票據交換所個人資料檔案安全維護計畫標準辦法  安全管理措施 ( 104 年 06 月 26 日)
第19條
為防止個人資料發生被竊取、竄改、毀損、滅失或洩漏等遭受侵害之情事 ,票據交換所應依據業務性質、個人資料存取環境、個人資料種類與數量 及個人資料傳輸工具與方法等因素,採取第二十條至第二十三條之管理措 施。

第20條
票據交換所應採取下列人員管理措施:

一、指定蒐集、處理及利用個人資料個別作業(以下簡稱「個別作業」) 流程之負責人員。

二、就個別作業設定所屬人員不同之權限並控管之,以一定認證機制管理 其權限,且定期確認權限內容設定之適當與必要性。

三、要求所屬人員負擔相關之保密義務。

第21條
票據交換所應採取下列作業管理措施:

一、訂定個別作業注意事項。

二、運用電腦及相關設備處理個人資料時,應訂定使用可攜式儲存媒體之 規範。

三、儲存個人資料時,確認是否有加密之必要,如有必要,應採取適當之 加密機制。

四、傳輸個人資料時,因應不同之傳輸方式,確認是否有加密之必要,如 有必要,應採取適當之加密機制,並確認資料收受者之正確性。

五、應依據其保有資料之重要性,評估個人資料是否有備份必要,如有必 要,應予備份。對於備份資料應確認是否有加密之必要,如有必要, 應採取適當之加密機制,儲存備份資料之媒體,亦應以適當方式保管 ,且定期進行備份資料之還原測試,以確保備份之有效性。

六、儲存個人資料之媒體於廢棄或移轉與他人前,應確實刪除媒體中所儲 存之資料,或以物理方式破壞之。

七、妥善保存認證機制及加密機制中所運用之密碼,如有交付他人之必要 ,亦應妥善為之。

第22條
票據交換所應採取下列物理環境管理措施:

一、依個別作業內容之不同,實施必要之門禁管理。

二、妥善保管個人資料之儲存媒體。

三、針對個別作業環境之不同,建置必要之防災設備。

第23條
票據交換所利用電腦或相關設備蒐集、處理或利用個人資料時,應採取下 列技術管理措施:

一、於電腦、相關設備或系統上設定認證機制,對有存取個人資料權限之 人員進行識別與控管。

二、認證機制使用帳號及密碼之方式時,使其具備一定安全之複雜度並定 期更換密碼。

三、於電腦、相關設備或系統上設定警示與相關反應機制,以對不正常之 存取為適當之反應與處理。

四、對於存取個人資料之終端機進行身分認證,以識別並控管之。

五、個人資料存取權限之數量及範圍,於個別作業必要之限度內設定之, 且原則上不得共用存取權限。

六、採用防火牆或路由器等設定,避免儲存個人資料之系統遭受無權限之 存取。

七、使用可存取個人資料之應用程式時,確認使用者具備使用權限。

八、定期測試權限認證機制之有效性。

九、定期檢視個人資料之存取權限設定正當與否。

十、於處理個人資料之電腦系統中安裝防毒軟體,並定期更新病毒碼。

十一、對於電腦作業系統及相關應用程式之漏洞,定期安裝修補之程式。

十二、定期瞭解惡意程式之威脅,並確認安裝防毒軟體及修補程式後之電 腦系統之穩定性。

十三、具備存取權限之終端機不得安裝檔案分享軟體。

十四、測試處理個人資料之資訊系統時,不使用真實之個人資料,如使用 真實之個人資料時,應明確規定其使用之程序。

十五、處理個人資料之資訊系統有變更時,應確認其安全性並未降低。

十六、定期檢查處理個人資料之資訊系統之使用狀況及個人資料存取之情 形。