<style> .markdown-body { max-width: 1000px; } .markdown-body table { word-break: unset; } .text-center{ text-align: center; //文字置中 } .text-left{ text-align: left; //文字靠左 } .text-right{ text-align: right; //文字靠右 } </style> <span class="text-center"> </span> </p> #### ※瀏覽本指引前，請先閱讀且遵守相關規範：[HackMD使用說明與規範](https://hackmd.io/GecXvJYFSe64YiiAuMs0QA?view) # 前言 :::info &emsp;&emsp;為推動資料治理，提升各機關資料品質之技術及管理活動，協助政府機關發展跨機關資料流通及滿足民眾以資料為導向之服務需求，有必要推動各級政府機關循其資料治理理念建立或優化資料管理機制。所有為了提升資料品質之技術及管理活動皆屬「資料管理」之範疇，其涵蓋資料整體生命週期過程每個環節對資料之建構、策略及實踐。爰數位發展部訂定 「政府機關資料管理參考指引」 （以下簡稱本指引），作為各機關建立、優化組織內部資料管理制度之參考方向。<br> &emsp;&emsp;**本指引援引資料生命週期之概念**，大方向以 ++**確立資料管理之目的**++、++**資料獲取（或產製）**++、++**資料使用**++、++**資料儲存（或抹除）**++ 等階段（註：各機關依其業務職掌所涉及資料性質不同，不必然會歷經前述資料生命週期各階段，例如：「資料抹除」階段即視組織之需求及資料性質而定，並非必然過程），並於資料生命週期之資料儲存（或抹除）階段後，銜接 ++**評估與精進**++ 階段，共擬定12項指引原則；本指引亦結合PDCA（Plan-Do-Check-Act的簡稱）循環式品質管理概念，期許政府機關能依循指引之原則擬定符合組織需求之資料管理政策與機制，並以PDCA精神予以循序精進。 ::: :::spoiler 圖 1  <p class="text-center" > 圖 1 本指引與資料生命週期階段以及循環式品質管理階段對應關係 </p> ::: # 一、舉例說明本指引與現行其它資料處理相關原則、指引文件之關聯性 :::spoiler 圖 2  <p class="text-center" > 圖 2　舉例說明本指引與現行其他資料處理相關原則或指引文件之關聯性 </p> ::: 本指引之範圍系涵蓋資料生命週期各階段，範圍相對較廣泛，而針對政府機關資料處理之細節議題，現行亦有相關原則或指引文件可資參酌（依據法令、行政規則之義務性、強制性規範，因為數眾多且篇幅有限，爰此處不納入討論），原則上其他原則或指引文件在資料生命週期各階段皆須遵循，與本指引所提醒之原則為相輔相成之關係，以下就其他原則或指引文件（包括但不限於下列各項）與本指引之主要關聯性、舉例說明如下（參圖2）： :::spoiler 1. 領域資料標準訂定流程參考指引 「領域資料標準訂定流程參考指引」為協助機關間進行資料交換之參考作業流程，資料生命週期各階段皆宜依循，但與本指引的主要關聯性會在第5點「建立資料轉換作業」。 ::: :::spoiler 2. 政府資料品質提升機制運作指引 「政府資料品質提升機制運作指引」為協助機關建立及提升資料品質之運作指引，資料生命週期各階段皆宜依循，但與本指引的主要關聯性會在第5點「建立資料轉換作業」。 ::: :::spoiler 3. 資通安全管理相關指引文件 在資料生命週期過程中，宜同時兼顧留意資通安全管理相關指引之原則、內容，以加強資訊安全管理作業，確保資訊系統與資料之機密性、完整性及可用性，維持機關業務之順利運作及保障民眾權益。例如：政府機關於導入資訊安全管理制度時，為評估機關資通系統與所屬資產所面臨之風險，可參照「資通系統風險評鑑參考指引」（110年12月修訂）內之風險評鑑作法，依自身需求進行詳細風險評鑑。再依評鑑結果，選擇「安全控制措施參考指引」（111年1月修訂）當中，相對應之安全控制措施進行風險管控。此外，在政府資訊作業委外部分，可透過「政府資訊作業委外資安參考指引」（111年8月修訂），協助政府機關相關人員在資訊委外各階段宜注意之資通安全控制措施與做法。 ::: # 二、本指引適用範圍 適用於資料生命週期各階段；資料生命週期區分方式無一定標準，本指引以下列各階段為例：++確立資料管理之目的++、++資料獲取（或產製）++、++資料使用++、++資料儲存（或抹除）++、++評估與精進++。 # 三、本指引用語及定義 :::spoiler 1. 資料（Data） 指各機關於職權範圍內取得或做成之各類電子資料，包含文字、數據、圖片、影像、聲音、詮釋資料等。 ::: :::spoiler 2. 資料集（Dataset） 指一群相關電子資料之集合，為提供政府資料開放與再利用之基本單位。 ::: :::spoiler 3. 資料管理（Data management） 參酌DAMA之定義，「資料管理」為一個總稱，描述組織用於規劃、指明、實現、建立、維護、使用、存取、控管、儲存及抹除資料等相關流程。 ::: :::spoiler 4. 詮釋資料（Metadata） 描述資料集的資料。 ::: :::spoiler 5. 資料擁有者（Data owner） 於本指引中，指對資料具有管控權利之機關單位。 ::: :::spoiler 6. 資料提供者（Data provider） 於本指引中，指將資料經處理後提供予特定或不特定對象之機關單位。 ::: :::spoiler 7. 資料使用者／資料利用者（Data user） 指可合法存取資料的任何自然人或非自然人，並經授權以該資料作為商業或非商業目的使用。 ::: :::spoiler 8. 利害關係人 指會對機關資料管理機制產生影響之內、外部團體或個人。 ::: :::spoiler 9. 共享資料（Shared Data） 指以開放格式提供，且得以保留撤回權或其他特定條件與利用者共享之政府機關資料集。 ::: :::spoiler 10. 資料集價值 指資料集對政府機關運作可帶來之效益。 ::: :::spoiler 11. 互通性（Interoperability） 於本指引中，指讓資料在不同系統或組織之環境裡皆可被運作的能力。 ::: :::spoiler 12. 開放資料（Open data） 指以開放格式提供，採無償且不限制使用目的、地區、對象及期間，以不可撤回之方式授權利用之政府資料。 ::: :::spoiler 13. 不開放資料（Closed data） 指依法律規定不得公開、因資料集敏感或有其他特殊情形，可不予提供之政府資料。 ::: :::spoiler 14. 存取（Access） 指使用者儲存、複製、檢索、移動資料或其他相關行為。 ::: --- --- # **四、十二條指引** ## **【一】確立資料管理之目的** ### **1. 指引一：建立資料管理政策** ++*機關宜擬定資料管理政策，包含資料管理之基本規則，於管理資料時有所依循，提升機關資料運用的效益。*++ ■ 1.1[**政策宜掌握組織願景並敘明循證決策原則**](#a1) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 4. Use Data to Guide Decision-Making<br>● 7. Use Data to Increase Accountability</td> </tr> </table> 1.1.1 於政策中描述組織需運用資料之業務。 1.1.2 組織宜評估與其資料管理目的有關且影響達成其資料管理之內外部議題。 1.1.3 政策宜敘明以資料分析結果作為業務規劃、決策過程之基礎，協助機關判斷、實踐當責（Accountability）制度，以提升公共利益。 ■ 1.2[**政策宜展現管理階層之領導及宣示**](#a2) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 3. Champion Data UsePractices</td> </tr> </table> 1.2.1 機關最高管理階層宜展現對資料管理政策與制度之領導、決策、鼓勵與對資訊之充分掌握，並宣示將資料作為長期性的戰略資產並加以運用，且致力使其宣示能被組織理解。 1.2.2 政策宜載明管理階層須負責的任務，如：明定資料管理目標，並確保目標與組織的策略方向一致。 ■ 1.3[**政策宜定義資料使用者與利害關係人，並適切了解社會大眾需求及期望**](#a3) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 2. Assess and Balance the Needs of Stakeholders<br>● 5. Prepare to Share<br>● 8. Monitor and Address Public Perceptions</td> </tr> </table> 1.3.1 以資料受益者角度為核心，定義資料使用者與利害關係人。 1.3.2 確認資料使用目的、內容以及使用情境。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021">個人資料保護法</a></td><td>§5 </td> </tr> <td><a href="https://mojlaw.moj.gov.tw/LawContent.aspx?LSID=fl010631#lawmenu">個人資料保護法之特定目的及個人資料之類別</a></td><td></td> <tr> </table> 1.3.3 主動與資料使用者分享及溝通資料管理的流程、方式、法規及文化差異等。 1.3.4 使用溝通工具與技術，將資料之相關訊息或趨勢傳達予社會大眾，並適度參酌、考量社會大眾之意見。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="6">法規/指引等配套措施</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0020026">政府資訊公開法</a></td><td>§8</td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=411">行政院及所屬各級機關政府資料開放作業原則</a></td><td>第1點</td> </tr> <tr> <td><a href="https://law.moda.gov.tw/LawContent.aspx?id=FL000775">行政機關電子資料流通實施要點</a></td><td>第1點</td> </tr> <tr> <td><a href="https://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040030001023000-1060728">行政院及所屬各機關行動化服務發展作業原則</a></td><td>第1點</td> </tr> <tr> <td><a href="https://data.gov.tw/about">資料集詮釋資料標準規範</a></td><td></td> </tr> <tr> <td><a href="https://data.gov.tw/license">政府資料開放授權條款</a></td><td></td> </tr> </table> 1.3.5 以適當方式檢視資料使用者對資料價值、準確性、客觀性及對隱私保護的認知，滾動評估資料管理政策並予以精進改善。 1.3.6 以適當方式了解資料使用者之需求，確保資料使用者之意見經過處理且向上呈報，並納入優先改善事項。 ■ 1.4[**政策宜決定資料管理之範圍並敘明資料品質之重要性**](#a4) 1.4.1 評估機關業務需求，決定資料管理之範圍。 1.4.2 評估項目包括但不限於：內部與外部議題、利害關係人所提之要求事項、機關的職責與業務、資料儲存模式、機關可接受之風險程度、適用的規範（法律、命令、契約）等。 1.4.3 機關宜於政策明示，各業務考量資料性質並透過各項指標及分類方式，訂定資料品質相關標準與檢測資料品質之方式。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://data.gov.tw/about">政府資料品質提升機制運作指引</a></td><td></td> </tr> <tr> <td><a href="https://data.gov.tw/about">資料集詮釋資料標準規範</a></td><td></td> </tr> </table> ■ 1.5[**政策宜考量組織層級、資源及規模，依推動需求設置經授權的資料管理組織**](#a5) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 11. Prioritize Data Governance</td> </tr> </table> 1.5.1 機關宜考量組織層級、資源及規模，依推動需要設置經授權之資料管理組織，並揭示於政策中。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://data.gov.tw/about">政府資料開放諮詢小組設置要點</a></td><td></td> </tr> <tr> <td><a href="https://data.gov.tw/about">行政院所屬二級機關政府資料開放諮詢小組運作指引</a></td><td></td> </tr> </table> 1.5.2 政策宜明定資料管理組織之運作，並定義其角色、責任及權限。 ■ 1.6[**政策宜鼓勵機關進行跨機關或跨單位資料提供或共享**](#a6) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 9. Connect Data Functions Across Agencies<br>● 25. Coordinate Federal Data Assets</td> </tr> </table> 1.6.1 資料管理政策宜鼓勵機關進行跨機關或跨單位提供或共享資料，提升資料再利用之效益。 1.6.2 資料管理政策中宜依推動需要，適當明示規劃提升資料再利用之相關計畫，以促進跨機關或跨單位間資料提供或共享之可行性。 ■ 1.7[**政策宜明訂機關內部之資料安全管理機制，與個人資料保護措施**](#a7) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 12. Govern Data to Protect Confidentiality and Privacy<br>● 13. Protect Data Integrity</td> </tr> </table> 1.7.1 政策配合資通安全相關法規及機關之資通安全維護計畫，訂定資料安全管理機制。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="4">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297&kw=%e8%b3%87%e9%80%9a%e5%ae%89%e5%85%a8%e7%ae%a1%e7%90%86%e6%b3%95">資通安全管理法</a></td><td>§10、 §16II、§17I</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303&kw=%e8%b3%87%e9%80%9a%e5%ae%89%e5%85%a8%e7%ae%a1%e7%90%86%e6%b3%95%e6%96%bd%e8%a1%8c%e7%b4%b0%e5%89%87">資通安全管理法施行細則</a></td><td>§6</td> </tr> <tr> <td><a href="https://moda.gov.tw/ACS/laws/documents/680">資通安全維護計畫範本</a></td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/27001/">ISO27001</a>資訊安全、網路安全與隱私保護等資訊安全體系要求</a></td><td>5.2資訊安全政策、6.2資訊安全目標及達成之規劃</td> </tr> </table> 1.7.2 政策依據個人資料保護相關法規，針對個人資料之蒐集、處理、利用及相關安全維護事項，訂定機關內部之個人資料保護措施。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="3">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td>§4、§6、§8、§9、§15、§16、§18</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050022&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法施行細則</a></td><td>§20</td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=10651&KW=%e8%a1%8c%e6%94%bf%e9%99%a2%e5%8f%8a%e6%89%80%e5%b1%ac%e5%90%84%e6%a9%9f%e9%97%9c%e8%90%bd%e5%af%a6%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e8%81%af%e7%b9%ab%e4%bd%9c%e6%a5%ad%e8%a6%81%e9%bb%9e">行政院及所屬各機關落實個人資料保護聯繫作業要點</a></td><td></td> </tr> </table> ■ 1.8[**機關資料管理政策除考量前述1.1至1.7內容之外，宜依需求考量之其他事項**](#a8) 1.8.1 識別所適用之法規與相關規範。 1.8.2 識別組織所保有之資料類別。 1.8.3 提升機關所屬人員依其職掌所對應之資料處理或資料應用技能，以及所需之教育訓練。 1.8.4 資料管理制度之文件與紀錄管理。 1.8.5 內、外部稽核及評估機制。 1.8.6 預防及改善措施。 ■ 1.9[**有關建立資料管理政策之過程宜盡量予以記錄**](#a12) <br> <br> ### **2. 指引二：建立資料目錄** ++*機關宜以資料使用者為出發點，盤點機關所需管理的資料集，識別機關已存在的資料、與尚未取得的資料，釐清機關對資料之需求。*++ ■ 2.1[**機關宜了解資料使用者之需求**](#b1) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 16. Inventory Data Assets</td> </tr> </table> 2.1.1 以適當方式瞭解資料使用者之需求，以及資料使用者對於資料品質之期待。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 2. Assess and Balance the Needs of Stakeholders</td> </tr> </table> 2.1.2 建立資料集清單，並持續維護資料集清單之完整性及品質，以支持機關滿足資料使用者之需求。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://law.moda.gov.tw/LawContent.aspx?id=FL000775">行政機關電子資料流通實施要點</a></td><td>第3點</td> </tr> <tr> <td><a href="https://data.gov.tw/about">資料集詮釋資料標準規範</a></td><td></td> </tr> </table> 2.1.3 依據組織之通用性資料集標準框架及相關規範、標準等文件，進行資料集（含詮釋資料）盤點及整備。 2.1.4 依組織需求運用資料之業務，說明資料的目的及用途。 2.1.5 根據資料使用者對資料的需求、品質及目的等，設立資料集價值之評估基準，以確認資料集價值及保管資料之風險。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 17. Recognize the Value of Data Assets</td> </tr> </table> 2.1.6 盤點時宜規劃資料再利用之範圍、限制與互通性（interoperability），並使資料於導入新技術時仍可被應用。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 29. Design Data for Use and Re-Use</td> </tr> </table> 2.1.7 依機關內部規劃期間，或業務發生重大變動時，宜考量相關準則，再次進行資料集盤點及相關程序。 ■ 2.2[**機關對於資料之資安維護措施**](#b2) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 12. Govern Data to Protect Confidentiality and Privacy</td> </tr> </table> 2.2.1 宜考量機關之業務、資訊種類、數量、性質等因素，依據機關之資通安全責任等級，規劃相對應之資安維護事項。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="5">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297&kw=%e8%b3%87%e9%80%9a%e5%ae%89%e5%85%a8%e7%ae%a1%e7%90%86%e6%b3%95">資通安全管理法</a></td><td>§7、§9、§10</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303">資通安全管理法施行細則</a></td><td>§4、§6、§7</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304">資通安全責任等級分級辦法</a></td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/27001/">ISO27001</a><br>資訊安全、網路安全與隱私保護等資訊安全體系要求</td><td>8.1運作之規劃及控制、<br>8.2資訊安全風險評鑑、<br>A.5~A.18資安控制措施</td> </tr> <tr> <td><a href="https://moda.gov.tw/ACS/laws/documents/680">資通安全維護計畫範本</a></td><td></td> </tr> </table> 2.2.2 機關宜辨識資料的屬性，確認是否屬個人資料、是否具機敏性、是否涉及特定權利等。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="4">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0060003">國家機密保護法</a></td><td>§2、§6</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td>§2、§6</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050022">個人資料保護法施行細則</a></td><td>§4、§5</td> </tr> </table> 2.2.3 針對涉及個人資料之資料集，宜依據個人資料保護法及其施行細則之規範，採取技術上及組織上之安全維護措施（如：建立風險評估與管理機制）。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="9">法規/指引等配套措施</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td>§6、§18、§19、§27</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050022">個人資料保護法施行細則</a></td><td>§12、§24</td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=10651&KW=%e8%a1%8c%e6%94%bf%e9%99%a2%e5%8f%8a%e6%89%80%e5%b1%ac%e5%90%84%e6%a9%9f%e9%97%9c%e8%90%bd%e5%af%a6%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e8%81%af%e7%b9%ab%e4%bd%9c%e6%a5%ad%e8%a6%81%e9%bb%9e">行政院及所屬各機關落實個人資料保護聯繫作業要點</a></td><td></td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297&kw=%e8%b3%87%e9%80%9a%e5%ae%89%e5%85%a8%e7%ae%a1%e7%90%86%e6%b3%95">資通安全管理法</a></td><td>§9、§10、§16II、§17I</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303">資通安全管理法施行細則</a></td><td>§4、§6</td> </tr> <tr> <td><a href="https://www.iso.org/standard/71670.html">ISO 27701</a><br>隱私資訊管理之要求與準則</td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/27001">ISO27001</a><br>資訊安全、網路安全與隱私保護等資訊安全體系要求</td><td>6.1因應風險與機會之行動、<br>6.1.2資訊安全風險評鑑、<br>6.1.3資訊安全風險處理</td> </tr> <tr> <td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">資通系統風險評鑑參考指引</a></td><td></td> </tr> <tr> <td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">安全控制措施參考指引</a></td><td></td> </tr> </table> 2.2.4 機關考量使用目的，宜針對個人資料及機敏性資料採取必要的保護措施（如：加密）。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="6">法規/指引等配套措施</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297&kw=%e8%b3%87%e9%80%9a%e5%ae%89%e5%85%a8%e7%ae%a1%e7%90%86%e6%b3%95">資通安全管理法</a></td><td>§7、§10</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td>§5、§6、§8、§15、§16、§18</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050022&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法施行細則</a></td><td>§12、§20</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=L0020121">醫療機構電子病歷製作及管理辦法</a></td><td>§3、4、8</td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=10651&KW=%e8%a1%8c%e6%94%bf%e9%99%a2%e5%8f%8a%e6%89%80%e5%b1%ac%e5%90%84%e6%a9%9f%e9%97%9c%e8%90%bd%e5%af%a6%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e8%81%af%e7%b9%ab%e4%bd%9c%e6%a5%ad%e8%a6%81%e9%bb%9e">行政院及所屬各機關落實個人資料保護聯繫作業要點</a></td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/71670.html">ISO 27701</a><br>隱私資訊管理之要求與準則</td><td></td> </tr> </table> ■ 2.3[**機關考量業務情形設定資料需求處理之優先序**](#b3) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 1. Identify Data Needs to Answer Key Agency Questions</td> </tr> </table> 2.3.1 機關考量業務情形，若於新設或緊急業務情況下，須確認關鍵資料之需求問題，以決定問題優先處理順序。 2.3.2 機關決定資料需求處理之優先序時，宜將資料的保管、處理成本效益納入考量。 ■ 2.4[**機關盤點尚未取得之必要資料**](#b4) 2.4.1 識別並盤點未取得之必要資料，釐清未取得原因為組織內已有此資料但尚未盤點出或欠缺此資料。 2.4.2 確認前述未取得資料後續處理之方式及優先序。 ■ 2.5[**有關識別資料需求之過程宜盡量予以記錄**](#b5) <br> <br> ### **3. 指引三：規劃資料管理所需資源** ++*機關宜投入相關資源，包括政策、組織架構、人員與權限、資源及技術等。*++ <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 10. Provide Resources Explicitly to Leverage Data Assets</td> </tr> </table> ■ 3.1[**機關建立內部資料管理組織**](#c1) 3.1.1 各級機關宜於內部設立資料管理組織。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://data.gov.tw/about">政府資料開放諮詢小組設置要點</a></td><td></td> </tr> <tr> <td><a href="https://data.gov.tw/about">行政院所屬二級機關政府資料開放諮詢小組運作指引</a></td><td></td> </tr> </table> 3.1.2 資料管理組織由具資料管理專長的組織成員組成。職責為訂定資料管理相關政策、標準及流程等，並確認組織欲透過資料解決之議題及訂定相應的資料處理需求優先順序。 3.1.3 機關宜在符合相關資料保護法令時，於其公開網頁中公告組織資料管理之相關資訊，包括但不限於成員、規則、會議紀錄等。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="4">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0020026">政府資訊公開法</a></td><td></td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td></td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050022&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法施行細則</a></td><td></td> </tr> </table> ■ 3.2[**機關進行資料管理落實程度自我評估，並能參酌評估結果決定投資戰略資源的優先順序**](#c2) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 15. Assess Maturity</td> </tr> </table> 3.2.1 機關宜檢視內部資料管理現況，是否與資料管理之目標相符或存在落差，建議透過資料管理自我評估機制，持續審視落實程度。 3.2.2 初步的資料管理落實程度與自我評估重點、項目，宜建立在資料及資料管理相關基礎制度，如：資料管理政策、程序、作業層面。 3.2.3 資料管理落實程度自我評估結果得作為後續持續檢視、檢討與修正機關投入資源先後順序之依據。 ■ 3.3[**建立及強化組織內部認知**](#c3) 3.3.1 機關領導人宜將其對機關資料管理之領導及承諾適當下達讓機關內部成員了解，並將資料的管理與運用納入決策中。 3.3.2 建立組織內部成員對資料品質的責任感。 ■ 3.4[**採用合適的資料架構與應用技術**](#c4) 3.4.1 機關依實際資料存取需求，並根據資料類型與性質，規劃、採用合適的資料架構。如：結構化、非結構化資料，及資料安全、儲存可靠性等資料特性。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="3">法規/指引等配套文件</td><td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">網路架構規劃參考指引</a></td><td></td> </tr> <tr> <td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">政府機關雲端服務應用資安參考指引</a></td><td></td> </tr> </table> 3.4.2 機關宜進行資料架構風險評估。機敏資料之傳輸，與機敏資料存取、備份及備援之實體所在地宜依據政府資通安全管理相關法規及指引文件等為風險評估，以降低可能風險。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="13">法規/指引等配套措施</td><td><a href="https://law.moda.gov.tw/LawContent.aspx?id=FL083280">行政院及所屬各機關資料中心設置作業要點</a></td><td>第5、第6、第7、第8、第10點</td> </tr> <tr> <td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">政府機關雲端服務應用資安參考指引</a></td><td></td> </tr> <tr> <td><a href="https://moda.gov.tw/ACS/laws/faq/28/646">資通安全管理法&常見問題</a></td><td>FAQ 8.7</td> </tr> <tr> <td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">入侵偵測與防禦系統建置資安參考指引</a></td><td></td> </tr> <tr> <td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">資通系統風險評鑑參考指引</a></td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/27001">ISO27001</a><br>資訊安全、網路安全與隱私保護等資訊安全體系要求</td><td>6.1因應風險及機會之行動、<br>6.1.2資訊安全風險評鑑、<br>6.1.3資訊安全風險處理</td> </tr> <tr> <td><a href="https://www.iso.org/standard/75652.html/">ISO 27002</a><br>資訊安全、網路安全與隱私保護等資訊安全控制</td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/60544.html/">ISO 17788/22123</a><br>雲端運算概念及規範</td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/56572.html/">ISO 27017</a><br>雲端服務之資安控制措施</td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/76559.html/">ISO 27018</a><br>雲端服務提供者在公用雲上保護個人識別資訊之資訊安全技術實務準則</td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/71670.html">ISO 27701:2019</a><br>隱私資訊管理措施</td><td></td> </tr> <tr> <td><a href="https://www.mohw.gov.tw/cp-18-73674-1.html">112年2月18日衛部資字第1122660046A號</a></td><td><a href="https://mohwlaw.mohw.gov.tw/FLAW/FLAWDAT0201.aspx?lsid=FL037713">一、醫療機構電子病歷製作及管理辦法（以下稱本辦法）</a>第八條第二項規範雲端服務之資料儲存地點，係指雲端服務存取、備份與備援資料之實體所在地（包含暫存資料），均應設置於我國境內，並具備相關證明。<br>二、提供雲端服務者，不得為<a href="https://planpe.pcc.gov.tw/prms/explainLetter/readPrmsExplainLetterContentDetail?pkPrmsRuleContent=60046275">行政院公共工程委員會101年09月13日工程企字第10100346580號函</a>所定陸資廠商。<br>三、醫療機構依本辦法第八條第一項規定委託受託機構提供雲端服務時，提供雲端服務者應通過本部認可之下列資訊安全標準驗證：<br>　（一）資訊安全標準驗證：<br>　　　1、ISO/CNS 27001、ISO27017、ISO/CNS27018及ISO/CNS27701（或BS10012）<br>　　　2、ISO/CNS 22301：自公告日起3年內增列。<br>　（二）前款驗證範圍應涵蓋所使用之雲端服務相關流程，驗證文件應持續有效，且驗證文件之發證單位應為國際認證論壇（International Accreditation Forum，IAF）認證機構認可之驗證機構。</td> </tr> <tr> <td><a href="https://www.mohw.gov.tw/cp-18-73670-1.html">112年2月18日衛部資字第1122660046號</a></td><td>一、電子病歷資訊安全標準驗證：<br>　（一）ISO/CNS 27001：自公告日起。<br>　（二）ISO/CNS 27701：自公告日起3年內增列。<br>二、前項驗證範圍應涵蓋專案開發、支援、實作、維護、管理或操作等相關流程之一，驗證文件應持續有效，且發證單位應為國際認證論壇（International Accreditation Forum，IAF）認證機構認可之驗證機構。</td> </tr> </table> 3.4.3 機關於規劃資料存取技術時，若有多元存取需求，可靈活採用資料湖（data lake）、資料倉儲（data warehouse）、多雲、跨多雲、混和雲等不同資料架構。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">法規/指引等配套文件</td><td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">政府機關雲端服務應用資安參考指引</a></td><td></td> </tr> </table> 3.4.4 隨時因應科技演進而適時調整所使用之新興技術。 ■ 3.5[**培訓機關人員能力**](#c5) 3.5.1 機關宜持續投資資料管理環境建立與人才培育，確保機關人員具有適當訓練、經驗與能力。 3.5.2 機關宜培養資料相關領導人才，據以實踐資料使命及發揮其價值。 3.5.3 機關宜提高資料管理及分析能力（資料人員分析與評估、資料管理能力或隱私保護意識等）。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 27. Increase Capacity for Data Management and Analysis</td> </tr> </table> ■ 3.6[**建立外部溝通及合作機制**](#c6) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 22. Identify Opportunities to Overcome Resource Obstacles<br>● 36. Leverage Partnerships<br>● 39. Support Federal Stakeholders<br>● 40. Support Non-Federal Stakeholders</td> </tr> </table> 3.6.1 機關宜致力與外部資料使用者保持良好溝通，就以下事項（包括但不限於）達成共識，以兼顧資料使用者之需求。 ● 與外部資料使用者之間維持合作夥伴關係與良好溝通管道。 ● 與共享資料之資料使用者建立共享機制或互惠之合作機制，包括共享之方式、程序、撤回機制等，以確保共享資料時不致危害資料安全。 3.6.2 機關宜向特定之外部資料使用者，明確表示授權或使用描述性詮釋資料，以利資料存取及確認使用條件等相關資訊。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="3">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=J0070017">著作權法</a></td><td></td> </tr> <tr> <td><a href="https://data.gov.tw/license">政府資料開放授權條款</a></td><td></td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=411">行政院及所屬各級機關政府資料開放作業原則</a></td><td>第6點、第7點</td> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 31. Explicitly Communicate Allowable Use</td> </tr> </table> ■ 3.7[**擬定及更新資料管理相關協議或條件**](#c7) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 21. Align Agreements with Data Management Requirements</td> </tr> </table> 3.7.1 根據執行資料管理需求擬定相關協議文件，包括契約、合作協議等。 3.7.2 機關宜定期檢視更新、修正與資料管理需求相關之協議或條件。 ■ 3.8[**有關規劃資料管理所需資源之過程宜盡量予以記錄**](#c8) <br> <br> ## **【二】資料蒐集（或產製）** ### 4. **指引四：滿足資料蒐集需求** ++*機關宜根據資料使用者的需求獲取或產製資料，並依照機關規範擷取適當詮釋資料，以滿足資料蒐集需求。*++ ■ 4.1[**機關建立蒐集或產製資料用途**](#d1) 4.1.1 以資料使用者之需求為核心，確立資料蒐集或自行產製資料之用途。 4.1.2 資料蒐集或產製之用途宜與資料管理政策一致。 ■ 4.2[**機關建立資料蒐集機制**](#d2) 4.2.1 機關宜考量蒐集或產製資料之需求，搭配充足的詮釋資料描述資料集特性，得透過數位化資料傳輸或存取平臺，並注意所蒐集資料之正確性，以利跨機關各類資訊之互通。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">法規/指引等配套文件</td><td><a href="https://moda.gov.tw/digital-affairs/digital-service/operations/232">政府資料傳輸平臺管理規範</a></td><td></td> </tr> </table> 4.2.2 蒐集資料宜秉持透過安全來源，依資料來源採用適當的安全檢測工具，測試及確認資料蒐集方式是否足以保護資料安全，並兼顧滿足資料使用者對資料之需求。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">法規/指引等配套文件</td><td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">CIS建置指引-領域SOC實務建置指引</a></td><td></td> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 32. Harness Safe Data Linkage</td> </tr> </table> 4.2.3 針對非公開資料若有蒐集、取用之需求，宜向資料擁有者提出申請，並表明使用目的、分析方法及使用期間等內容。 4.2.4 資料蒐集方式宜注意公開性及透明度，針對個人資料之蒐集宜符合最小蒐集原則。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td>§15、§16</td> </tr> </table> ■ 4.3[**持續關注及評估資料蒐集之影響**](#d3) 4.3.1 持續滾動檢視資料蒐集需求是否與資料管理政策一致。 4.3.2 評估資料蒐集相關作業對公共利益之影響。 ■ 4.4[**有關滿足資料蒐集需求之過程宜盡量予以記錄**](#d4) <br> <br> ### 5. **指引五：建立資料轉換作業** ++*機關宜依需求採用資料轉換標準，建立資料處理可觀測性流程，將資料進行格式化、資料清洗等標準校正作業，確保資料品質，以提供後續階段使用。*++ ■ 5.1[**運用資料轉換標準與可觀測性機制，確保資料品質**](#e1) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 20. Leverage Data Standards</td> </tr> </table> 5.1.1 機關宜視需求採用資料標準，以盡力提升資料品質，並促進資料的使用、存取、共享及互通性（interoperability）。 5.1.2 機關宜確保資料之正確性、易用性與即時性，以確保資料滿足使用者期待，定期檢查資料是否適當、正確、客觀、可存取、可用、易於理解，以及具使用之便利性。 5.1.3 機關宜視各機關業務需求，就業管領域建立資料標準與作業規範。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">法規/指引等配套文件</td><td><a href="https://moda.gov.tw/digital-affairs/plural-innovation/operations/268">領域資料標準訂定流程參考指引</a></td><td></td> </tr> </table> 5.1.4 機關宜建立資料處理可觀測性機制，依需求建置自動偵測或人為監控等功能，適時掌握資料異常之預警、告知、修復、改善情形。 ■ 5.2[**資料清洗作業宜有資料版本控制措施**](#e2) 5.2.1 機關宜根據使用目的進行資料清洗、格式轉換，並進行版本控制予以保存。 5.2.2 格式化資料清洗後宜回饋予原始資料提供單位，避免重複確認。 ■ 5.3[**提升資料再利用之可用性**](#e3) 5.3.1 資料除了屬不開放資料之外，以開放格式提供，宜建立資料品質提升機制。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">法規/指引等配套文件</td><td><a href="https://data.gov.tw/about">政府資料品質提升機制運作指引</a><td></td> </table> 5.3.2 機關宜盡力保持最完整的原始資料狀態。 5.3.3 機關宜確保資料經格式化後儲存，於資料生命週期的後續階段供機關使用及再利用。 ■ 5.4[**有關資料轉換作業之過程宜盡量予以記錄**](#e5) <br> <br> ## **【三】資料使用** ### **6. 指引六：提供資料使用適當環境，確保資料正確發揮效益** ++*機關宜設定使用者的存取權限，持續監控資料品質，為使用者提供適當的資料使用安全措施，以確保資料能正確的發揮其作用。*++ ■ 6.1[**機關內部設立適當資料存取權限**](#f1) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 34. Diversify Data Access Methods</td> </tr> </table> 6.1.1 採用各種工具或技術，讓使用者適當存取、瀏覽資料。 6.1.2 根據使用者被授予的權限，決定使用者能存取、瀏覽資料的範圍。 ■ 6.2[**機關宜建立資料使用安全措施要求**](#f2) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 23. Allow Amendment</td> </tr> </table> 6.2.1 機關宜依據資通安全維護計畫，建立適當之資料使用安全措施要求。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="4">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297&kw=%e8%b3%87%e9%80%9a%e5%ae%89%e5%85%a8%e7%ae%a1%e7%90%86%e6%b3%95">資通安全管理法</a></td><td>§10、 §16II、§17I</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303&kw=%e8%b3%87%e9%80%9a%e5%ae%89%e5%85%a8%e7%ae%a1%e7%90%86%e6%b3%95%e6%96%bd%e8%a1%8c%e7%b4%b0%e5%89%87">資通安全管理法施行細則</a></td><td>§6</td> </tr> <tr> <td><a href="https://moda.gov.tw/ACS/laws/documents/680">資通安全維護計畫範本</a></td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/27001">ISO27001</a><br>資訊安全、網路安全與隱私保護等資訊安全體系要求</td><td>5.2資訊安全政策、<br>6.2資訊安全目標及達成之規劃、<br>8運作</td> </tr> </table> 6.2.2 機關宜針對保有之個人資料，宜依據法規建立適當之個人資料安全維護措施。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="3">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td>§6、§18</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050022&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法施行細則</a></td><td>§12、§24</td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=10644&KW=%e8%a1%8c%e6%94%bf%e9%99%a2%e5%8f%8a%e6%89%80%e5%b1%ac%e5%90%84%e6%a9%9f%e9%97%9c%e8%90%bd%e5%af%a6%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e8%81%af%e7%b9%ab%e4%bd%9c%e6%a5%ad%e8%a6%81%e9%bb%9e">行政院及所屬各機關落實個人資料保護聯繫作業要點</a></td><td>第1點、第5點</td> </tr> </table> 6.2.3 機關宜擬定明確的流程，確保個人資料當事人能依相關法規查閱、補充、更正、刪除資料。 ■ 6.3[**機關宜持續確保資料使用階段之品質**](#f3) 6.3.1 機關宜持續監控資料品質，遇有共享資料情形時，宜採適當方式以確保所共享資料的一致性。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">法規/指引等配套文件</td><td><a href="https://file.data.gov.tw/content/about/%E6%94%BF%E5%BA%9C%E8%B3%87%E6%96%99%E5%93%81%E8%B3%AA%E6%8F%90%E5%8D%87%E6%A9%9F%E5%88%B6%E9%81%8B%E4%BD%9C%E6%8C%87%E5%BC%95.pdf">政府資料品質提升機制運作指引</a></td><td></td> </tr> </table> 6.3.2 機關宜及時留存所有資料更動紀錄，而儲存資料時則依需求確保每筆資料或記錄欄位之完整性為原則。 ■ 6.4[**機關保有個人資料者宜確保個人資料當事人能根據法規查閱、補充、更正、刪除資料。**](#f4) 6.4.1 機關保有個人資料者，宜擬定明確的個人資料當事人權利行使流程。 6.4.2 機關宜以最適切方式確保個人資料當事人能根據法規查閱、補充、更正、刪除資料。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td>§3、§11、§17</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050022&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法施行細則</a></td><td>§6、§8、§19、§23</td> </tr> </table> ■ 6.5[**有關資料使用之過程宜盡量予以記錄**](#f6) <br> <br> ### **7. 指引七：政府資料利用類型以開放資料為優先；共享資料時以開放格式、安全且有效方式為之** ++*政府機關之資料利用類型以開放資料為優先；機關共享資料時，宜以開放格式、安全且有效的方式為共享，以提升資料之效益及公開透明。*++ <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 9. Connect Data Functions Across Agencies<br>● 25. Coordinate Federal Data Assets</td> </tr> </table> ■ 7.1[**政府資料的利用類型以開放資料為優先**](#g1) 7.1.1 政府資料之利用類型以「開放資料」為優先。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="10">法規/指引等配套措施</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0020026">政府資訊公開法</a></td><td>§1、§18</td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=411">行政院及所屬各級機關政府資料開放作業原則</a></td><td>原則一、二、三</td> </tr> <tr> <td><a href="https://data.gov.tw/about">資料集詮釋資料標準規範</a></td><td>壹、貳</td> </tr> <tr> <td><a href="https://data.gov.tw/about">政府資料開放諮詢小組設置要點</a></td><td>要點一、二</td> </tr> <tr> <td><a href="https://data.gov.tw/license">開放資料適用之授權條款</a></td><td>訂定目的</td> </tr> <tr> <td><a href="https://data.gov.tw/about">政府資料開放優質標章暨深化應用獎勵措施</a></td><td>訂定目的</td> </tr> <tr> <td><a href="https://data.gov.tw/about">政府資料品質提升機制運作指引</a></td><td>訂定目的</td> </tr> <tr> <td><a href="https://data.gov.tw/about">行政院所屬二級機關資料開放諮詢小組運作指引</a></td><td>伍、議事重點</td> </tr> <tr> <td><a href="https://www.iso.org/standard/45123.html">ISO 29100</a>/<a href="https://www.cnsonline.com.tw/?node=detail&generalno=29100&locale=zh_TW">CNS 29100</a><br>資訊技術–安全技術–隱私框架</td><td>表3第七點「公開、透明及告知」</td> </tr> <tr> <td><a href="https://www.iso.org/standard/45270.html">ISO 29191</a>/<a href="https://www.cnsonline.com.tw/?node=detail&generalno=29191&locale=zh_TW">CNS 29191</a><br>資訊技術–安全技術–部分匿名及部分去連結鑑別之要求事項</td><td>個資去識別化</td> </tr> </table> 7.1.2 因政策變更或其他正當理由，經資料提供機關評估認為繼續提供將不符合公共利益，或有侵害第三人智慧財產權、隱私權或其他法律上利益之虞，得停止全部或一部開放資料之提供。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="8">法規/指引等配套措施</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0020026">政府資訊公開法</a></td><td>§18</td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=411">行政院及所屬各級機關政府資料開放作業原則</a></td><td>原則四</td> </tr> <tr> <td><a href="https://data.gov.tw/about">資料集詮釋資料標準規範</a></td><td>壹、貳</td> </tr> <tr> <td><a href="https://data.gov.tw/license">開放資料適用之授權條款</a></td><td>訂定目的</td> </tr> <tr> <td><a href="https://data.gov.tw/about">政府資料開放優質標章暨深化應用獎勵措施</a></td><td>訂定目的</td> </tr> <tr> <td><a href="https://data.gov.tw/about">政府資料品質提升機制運作指引</a></td><td>訂定目的</td> </tr> <tr> <td><a href="https://www.iso.org/standard/45123.html">ISO 29100</a>/<a href="https://www.cnsonline.com.tw/?node=detail&generalno=29100&locale=zh_TW">CNS 29100</a><br>資訊技術–安全技術–隱私框架</td><td>表3第一點「同意及選擇」</td> </tr> <tr> <td><a href="https://www.iso.org/standard/45270.html">ISO 29191</a>/<a href="https://www.cnsonline.com.tw/?node=detail&generalno=29191&locale=zh_TW">CNS 29191</a><br>資訊技術–安全技術–部分匿名及部分去連結鑑別之要求事項</td><td>個資去識別化</td> </tr> </table> ■ 7.2[**機關資料若有下列情形者，可考量為「共享資料」或「不開放資料」：<br>　●有政府資訊公開法第18條第1項各款情形之一者。<br>　●經評估資料開放不符合公共利益。<br>　●資料的建置或取得成本不符合效益，或需額外客製化費用。<br>　●依其他法律規定者。**](#g2) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0020026">政府資訊公開法</a></td><td>§18</td> </tr> <tr> <td><a href="https://theme.ndc.gov.tw/lawout/NewsContent.aspx?id=411">行政院及所屬各級機關政府資料開放作業原則</a></td><td>原則五</td> </tr> </table> ■ 7.3[**機關資料以開放格式或應用程式介面提供，並盡力推動、協調跨機關或單位共享資料**](#g3) 7.3.1 於符合法規前提之適當情況下，資料擁有者及資料利用者宜致力於協調及共享資料集，以推進共同目標、滿足機關資料需求及減少蒐集資料的負擔。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="3">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0020026">政府資訊公開法</a></td><td>§13、§14</td> </tr> <tr> <td><a href="https://www.iso.org/standard/45123.html">ISO 29100</a>/<a href="https://www.cnsonline.com.tw/?node=detail&generalno=29100&locale=zh_TW">CNS 29100</a><br>資訊技術–安全技術–隱私框架</td><td>表3第一點「同意及選擇」、第七點「公開、透明及告知</td> </tr> <tr> <td><a href="https://www.iso.org/standard/45270.html">ISO 29191</a>/<a href="https://www.cnsonline.com.tw/?node=detail&generalno=29191&locale=zh_TW">CNS 29191</a><br>資訊技術–安全技術–部分匿名及部分去連結鑑別之要求事項</td><td>個資去識別化</td> </tr> </table> 7.3.2 各級政府主計機關及辦理統計業務之中央一級主計機關若是為統計目的需要，或是為減輕統計調查受查者負擔而向其他政府機關提出共享資料要求，各級政府機關即依據統計法第18條規定辦理。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="7">法規/指引等配套措施</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法</a></td><td>§2、§5、§6、§9、§15、§18</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050022&kw=%e5%80%8b%e4%ba%ba%e8%b3%87%e6%96%99%e4%bf%9d%e8%ad%b7%e6%b3%95">個人資料保護法施行細則</a></td><td>§7、§8、§12</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0020026">政府資訊公開法</a></td><td>§12</td> </tr> <tr> <td><a href="https://moda.gov.tw/ACS/laws/documents/680">資通安全維護計畫範本</a></td><td></td> </tr> <tr> <td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">個人資料保護參考指引</a></td><td></td> </tr> <tr> <td><a href="https://www.iso.org/standard/45123.html">ISO 29100</a>/<a href="https://www.cnsonline.com.tw/?node=detail&generalno=29100&locale=zh_TW">CNS 29100</a><br>資訊技術–安全技術–隱私框架</td><td>表3第一點「同意及選擇」、第七點「公開、透明及告知</td> </tr> <tr> <td><a href="https://www.iso.org/standard/45270.html">ISO 29191</a>/<a href="https://www.cnsonline.com.tw/?node=detail&generalno=29191&locale=zh_TW">CNS 29191</a><br>資訊技術–安全技術–部分匿名及部分去連結鑑別之要求事項</td><td>個資去識別化</td> </tr> </table> 7.3.3 共享資料以開放格式或應用程式介面提供，雙方依需求約定共享資料授權條款並得保留撤回權，宜考量雙方平等互惠原則，必要時簽訂保密協議。 7.3.4 機關宜將共享資料清單及其特定利用條件與收費基準公開於政府資料開放平臺，並宜定期檢視前述項目之妥適性並適時調整。 7.3.5 機關宜從制度面設計誘因，以鼓勵跨機關或跨單位之間提供或共享資料集，進而提升機關人員資料提供之意願與效率。 ■ 7.4[**確保開放資料、共享資料合法、合規，及建立安全措施**](#g5) 7.4.1 機關宜遵循相關法律、規範及指引文件，辦理資料之開放或共享。 7.4.2 資料若涉及個人資料或機敏性，提供資料前宜有安全措施及經過去識別化（de-identification）等適當處理方式，或改以無洩漏個資疑慮之適當方式提供。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">個人資料保護參考指引</a></td><td></td> </tr> <tr> <td><a href="https://moda.gov.tw/ACS/laws/documents/680">資通安全維護計畫範本</a></td><td></td> </tr> </table> 7.4.3於共享資料情形，宜有適當的安全性保護措施，如：電子傳輸時使用加密模式或加密連結等措施。 7.4.4於共享資料情形，宜確保相關人員是基於適當存取權限、職務上、或合法之目的始能存取資料。 ■ 7.5[**確保開放資料及共享資料之品質**](#g5) 7.5.1機關於政府資料開放平臺發布資料集前，宜確保資料提供格式符合開放格式之原則，並確保資料品質。 7.5.2於共享資料情形，宜進行適當風險評估、確認資料集符合開放格式原則；資料提供者與利用者之間宜確保資料之一致性。 ■ 7.6[**有關開放資料或共享資料之過程宜盡量予以記錄**](#g6) <br> <br> ### **8. 指引八：妥善運用資料提升決策效益或服務品質** ++*機關宜將經過分析的資料運用在有需求之業務中，在業務規劃、決策中有效及適當的依據資料分析結果，以提升決策效益或服務品質。*++ ■ 8.1[**資料宜經過適當分析**](#h1) 8.1.1 資料宜經過適當分析以做為決策、制定計畫等業務之參考基礎，並鼓勵運用新興科技進行資料分析。 8.1.2 進行資料分析、應用時尤其宜注意基本道德原則（如：非歧視性等）。 ■ 8.2[**機關進行業務規劃、決策時宜使用資料（即循證決策）**](#h2) <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://strategy.data.gov/practices/">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 4. Use Data to Guide Decision-Making</td> </tr> </table> 8.2.1 機關在下決策、制定計畫等業務中，宜盡可能有效且適當的使用資料，並參酌與決策議題相關之規範、指引。 8.2.2 確保依據資料分析之結果進行決策。 8.2.3 機關宜定期統計循證決策時所應用之資料集，並適當評估資料分析結果對決策之效益，以了解各資料集運用程度，作為資料管理之依據。 ■ 8.3[**有關循證決策之過程宜盡量予以記錄**](#h3) <br> <br> ## **【四】資料儲存（或抹除）** ### **9. 指引九：完善資料儲存作業** ++*機關宜依據相關法律規範或政策，在資料保存目的消滅以前，將資料安全的儲存，並採取適當的備份機制。*++ <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="1">國外參考、援引資料</td><td>美國聯邦資料戰略（<a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030134">Federal Data Strategy</a>）- 實踐目標（Practices）</td><td>● 24. Enhance Data Preservation</td> </tr> </table> ■ 9.1[**資料集儲存方式及備份機制之完備**](#i1) 9.1.1 確保資料集儲存方式及儲存環境能符合機關實際業務需求。倘若機關執行業務時有資料之多元存取需求，建議可規劃、評估整合不同的資料儲存模式，選定適當的儲存方式及儲存環境。 9.1.2 機關宜考量發生資料受侵害、遺失、滅失、毀損等事件時對利害關係人之危害或損失風險，及備份、備援等保存需求，選定適當的備份、備援機制。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="3">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030134">檔案法</a></td><td>§9</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030087">檔案電子儲存管理實施辦法</a></td><td>建議通篇參酌依循，主要相關規定：§2、§3、§5、§10、§13、§14、§15、§16、§17、§18</td> </tr> <tr> <td><a href="https://moda.gov.tw/ACS/laws/documents/680">資通安全維護計畫範本</a></td><td></td> </tr> </table> ■ 9.2[**資料儲存安全措施**](#i2) 9.2.1 機關宜確保資料受到安全的儲存和處理。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="3">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030087">檔案電子儲存管理實施辦法</a><td>建議通篇參酌依循，主要相關規定：§10、§14、§15、§16、§18 <tr> <td><a href="https://www.archives.gov.tw/PublishList.aspx?cnid=1644">機關檔案管理作業手冊</a></td><td>第11章（電子儲存）建議通篇參酌依循，主要相關規定：11.4（處理步驟）</td> </tr> <tr> <td><a href="https://moda.gov.tw/ACS/laws/documents/680">資通安全維護計畫範本</a></td><td></td> </tr> </table> 9.2.2 機關宜依據資料屬性備妥符合其機密性和敏感度的預防措施，考量將雲端儲存空間、個人自攜電子設備（Bring Your Own Device, BYOD）等議題納入控管要求。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">行動裝置資安防護參考指引</a></td><td></td> </tr> <tr> <td><a href="https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh">行動裝置資通安全注意事項</a></td><td></td> </tr> </table> ■ 9.3[**依據需求及相關法規進行資料保存**](#i3) 9.3.1 機關宜考量資料屬性、目的、需求、保存成本、法規等因素。 9.3.2 決定適當的資料保存頻率、方式與保存年限。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030134">檔案法</a></td><td>§10、§12</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030089">機關檔案保存年限及銷毀辦法</a></td><td></td> </tr> </table> ■ 9.4[**有關資料儲存之過程宜盡量予以記錄**](#i4) <br> ### **10. 指引十：完善資料抹除作業** ++*機關宜於資料保存目的消滅時，將資料以有效且安全的方式抹除，以降低資訊安全事故風險。*++ ■ 10.1[**建立資料抹除機制**](#j1) 10.1.1 視各機關單位之業務性質，訂定各類、各級資料、歷史資料保存年限與抹除等相關策略或程序。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="3">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030134">檔案法</a></td><td>§12</td> </tr> <tr> <td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030089">機關檔案保存年限及銷毀辦法</a></td><td>§10、§12</td> </tr> <tr> <td><a href="https://www.archives.gov.tw/PublishList.aspx?cnid=1644">機關檔案管理作業手冊</a></td><td>第16章（銷毀）</td> </tr> </table> 10.1.2 機關宜依據法規、組織決策之授權等，必要時將資料以合法、有效且安全的方式抹除。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030089">機關檔案保存年限及銷毀辦法</a><td>§12、§13</td> </tr> <tr> <td><a href="https://www.archives.gov.tw/PublishList.aspx?cnid>https://www.archives.gov.tw/PublishList.aspx?cnid>https://www.archives.gov.tw/PublishList.aspx?cnid=1644">機關檔案管理作業手冊</a></td><td>第16章</td> </tr> </table> 10.1.3 選擇抹除資料方式宜考量資料的機敏程度、資料未經授權遭洩漏所造成的損害等。 10.1.4 確保資料抹除機制已達到使資料無法被讀取或無法被檢索的程度，抹除範圍包含資料之副本及任何版本。 ■ 10.2[**資料抹除安全措施要求**](#j2) 10.2.1 確保抹除方式具備與資料機敏程度相同的安全保障措施。 10.2.2 確保抹除流程需與機關資訊安全風險評估一致。 10.2.3 機關依規定刪除或抹除資料時，宜依簽奉核定後刪除或抹除，並以適當方式記錄其執行結果。 10.2.4 建立資料抹除確認機制，以確保資料確實抹除並無其他備份。 ■ 10.3[**有關資料抹除作業過程宜盡量予以記錄**](#j3) <br> <br> ## **【五】評估與精進** ### **11. 指引十一：建立資料管理稽核及評估機制** ++*機關宜建立適當之稽核及評估機制，定期檢視內部資料管理是否遵循本指引要求事項與機關所訂之資料管理政策。*++ ■ 11.1[**實行適當之稽核機制**](#k1) 11.1.1 機關宜採適當之稽核機制，確認機關是否遵循本指引之要求事項與機關所訂之資料管理政策，並於記錄過程後採適當方式公佈結果，以持續精進相關制度。 11.1.2 宜保存稽核量測之佐證資料。 ■ 11.2[**機關宜定期檢視與評估**](#k2) 11.2.1 機關宜定期檢視與評估資料管理政策，以確保政策與相關執行機制之合宜性及有效性 11.2.2 機關資料管理執行機制之有效性評估，建議視機關之成本考量，參酌資料使用者之滿意度、資料使用情形之相關紀錄、必要資料之缺失率及補充率、資料轉換作業執行成功率等，進行整體評估。 11.2.3 針對資料管理政策中之資訊安全及個人資料保護相關措施，宜定期進行獨立及客觀之檢視與評估，以反映政府資通安全管理及個人資料保護政策、法令、技術及機關業務之最新情形，及確保資訊安全與個人資料保護實務作業之可行性及有效性。 ■ 11.3[**有關稽核及評估過程宜盡量予以記錄**](#k3) <br> <br> ### **12. 指引十二：持續改善與精進** ++*機關宜持續改善資料管理政策，並且宜有具體評鑑機制，以使資料管理政策持續與時精進。*++ ■ 12.1[**滾動精進資料管理需求**](#l1) 12.1.1 持續精進資料蒐集、分析與發布的運作方式與流程。 12.1.2 評估資料的使用效益及可再利用性，宜以使用者為出發點發布新的資料集，確保資料屬必要且具備高品質，並能滿足機關、資料使用者之需求。 12.1.3 根據資料管理需求，適當針對具機敏性資料調整保密協議。 ■ 12.2[**建立資料管理之預防及改善措施**](#l2) 12.2.1 機關宜持續改善資料管理制度之合宜性、適切性及有效性。 12.2.2 稽核後有發生不符合事項時，機關宜採取適當的矯正或改善措施。 12.2.3 機關宜定期進行風險管理循環流程，以判斷狀況已經改善。 <table> <tr> <th>配套措施類別</th><th>名稱</th><th>備註</th> </tr> <tr> <td rowspan="2">法規/指引等配套文件</td><td><a href="https://www.archives.gov.tw/PublishList.aspx?cnid=1644">機關檔案管理作業手冊</a></td><td>第23章（作業成效評估）</td> </tr> <tr> <td><a href="https://www.iso.org/standard/80585.html">ISO 27005</a>/<a href="https://www.cnsonline.com.tw/?node=result&typeof=common&locale=zh_TW">CNS 27005</a><br>資訊技術–安全技術–資訊安全風險管理</td><td></td> </tr> </table> ■ 12.3[**有關持續改善與精進過程宜盡量予以記錄**](#l3) <br>