I. 目的
為確保台灣研發型生技新藥發展協會 (以下簡稱「本協會」)所屬之資訊資產的機密性、完整性及可用性,以符合資通安全管理法及其子法等相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,並落實個人資料之保護及管理並符合「個人資料保護法」之要求,特訂定本政策。
II. 適用範圍
-
本政策適用範圍為本協會之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等相關之系統及個人資料處理作業。
-
資通安全管理範疇涵蓋14項領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本協會造成各種可能之風險。
III. 目標
為維護本協會資訊資產之機密性、完整性與可用性,期藉由本政策之實施以達成下列目標:
-
建立安全及可信賴之資訊化作業環境,確保本協會資料、系統、設備及網路之安全,以保障本協會業務永續運作。
-
保護本協會業務服務之安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。
-
保護本協會業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
-
建立本協會業務永續運作計畫,以確保本協會資訊業務服務之持續運作。
-
確保本協會各項業務服務之執行須符合資通安全管理法及其子法,以及相關法令規範之要求。
-
為保護本協會業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
-
提升對個人資料之保護與管理能力,降低營運風險,並創造可信賴之個人資料保護及隱私環境。
-
定期針對個人資料流程進行風險評鑑,鑑別可承受風險等級。
IV. 責任
-
本協會應成立資通安全組織統籌資通安全事項推動。
-
管理階層應積極參與及支持資通安全管理制度,並透過適當的標準和程序以實施本政策。
-
本協會全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等皆應遵守本政策。
-
本協會全體同仁、委外服務廠商及資料使用者(含保管者)均有責任透過適當通報機制,通報資通安全事件或弱點。
-
任何危及資通安全之行為,將視情節輕重追究其民事、刑事責任,或依本協會之相關規定進行議處。
V. 管理指標
為確保組織資通安全管理目標與績效之達成,並符合資通安全政策目標之一致性,落實資通安全管理制度之實施,訂定「資通安全目標達成計畫」。
VI. 個人資料之保護
-
本協會已成立個人資料保護組織,明確定義相關人員之責任與義務。
-
本協會已建立與實施個人資料管理制度(Personal Information Management System,以下簡稱PIMS),以確認本政策之實行;全體員工及委外廠商應遵循個人資料管理制度(PIMS)之規範與要求。
-
本協會係以嚴密之措施、政策保護當事人之個人資料,包括但不限於本協會之所有員工,應接受個資保護、或隱私權保護或資安相關之教育訓練,本協會之委外廠商或合作廠商與本協會業務合作時,均簽有保密契約,使其充分知悉個人資料保護之重要性及洩露個資相關之法律責任,倘有違反保密義務之情事者,將受嚴格之內部懲處或嚴重之違約求償,並追究其民、刑事法律責任。
-
本協會因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號(護照號碼)、特徵、指紋、婚姻、家庭、教育、職業等個人資料,應遵循我國個人資料保護法(以下簡稱個資法)等法令,適當、公平與合法地從事個人資料之蒐集與處理。且依個資法第5條規定,對於個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
-
本協會所蒐集、處理之個人資料,應遵循我國個資法及本協會個資管理制度之規範,且個人資料之使用為本協會營運或業務所需,方可為本協會承辦同仁利用。
-
本協會取得之個人資料,如有進行國際傳輸之必要者,定謹遵個資法第21條及相關規定且不違反國家重大利益、不以迂迴方法向第三國傳輸或利用個人資料規避個資法之規定等原則辦理。又,倘國際條約或協定有特別規定、或資料接受國對於個人資料之保護未有完善之法令致有損害當事人權益之虞者,本協會將不進行國際傳輸,以維護個人資料之安全。
-
當本協會接獲個人資料調閱或異動之需求時,應依個資法及本協會所訂之程序,於合法範圍內進行當事人之個人資料。
VII. 管理審查
本政策應每年至少進行1次管理審查,以反映政府法令、技術及業務等最新發展情況,確保本協會業務永續運作之能力。資通安全組織、主管機關(或法令、法規要求)或專家學者等利害關係人如有資通安全及個資保護相關回饋事項,應列入管理審查會議之討論議題。
VIII. 實施
本政策經資通安全管理組織研擬核定後實施,修訂時亦同。