.6.2對特定之外部資料使用者，機關宜明確表示授權使用資料，使用描述性詮釋資料以提供有關資料存取及使用條件之相關資訊，並承諾維護智慧財產權，標示資料來源，遵守相關法規。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:政府資訊公開法 :black_medium_small_square:著作權法 :black_medium_small_square:政府資料開放授權條款 :black_medium_small_square:行政院及所屬各級機關政府資料開放作業原則 ::: :::spoiler 3.7[擬定及更新資料管理相關協議或條件](#c7) 3.7.1根據執行資料管理需求擬定相關協議文件，包括契約、合作協議等。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 3.7.2機關宜定期檢視更新、修正與資料管理需求相關之協議或條件。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 3.8[有關規劃資料管理所需資源之過程宜盡量予以記錄](#c8) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |3.1| <span id="c1"></span>1. 已決定由適當人選擔任機關內部資料治理組織之領導者並任命組織成員。<br>2. 列出資料治理組織成員的角色與任務。<br>3. 資料治理組織之章程已確保每個角色均有明確的責任歸屬。<br>4. 機關內部已建立常規化流程以檢視組織成員資格。<br>5. 建立資料治理組織之章程。|※資料治理組織領導者與成員對機關資料治理之掌握程度？<br>※資料治理組織所欲推動或執行之目標有無達成？<br>※個別資料治理組織成員角色的任務與行動與其職掌關聯程度？<br>※資料治理組織建立政策、流程及監督的範圍及授權程度？<br>※資料治理組織章程中相關權責劃分明確？<br>※資料治理組織內部對於角色劃分與責任歸屬有溝通、協調機制？<br>※針對資料治理組織成員之適任性有何檢視流程或機制？<br>※機關成立資料治理組織的動機與目標？<br>※資料治理組織要解決的議題？| |3.2| <span id="c2"></span>6. 依機關個別情形與需求，擬定資料管理落實程度自我評估機制。<br>7. 已進行資料管理現況落實程度及落差之初步評估。|※資料能力成熟度初步評估重點包括資料及資料相關基礎設施，評估項目為何（例如：資料管理流程、機關內部對資料管理之意識與認同、資訊系統、資料管理工具、資料分析、員工技能、資料相關資源產能，以及是否遵守資料治理相關法規與政策等）？<br>※初步評估後有無定期就評估結果進行後續檢討？定期評估與檢討之頻率？<br>※相關檢討內容有無確實記錄並可供檢驗？| |3.3| <span id="c3"></span>8. 已於組織內部溝通、布達機關之資料治理政策，並由機關領導人進行適當宣示。<br>9. 將維護資料品質適當與機關內部組織成員之工作與職責做連結。|※機關領導人已採適當方式於組織內部公布、宣導資料治理政策？<br>※由機關內部各單位辨識出內部人員的工作、職責與資料品質之關聯？| |3.4、3.5|<span id="c4"></span> 10. 已確認機關所需的關鍵資料技能SOP |※該SOP有無布達或提供使用者教育訓練？<br>※該訓練有無相關測驗確保使用者能吸收？| |3.6|<span id="c6"></span> 11. 與外部的資料使用者之間依資料使用情境與需求，規劃適當的溝通管道。<br>12. 對外部資料使用者以適當方式表示授權其使用資料、詮釋資料、資料存取及使用條件、遵循智財權等資訊。|※外部資料使用者若屬開放資料之使用者，對於自政府資料開放平臺而來的相關資料需求與意見，機關內部有無明確的回應與處理機制？<br>※外部資料使用者若屬特定的共享資料使用者，在共享資料之授權或協議條款中有無明定雙方溝通窗口與方式？<br>※對於共享資料情境之外部資料使用者，於共享資料之授權或協議條款中有明示授權對方使用的資料範圍、使用的詮釋資料、資料存取及使用條件、遵循智財權等資訊？| |3.7|<span id="c7"></span>13. 有依據機關執行資料管理之需求，與外部合作單位間擬定相關合作協議、約定或契約。<br>14. 有定期檢視、更新與外部單位間簽訂之相關合作協議、契約之條款。|※機關內部對於與外部單位之間有關資料的授權使用或要求提供等合作關係，有依循機關內部簽核程序與對方擬定相關合作協議、約定或契約？<br>※與外部單位間簽訂之相關合作協議、約定或契約，機關內部有定期追蹤、更新的機制？| |3.8| <span id="c8"></span>15. 對於規劃資料管理所需資源之過程進行適當記錄。|※機關如何妥適規劃資料管理所需資源？其規劃過程有無進行適當記錄？以及如何保存這些紀錄？| ::: <br> ## 4. 指引四：滿足資料蒐集需求 ++*機關宜根據使用者的需求獲取或產製資料，並依照機關規範擷取適當詮釋資料，以提高資料品質。*++ :::spoiler 4.1[機關建立蒐集或產製資料用途](#d1) 4.1.1資料蒐集或產製之用途宜與資料管理政策一致。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 4.2[機關建立資料蒐集機制](#d2) 4.2.1考量資料蒐集需求，得建立數位化資料傳輸或存取平臺（例如：T-Road跨機關資料傳輸服務）以系統性蒐集資料與詮釋資料，並宜注意所蒐集資料之正確性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 4.2.2蒐集資料宜秉持透過安全來源，並以安全入口匯入資料。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 4.2.3針對非公開資料若有蒐集、取用之需求，宜向資料擁有者提出正式要求，並表明使用目的、分析方法及使用期間等內容。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 4.2.4資料蒐集方式宜注意公開性及透明度，針對個人資料之蒐集宜符合最小蒐集原則。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:個人資料保護法 ::: :::spoiler 4.3[持續關注及評估資料蒐集之影響](#d3) 4.3.1持續檢視新增之資料蒐集需求是否與資料管理政策一致，評估對公共利益之影響。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 4.4[有關滿足資料蒐集需求之過程宜盡量予以記錄](#d4) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |4.1|<span id="d1"></span> 1. 已評估資料蒐集或產製用途與政策之一致性。|※依一致性評估檢視資料管理政策與蒐集或產製用途間有無雙向修正或精進之處？<br>※依所需資料之必要程度，所採取之執行方式？| |4.2|<span id="d2"></span> 2. 已啟動資料存取平臺建立流程之規劃。<br>3. 資料傳輸或存取平臺得在現行之資通安全模式下傳輸資料。<br>4. 已檢視資通安全相關法規與對照資訊安全管理制度相關國際標準或國家標準之要求。<br>5. 已訂定資料無法蒐集或難以蒐集時之配套措施。<br>6. 資料蒐集方式宜注意公開性及透明度。<br>7. 針對個人資料之蒐集宜符合最小蒐集原則。|※機關如何妥適規劃、建立資料蒐集機制？<br>※考量機關內部單位的權責劃分 、任務與特性，區辨不同單位間有無特殊的資料存取需求？<br>※資料蒐集之來源為安全來源？<br>※資料匯入有安全檢驗機制？<br>※導入相關國際標準或國家標準之驗證項目？<br>※傳輸軌跡有無留存？<br>※原定的資料蒐集方式發生阻礙時，有無配套措施？<br>※發現資料無法蒐集或難以蒐集時，機關內部如何進行呈報或溝通機制為何？<br>※進行資料蒐集時，是否留意符合公開性及透明度之要求。<br>※若有針對個人資料之蒐集，是否符合最小蒐集原則？| |4.3| <span id="d3"></span>8. 相關法規或政策變更時，已更新資料影響評估。|※影響評估內容更新過程中，有無將外部專家學者之意見納入？<br>※使用者或關係人對影響評估有疑義時是否有對話窗口或申訴管道？| |4.4|<span id="d4"></span> 9. 記錄滿足資料蒐集需求之過程。|※機關如何妥適規劃資料蒐集需求？其規劃過程有無進行適當記錄？<br>※機關如何保存這些紀錄？採用集中式或聯合方法來管理這些紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？| ::: <br> ## 5. 指引五：建立資料轉換作業 ++*機關宜依需求針對資料進行格式化、資料清洗、加密或進行標準校正作業，以提供後續階段使用。*++ :::spoiler 5.1[資料轉換之安全措施與回饋](#e1) 5.1.1機關宜辨識資料的屬性，例如：是否屬個人資料、是否具機敏性、是否涉及特定權利等。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 5.1.2根據使用目的進行資料清洗、格式轉換，並針對個人資料及機敏性資料採取必要的保護措施（例如：加密），並考量清洗完後的回饋機制。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 5.2[運用資料轉換標準](#e2) 5.2.1機關宜視需求採用資料標準，以盡力提升資料品質，並促進資料的使用、存取、共享及互通性（interoperability）。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 5.2.2機關宜參酌「領域資料標準訂定流程參考指引」等相關指引文件，視各機關業務需求，就業管領域建立資料標準與作業規範。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 5.3[資料轉換作業宜有資料版本控制措施](#e3) 5.3.1各種格式化資料清洗，宜進行版本控制予以保存。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 5.3.2格式化資料清洗後宜回饋予原始資料提供單位，避免重複確認。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 5.4[提升資料再利用可能性](#e4) 5.4.1資料宜為開放格式，且宜參酌「政府資料品質提升機制運作指引」建立資料品質提升機制。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 5.4.2機關宜盡力保持最完整的原始資料狀態。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 5.4.3機關宜確保資料經格式化後儲存，於資料生命週期的後續階段供機關使用及再利用。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 5.5[有關資料轉換作業之過程宜盡量予以記錄](#e5) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square: 國家檔案移轉作業指引 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |5.1|<span id="e1"></span> 1. 資料屬性清單已由機關一定職位或其授權人員確認與核可。<br>2. 已建立並由專人負責機敏性資料之保管檢核機制。<br>3. 確保資料清洗或格式轉換具可靠性、安全性。|※ 經核可後之後續執行流程？<br>※機關首長或其授權人員對執行程度之監督機制？<br>※負責保管、處理資料之專人是否適任?有無定期精進其專業技能？<br>※相關程式保護力是否足夠？資料有無定期備份？<br>※備份機制之安全性？| |5.2|<span id="e2"></span> 4. 已考量機關業務需求與差異性，評估是否研擬資料轉換標準（以「領域資料標準訂定流程參考指引」附錄之範本為基礎）。|※機關如何妥適規劃、評估資料轉換之標準？<br>※機關業務單位對資料轉換有何種特殊目的或差異性？<br>※目前所採用之資料轉換標準之安全性與落實可行性？| |5.3|<span id="e3"></span> 5. 資料版本控制措施得檢視與驗證。|※如何劃分執行人員對檔案變更控制權之層級？版本控制有何標準？<br>※檢視人員之專業程度？<br>※各階段之軌跡或內容有無紀錄？| |5.4|<span id="e4"></span> 6. 機關內部已參酌「政府資料品質提升機制運作指引」建立適當且有共識之資料品質提升機制。<br>7. 確認資料符合開放格式。<br>8. 對於機關取得或做成之原始資料，有適當之保存機制。<br>9. 已留存資料使用紀錄以確保資料庫之完整性。<br>10. 機關內部有相關機制以鼓勵、促進資料之再利用。|※機關內部目前是否有既有之資料品質提升作法或機制？<br>※參酌「政府資料品質提升機制運作指引」如何訂定符合機關單位需求且可行之資料品質提升機制？<br>※資料未符合開放格式之原因為何？<br>※取得或做成原始資料後之保管方式及程序為何？<br>※目前的資料保存方式，是否能盡力維持原始資料版本或易於回復原始之資料？<br>※機關之資料管理政策或機制有無設計鼓勵、促進資料再利用之作法？| |5.5|<span id="e5"></span> 11.適當記錄資料轉換之過程。|※機關如何進行資料轉換之過程？<br>※機關進行資料轉換之過程有無進行適當紀錄？機關如何保存這些紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？| ::: <br> ## 6. 指引六：適當的使用資料，確保資料正確發揮效益 ++*機關宜設定使用者的存取權限，持續監控資料品質，為使用者提供適當的資料儲存方式，以確保資料能正確的發揮其作用。*++ :::spoiler 6.1[機關內部設立適當資料存取權限](#f1) 6.1.1採用各種工具或技術，讓使用者適當存取、瀏覽資料。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 6.1.2根據使用者被授予的權限，決定使用者能存取、瀏覽資料的範圍。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 6.2[機關宜建立資料使用安全措施要求](#f2) 6.2.1機關宜依據資通安全維護計畫，建立適當之資料使用安全措施要求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 6.2.2針對保有之個人資料，宜依據法規建立適當之個人資料安全維護措施。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 6.3[機關宜確保資料使用之完整性、一致性及便利性](#f3) 6.3.1定期檢查資料是否適當、正確、客觀、可存取、可用、可理解、以及具使用之便利性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 6.3.2機關宜及時存取所有資料及留存所有更動紀錄，儲存資料時可以最細顆粒度等級（lowest level of granularity）儲存。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 6.3.3機關有共享資料情形時，宜有適當方式以確保所共享資料的一致性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 6.4[機關宜擬定明確的流程，確保個人資料當事人能根據法規查閱、補充、更正、刪除資料](#f4) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:個人資料保護法及其細則 :black_medium_small_square:國民法官個人資料保護辦法 ::: :::spoiler 6.5[確保資料品質](#f5) 6.5.1資料宜確保其正確性、易用性與即時性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 6.5.2持續監控資料品質，以確保資料能正確的發揮其作用。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 6.5.3擬定資料品質改善進程。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 6.6[有關資料使用之過程宜盡量予以記錄](#f6) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:內政部個人資料保護管理要點 :black_medium_small_square:依據個資法27 III所規定之辦法 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |6.1|<span id="f1"></span> 1. 已明確布達資料存取、瀏覽之權限與範圍。<br>2. 已訂定資料存取、瀏覽規範。|※資料取得之初始日期、保存期限、保管方式？<br>※權限審查與開通程序？<br>※資料存取相關規範對違反之使用者有何處理方式？| |6.2| <span id="f2"></span>3. 確保資料使用者知悉宜避免機敏性資料外流。|※依機關之資通安全機制，可有效避免資料遭不具權限之使用者存取或瀏覽？| |6.3| <span id="f3"></span>4. 已盡量採取最細粒度等級方式儲存資料，提高資料完整性。<br>5. 已確保資料使用工具於便利使用者之角度為開發與維護。|※儲存資料時是否以最細粒度等級（lowest level of granularity）儲存，並以何種方式輸出資料？（例如：單一輸出方式輸出資料）<br>※以何種方式讓使用者得將使用體驗反饋？工具或流程更新時相關反饋之參考程度？<br>※工具或流程之更新對原本權責劃分之影響？| |6.1、6.2、6.4|<span id="f4"></span> 6. 所研擬之資料使用流程已由資安與個資保護單位審視。|※依資通安全等級將資料進行分類?若進行個資之蒐集，有無法令依據或取得個資當事人書面同意？<br>※資料使用與蒐集目的之關聯性？資料後續刪除或抹除流程？| |6.5| <span id="f5"></span>7. 資料已持續維護品質並定期檢討。|※各類資料之使用者與保管者有無維護權限？資料是否確實？<br>※定期檢視資料對機關相關決策有無發揮正確效益？| |6.6|<span id="f6"></span>8. 適當記錄資料使用之過程。|※機關進行資料使用之過程有無進行適當紀錄？機關如何保存這些紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？| ::: <br> ## 7. 指引七：機關之資料以做成「開放資料」為原則；共享資料時則以開放格式、安全且有效方式為之 ++*機關之資料以做成開放資料為原則；機關共享資料時，宜以開放格式、安全且有效的方式為共享，以提升資料之效益及公開透明。*++ :::spoiler 7.1[機關資料的利用類型以做成開放資料為原則；符合例外情形時，可考量為「共享資料」或「不開放資料」](#g1) 7.1.1機關資料之利用類型以「開放資料」為原則。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.1.2機關資料有以下情形時，利用類型則可考量為「共享資料」或「不開放資料」： * 有政府資訊公開法第18條第1項各款情形之一者。 * 經評估資料開放不符合公共利益。 * 資料的建置或取得成本不符合效益，或需額外客製化費用。 * 其他法律規定者。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.1.3有下列情形之一者，各資料提供機關得停止全部或一部開放資料之提供： * 因政策變更或其他正當事由，致各資料提供機關評估認為原提供之資料宜轉為非開放資料。 * 所提供之資料，有侵害第三人智慧財產權、隱私權或其他法律上利益之虞。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 7.2[共享資料之情形](#g2) 7.2.1辦理統計業務之中央一級主計機關及各級政府主計機關，若為統計目的需要，或是為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，中央及各級政府機關宜依據統計法第18條規定辦理。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.2.2共享資料雙方依需求約定共享資料授權條款並得保留撤回權，宜考量雙方平等互惠原則，必要時簽訂保密協議。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.2.3機關宜將共享資料清單及其特定利用條件與收費基準公開於政府資料開放平臺，並宜定期檢視前述項目之妥適性並適時調整。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.2.4於符合法規前提之適當情況下，資料擁有者及資料利用者宜致力於協調及共享其資料集，以推進共同目標、滿足機關資料需求及減少蒐集資料的負擔。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.2.5機關宜從制度面設計誘因鼓勵跨機關或跨單位之間提供或共享資料集，以提升機關人員資料提供之意願與效率。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 7.3[共通性要求--建立開放資料、共享資料之安全措施](#g3) 7.3.1資料若涉及個人資料或機敏性，提供資料以前宜有安全措施保護及經過適當處理，適當處理包括去識別化（de-identification）、加密（encryption）、匿名化（pseudonymization）等方式，或改以無洩漏個資之虞，並符合母體特性之抽樣資料或模擬（合成）資料方式開放。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:個人資料保護法及其施行細則 7.3.2於共享資料情形，宜有適當安全性措施保護，例如：電子傳輸時使用加密模式或加密連結等措施。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.3.3於共享資料情形，宜確保相關人員是基於適當存取權限、職務上、或合法之目的始能存取資料。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 7.4[共通性要求--確保開放資料、共享資料以合法、合規為前提](#g4) 7.4.1機關宜遵循相關法律、規範及指引文件，辦理資料之開放或共享。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:政府資訊公開法 :black_medium_small_square:政府資料開放授權條款 ::: :::spoiler 7.5[共通性要求--確保開放資料及共享資料之品質](#g5) 7.5.1機關於政府資料開放平臺發布資料集前，宜確保資料提供格式符合開放格式之原則，並確保資料品質。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 7.5.2於共享資料情形，宜確認資料集符合開放格式原則；資料提供者與利用者之間宜確保資料之一致性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 7.6[有關開放資料或共享資料之過程宜盡量予以記錄](#g6) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |7.1、7.5| <span id="g1"></span>1. 資料開放格式符合相關要求。<br>2.統籌規劃管理資料集，並將資料集集中於政府資料開放平臺發布予公眾<br>3.鼓勵資料開放與再利用。<br>4.機關考量例外認定資料集為「共享資料」或「不開放資料」之情形。<br>5.各資料提供機關停止提供全部或一部開放資料之例外情形。| ※採適當格式開放?（例如：Txt、Xml、JSON等）<br>※機關如何管理開放之資料？創設並維護開放之資料清單？<br>※使用的開放資料管理標準為何？<br>※如何以標準開放格式（例如：使用通用性術語描述資料）、機器可讀且具一定品質方式，提供外界使用該資料？<br>※機關列示於政府資料開放平臺的資料集有哪些？<br>※使用哪些適當的工具與技術，將資料集有效率的發布至公眾？<br>※如何排定資料集的優先提供順序及簡化資料開放流程？<br>※機關如何促進開放資料的效率及確認相關責任？<br>※如何鼓勵資料開放及資料再利用？<br>※評估政府資料是否符合以下情形之一：<br>1.政府資訊公開法第18條第1項各款情形之一者。<br>2.有建置或取得成本與額外客製化費用者。<br>3.經評估認為不符公共利益者。<br>4.其他法律規定者。<br>※經評估資料利用類型，開放有不符合公共利益，或涉及侵害第三人智慧財產權、個人隱私、營業秘密或其他法律上利益之虞？<br>※考量資料的建置或取得成本是否符合效益，或需額外客製化費用？資料提供機關是否具有完整權利？以及得否再轉授權等因素？<br>※機關內部有無列出、建置共享資料或不開放資料之清單？如何檢視其合宜性？多久檢視一次？<br>※檢視停止提供資料的條件為何？<br>※有無政策變更或其他正當事由，影響原本評估屬於「開放資料」或「共享資料」之類型，須轉為「非開放資料」的情形（包括「共享資料」轉為「不開放資料」、「開放資料」轉為「共享資料」或「不開放資料」等）？<br>※所提供之開放資料，是否經過適當評估、檢視有無侵害第三人智慧財產權、隱私權或其他法律上利益之虞？| |7.2|<span id="g2"></span> 6. 實踐共享機關資料集。<br>7. 建立跨機關資料治理功能。<br>8. 建立平臺間資料傳輸機制。|※機關共享資料集時，如何確認所共享資料符合開放格式原則？<br>※創設並維護共享之資料清單？<br>※機關如何確認不能共享或無法共享的資料為何？有哪些管理或限制方法？<br>※授權其他機關使用?有共通平臺可以使用?<br>※機關有無將共享資料清單及其特定利用條件與收費基準，公開於政府資料開放平臺？前述項目包含哪些內容？如何檢視、調整前述項目之妥適性？多久檢視一次？<br>※資料擁有者及資料使用者間如何協調、共享資料集，以推進共同目標、滿足機關資料需求，及減少蒐集資料的負擔？<br>※機關共享資料時，有建立共享資料授權利用條款？如何約定共享資料授權利用條款？是否有另外簽訂保密協議？<br>※如何與利害關係人協調可接受的共享、資料撤回方式及合作夥伴關係，以滿足使用者需求？<br>※資料共享雙方如何確保資料之一致性、完整性、最新性有共識？<br>※如何適當管理、定期檢視資料共享協議？多久定期檢視一次？<br>※資料共享機制是否留存使用軌跡?使用軌跡如何留存？<br>※各主計機關(構)若為統計目的需要，或為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，如何確認被要求共享之資料是否屬於國家機密保護法不得提供之資料?或屬其他法律規定不得提供之資料(具體確認「其他法律規定」為何規定)?<br>※機關如何確保共享資料時，符合機關內的資料治理政策？<br>※機關如何建立跨機關資料介接功能，例如：資料管理、存取、清洗、分析等功能及回饋機制，以促進機關間的合作、協調及效率？<br>※共享資料雙方依需求約定資料授權利用之特定條件並得保留撤回權，如何考量雙方平等互惠原則，必要時簽訂保密協議？<br>※機關如何給予互利互惠或提供資料共享之誘因，以鼓勵、促進跨機關或跨單位間之資料共享、資料索取和提供意願？有無相關的制度面或獎勵機制設計？<br>※機關如何以標準格式授權使用者使用資料？<br>※機關如何將資料存取平臺中的資料安全地匯出至其他系統？<br>※機關採取何種標準格式，進行平臺間之資料傳輸？| |7.3| <span id="g3"></span>9. 機關擁有之個人資料經適當處理。<br>10. 採取適當安全性保護措施。<br>11. 審查資料釋出後被再識別的風險。|※蒐集哪些個人資料?資料提供以前如何適當處理個人資料？<br>※機關間個人資料提供或傳輸符合法規要求或相關授權?<br>※如何確保開放資料/共享資料之安全性？<br>※機關如何保護個人資料和非個人資料之安全？機關依據存放地點(例如：內網、外網)，刪除或抹除個人資料的時間?<br>※資料若涉及個人資料或機敏性，採取哪些安全保護措施？及如何經過適當處理使資料符合開放資料特性？例如：去識別化、加密、匿名化之方式為何？採取的技術工具為何？<br>※資料蒐集或交換傳輸時，採取哪些適當安全性防護措施？（例如：身分識別、資料正確性檢核、電子傳輸時使用加密模式或加密連結等措施）<br>※如何確保相關人員是基於適當存取權限、職務上、或合法之目的始能存取資料？<br>※使用哪些工具測試安全性漏洞?<br>※機關如何事先評估提供去識別化資料集之風險？後續多久再次進行風險評估？| |7.4| <span id="g4"></span>12. 對資料進行適當管理。<br>13. 對法律及相關規範要求事項之遵循。|※機關在管理資料時，有遵循「個人資料保護法」、「政府資訊公開法」、「行政院及所屬各級機關政府資料開放作業原則」、「領域資料標準訂定流程參考指引 」等規範？<br>※機關遵循相關法律、規範及指引文件，辦理資料集之開放或共享？<br>※按適用之相關法令、法規要求，如何確保個人可識別資訊之安全及保護？| |7.5|<span id="g5"></span> 14. 確保資料完整性、正確性、時效性|※機關發布資料集，如何讓資料使用者可以在整個資料生命週期中驗證資料的正確性？如何確保資料的完整性、時效性？<br>※資料提供者與利用者之間，如何確保資料之一致性？| |7.1、7.5|<span id="g5"></span>15. 資料提供符合公開性、透明度|※機關如何確保給予公眾就資料使用需求意見表達和反饋的機會，並有充分的回應？<br>※公眾建議機關提供資料屬於共享資料或不開放資料時，如何適當回應公眾？<br>※資料（個人和敏感資料除外）以完整、開放、有品質的、非歧視性、易於理解和存取、免授權費、機器可讀取的格式等方式公開？| |7.6|<span id="g6"></span>16. 適當記錄開放或共享的資料|※機關記錄個人資料之蒐集、處理與利用過程？定期檢視分析？<br>※機關採用集中式或聯合方法來管理這些紀錄？<br>※機關如何定期盤點保留的紀錄？及保留時間為何？<br>※機關如何記錄與外部共享哪些資料？以及共享原因為何？| ::: <br> ## 8. 指引八：妥善運用資料提升決策或服務品質 ++*機關宜將經過分析的資料運用在有需求之業務中，在決策、規劃等業務中有效及適當的依據資料分析結果，以提升決策或服務品質。*++ :::spoiler 8.1[資料宜經過適當分析](#h1) 8.1.1資料宜經過適當分析以做為決策、制定計畫等業務之參考基礎，並鼓勵運用新興科技（例如：人工智慧、大數據分析、雲端運算服務等技術）進行資料分析。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 8.1.2進行資料使用、分析時尤其宜注意基本道德原則（例如：非歧視性等）。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 8.2[機關進行規劃、決策時宜使用資料（即循證決策）](#h2) 8.2.1機關在下決策、制定計畫等業務中，宜盡可能有效且適當的使用資料，並參酌與決策議題相關之規範、指引。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 8.2.2確保依據資料分析之結果進行決策。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 8.3[有關循證決策之過程宜盡量予以記錄](#h3) 8.3.1機關循證決策時所應用之資料集、項目宜予以記錄，定期統計並適當公布以了解各資料集運用程度，作為資料管理之依據。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |8.1|<span id="h1"></span>1. 明確資料處理方式。|※機關如何及時存取所有資料及其任何變更紀錄？| |8.2|<span id="h2"></span>2. 決策、規劃時宜妥適使用資料。|※機關進行決策、規劃時之依據為何？<br>※最常用之資料集、最需要之資料集為何？<br>※決策時的資料分析情況為何？<br>※如何維護資料庫中的資料為最新、最完整？| |8.3|<span id="h3"></span>3. 設定存取權限以維護系統安全性。|※機關宜保護資料之機密、隱私及完整性，如何設定使用者之存取權限，並定期維護資料系統之資通安全性？| |8.1、8.3|4. 使用安全資料連結。<br>5. 促進資料使用之透明性。<br>6. 遵循個人資料之目的外利用要件。|※機關如何設置資料安全性連結？<br>※機關如何測試及審查資料連結是否具足夠的隱私保護技術？<br>※機關是否妥適使用描述性詮釋資料，以提供資料存取及使用限制的相關資訊？<br>※機關運用資料時，是否妥適維護智慧財產權、標示資料來源、遵守相關法律規範？<br>※依個人資料保護法第16條，機關是否具備特殊事由始對個人資料為目的外利用？（例如：法律明文規定、為維護國家安全或增進公共利益所必要、為防止他人權益之重大危害、有利於當事人權益、經當事人同意...等。）| |8.3| 7. 適當記錄循證決策之過程|※機關循證決策時所應用之資料集、項目是否予以記錄，並定期統計、適當公布以了解各資料集運用程度，作為資料管理之依據？| ::: <br> ## 9. 指引九：完善資料儲存作業 ++*機關宜依據相關法律規範或政策，在資料保存目的消滅以前，將資料與資料集詮釋資料表一併安全的儲存。*++ :::spoiler 9.1[資料集儲存方式及儲存環境之完備](#i1) 9.1.1確保資料集儲存方式及儲存環境能滿足資料之備份、備援等保存需求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 9.1.2宜考量發生資料受侵害、遺失、滅失、毀損等事件時，對利害關係人之危害或損失，選定適當的儲存方式及儲存環境，並完善儲存設備。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 9.2[資料儲存安全措施](#i2) 9.2.1機關宜確保資料受到安全的儲存和處理。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 9.2.2機關宜依據資料屬性備妥符合其機密性和敏感度的預防措施，例如：將雲端儲存空間、個人自攜電子設備（Bring Your Own Device , BYOD）等議題納入控管要求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 9.2.3機關宜就資料受侵害、遺失、滅失、毀損等情形，設計相對應之資料救援機制，並針對儲存資料不完備所造成之事故，採取彌補措施。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 9.3[依據需求及相關法規進行資料保存](#i3) 9.3.1機關宜考量資料屬性、目的、需求、保存成本、法規等因素，決定適當的資料保存備份頻率、方式與保存年限。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square: 檔案法 :black_medium_small_square: 機關檔案保存年限及銷毀辦法 ::: :::spoiler 9.4[有關資料儲存之過程宜盡量予以記錄](#i4) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |9.1|<span id="i1"></span> 1. 建立適當之資料備份、備援機制<br>2. 確保資料儲存方式及儲存環境之完備。|※現階段資料之備份、備援機制為何？透過什麼方式檢視、評估該機制之既存風險？<br>※目前資料儲存方式及儲存環境為何？<br>※資料儲存環境是否有考量受自然或人為因素影響，所造成之風險？是否採取集中（一元化）或分散（多元化）之管理方式？<br>※資料若發生受侵害、遺失、滅失、毀損等事件，對資料利害關係人會產生之危害、損失及風險？<br>※組織（業務單位或資訊單位）對於資料儲存的需求是什麼？需求是否有考量對資料利害關係人會產生之危害、損失及風險？| |9.2| <span id="i2"></span>3. 確認資料具備相對應的儲存安全措施<br>4. 機關設計相對應之資料救援機制，並針對儲存資料不完備所造成之事故，採取彌補措施。|※個人資料儲存時評估是否需進行匿名化（anonymization）？以什麼方式匿名化？或考量其他相對應的安全維護措施？<br>※如何確保、維護資料之機密性、安全性？<br>※如何改善資料儲存系統和架構？<br>※如何針對資料儲存相關人員給予培訓和指導？<br>※機關是否已就資料受侵害、遺失、滅失、毀損等情形，設計相對應之資料救援機制、編列預算？採取之彌補措施為何？| |9.3|<span id="i3"></span>5. 遵守資料保存規範<br>6. 落實資料備份|※機關如何根據相關法律（例如：我國個人資料保護法、資通安全管理法等相關法規及指引等）、政策，規劃資料儲存機制及流程？<br>※機關有無考量引入自動化（automation）措施？引入的自動化措施為何？（例如：資料輸入驗證、自動品質檢查、或使用專業編碼工具而非電子表格）<br>※由哪個單位負責進行資料備份？<br>※機關如何依據組織需求及相關法規，進行資料之保存及備份？| |9.4|<span id="i4"></span>7. 記錄資料儲存之過程|※機關有無資料儲存之相關紀錄？以及資料儲存程序為何？<br>※對於被儲存資料的任何變更，是否確實留有軌跡紀錄？<br>※機關如何管理、保存這些紀錄？| ::: <br> ## 10. 指引十：完善資料抹除作業 ++*機關宜於資料保存目的消滅時，將資料以有效且安全的方式抹除，以降低資訊安全事故風險。*++ :::spoiler 10.1[建立資料抹除機制](#j1) 10.1.1機關宜依據法規、組織決策之授權等，必要時將資料以合法、有效且安全的方式抹除。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 10.1.2選擇抹除資料方式宜考量以下因素 * 被抹除資料的機敏程度。 * 資料未經授權而遭洩漏所造成的損害等。 * 確保資料抹除宜達到使資料無法被讀取或無法被檢索的程度，抹除範圍包含資料之副本及任何版本。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 10.2[資料抹除安全措施要求](#j2) 10.2.1確保抹除方式具備與資料機敏程度相同的安全保障措施。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 10.2.2確保抹除流程需與機關資訊安全風險評估一致。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 10.2.3機關依規定刪除或抹除資料時，宜依簽奉核定後，逕行刪除或抹除，並以適當方式記錄其執行結果。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 10.2.4建立資料抹除確認機制，以確保資料確實抹除並無其他備份。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 10.3[有關資料抹除作業過程宜盡量予以記錄。](#j3) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:內政部個人資料保護管理要點 :black_medium_small_square:依據個資法27 III所規定之辦法 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |10.1|<span id="j1"></span> 1. 建立資料抹除制度、選擇適當資料抹除方式。|※哪個單位負責抹除資料？<br>※有無建立適當之資料抹除制度？<br>※如何將資料以安全的方式加以刪除或抹除？<br>※選擇抹除資料方式有無考量以下因素：被抹除資料的機敏程度、資料未經授權而遭洩漏所造成的損害、資料抹除達到使資料無法被讀取或無法被檢索的程度等？| |10.2| <span id="j2"></span>2. 落實資料抹除之安全措施。|※資料抹除措施是否符合相關安全性要求？<br>※是否定期檢視資料抹除措施之安全性？多久定期檢視一次？<br>※資料抹除如何達到使資料無法被讀取或無法被檢索的程度？| |10.3|<span id="j3"></span>3. 適當記錄資料抹除作業過程。|※是否妥適記錄資料抹除相關資訊，例如：抹除時間、資料機敏程度、抹除方式等？<br>※機關有無記錄抹除原因為何？<br>※機關如何管理、保存這些抹除紀錄？<br>※機關確認資料被抹除（刪除）的機制為何？| ::: <br> ## 11. 指引十一：建立資料管理監督及評鑑機制 ++*機關宜建立監督及評鑑機制，定期檢視內部的資料管理是否遵循本指引要求事項及機關所訂之資料管理政策。*++ :::spoiler 11.1[實行稽核制度或適當監督機制](#k1) 11.1.1機關宜實行他方稽核或適當之監督機制，確認機關已遵循本指引要求事項以及機關所訂之資料管理政策，並記錄過程以適當方式公布結果，以持續精進相關制度。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 11.1.2宜保存監督及量測之證據。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 11.2[機關宜定期檢視與評鑑](#k2) 11.2.1機關宜定期檢視與評鑑資料管理政策，以確保政策與相關執行機制之合宜性及有效性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 11.2.2機關資料管理執行機制之有效性評估，建議視機關之成本考量，參酌資料使用者之滿意度、必要資料之缺失率及補充率為評鑑。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 11.3[有關監督及評估過程宜盡量予以記錄。](#k3) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） :black_medium_small_square:電子化政府服務平臺機關資訊查詢作業管理要點 <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |11.1|<span id="k1"></span> 1. 建立資料管理稽核制度或適當監督機制。|※機關有無建立、實行第二方或第三方稽核制度或適當之監督機制，確認機關是否遵循本指引要求事項以及機關所訂之資料管理政策？<br>※機關如何保存相關文件化資訊，作為監督及量測、評鑑之證據？<br>※機關如何持續精進相關制度、流程？| |11.2|<span id="k2"></span> 2. 定期檢視與評鑑機制。|※機關對資料實施了哪些品質監控？<br>※機關如何定期檢視與評鑑資料管理政策，以確保其合宜性、適切性及有效性？<br>※隨著資料在系統中移動，資料的使用可能會發生變化，如何評鑑資料是否符合其原始目的和未來使用？（這將影響資料應用建議，以及原始資料是否適合繼續開放或宜進行更改。）<br>※資料品質和價值可能因時間和應用領域等變化而降低，是否定期檢視、評鑑資料品質或價值有所影響以及繼續開放該資料集之必要性？多久檢視、評鑑一次？| |11.3|<span id="k3"></span> 3. 記錄資料管理監督及評鑑過程。|※機關有無保存、建立監督及評鑑機制過程之文件化資訊？<br>※機關如何保存、建立監督及評鑑機制過程之文件化資訊？| ::: <br> ## 12. 指引十二：持續改善與精進 ++*機關宜持續改善資料管理政策，並且宜有具體評估機制，以使資料管理政策持續與時精進。*++ :::spoiler 12.1[滾動精進資料管理需求](#l1) 12.1.1持續精進資料蒐集、分析與發布的運作方式。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 12.1.2使資料具使用效益及可再利用，宜以使用者為出發點設計新的資料集，確保資料是必要的且具品質的，並能滿足機關、資料使用者之需求。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 12.1.3根據資料管理需求，適當針對具機敏性資料調整保密協議。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 12.2[建立資料管理之預防及改善措施](#l2) 12.2.1機關宜持續改善資料管理制度之合宜性、適切性及有效性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 12.2.2稽核後有發生不符合事項時，機關宜有以下作為： * 因應不符合事項，適當採取行動以控制並矯正、處理後果。 * 審查不符合項目、列為不符合項目原因、是否有類似不符合項目存在，評估消除不符合事項原因的行動需求。 * 確實執行改善行動。 * 審查採取矯正措施之有效性。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） 12.2.3 機關宜定期進行風險評估，以判斷狀況是否已經改善。 >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） ::: :::spoiler 12.3[有關持續改善與精進過程宜盡量予以記錄。](#l3) >《配套措施》:（歡迎您提供、補充技術或操作層面相關文件或資訊之建議） <br> | 對應之指引 | Checklist | Key Questions | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | |12.1|<span id="l1"></span> 1. 根據資料管理需求調整。|※如何識別導致工作項目和流程出現問題的原因，確保從源頭解決資料品質問題？<br>※如何評估資料是否符合其原始目的和未來使用需求，適時對於該資料管理措施進行調整？<br>※評估資料後，如何識別、確定需要改善的部分，並排定改善的優先順序、程序？<br>※持續精進資料蒐集、分析與發布的運作方式為何？<br>※如何使資料具使用性及再利用？確保以使用者為出發點設計新的資料集，確保資料是必要且具品質的，並能滿足機關、資料使用者之需求？<br>※確保根據資料管理需求，適當針對具機敏性資料調整保密協議？| |12.2| <span id="l2"></span>2. 資料管理之預防措施。<br>3. 資料管理之改善措施。|※機關如何定期檢視資料管理政策、進行風險評估，以預防或降低風險與負面影響，確保達成其資料管理政策預期成果？<br>※機關針對資料管理政策，多久進行一次定期檢視與風險評估？<br>※哪個單位負責維護、改善資料？<br>※機關如何關注、設定改善措施所欲達成的目標？設定目標時，是否考慮：資料的重要性、有多少資料可能受到影響、資料品質問題造成的風險、改善措施的衍生成本等？<br>※機關如何持續改善資料管理制度之合宜性、適切性及有效性？<br>※若必要時，機關如何對資料管理政策進行修訂？<br>※稽核後有發生不符合事項時，機關考量採取以下作為？(1)因應不符合事項，適當採取行動以控制並矯正、防止再度發生。(2)審查不符合項目、列為不符合項目原因、是否有類似不符合項目存在，評估消除不符合事項原因的行動需求。(3)確實執行改善行動。<br>※如何審查採取矯正措施之有效性，並判斷狀況是否已經改善？| |12.3|<span id="l3"></span> 4. 適當記錄持續改善與精進過程。 |※機關是否記錄改善與矯正了哪些資料？以及改善或矯正原因為何？<br>※機關如何管理、保存這些文件化資訊、紀錄？<br>※機關如何依法律、命令、契約及相關要求將紀錄進行適當保存，免於遺失、毀損、偽造、未經授權發布？<br>※機關如何定期盤點保存的紀錄？及保存時間為何？| ::: ---