殯葬服務業訂定計畫時，得視其規模、特性、保有個人資料之性質及數量 等事項，參酌第六條至第二十條規定，訂定適當之安全維護管理措施。

前項計畫內容應包括下列項目，第二款相關項目必要時得整併之：

一、殯葬服務業之組織規模。

二、個人資料檔案之安全維護管理措施：

（一）配置管理之人員及相當資源。

（二）界定蒐集、處理及利用個人資料之範圍。

（三）個人資料之風險評估及管理機制。

（四）事故之預防、通報及應變機制。

（五）個人資料蒐集、處理及利用之內部管理程序。

（六）設備安全管理、資料安全管理及人員管理措施。

（七）認知宣導及教育訓練。

（八）資料安全稽核機制。

（九）使用紀錄、軌跡資料及證據保存。

（十）個人資料安全維護之整體持續改善。

（十一）業務終止後之個人資料處理方法。

殯葬服務業應將計畫公告於營業處所適當之處，如有網站者，並揭露於網 站首頁，使其所屬人員及資料當事人均能知悉；計畫修正時，亦同。