|
一、為規範臺中市政府社會局(以下簡稱本局)及臺中市家庭暴力及性
侵害防治中心、臺中市各區區公所(以下簡稱各區公所)因社會福
利業務審查需要,妥適應用戶政資料,落實資訊安全,避免個人資
料不當使用或外洩,保障個人隱私,特訂定本要點。 |
|
二、適用機關及業務範圍
(一)使用戶政資料之法規及計畫依據:
1、社會救助法社會救助法第十六條之一及第四十四條之三規
定。
2、兒童及少年福利與權益保障法第二十三條、第七十條第二
項及第三項規定。
3、身心障礙者權益保障法第七十一條第二項規定。
4、老人福利法第五條第一項及第二十二條規定。
5、原住民族基本法第二十六條規定。
6、臺中市政府辦理重陽節敬老禮金實施計畫。
7、臺中市辦理金婚、鑽石婚暨白金婚紀念表揚活動。
(二)使用戶政資料之業務名稱:審查社會救助暨社會福利補助案
、重陽節敬老禮金發放及金婚、鑽石婚暨白金婚紀念表揚活
動。
(三)業務適用機關及單位:
1、本局社會救助科、兒少福利科、兒童托育科、婦女福利及
性別平等科、長青福利科、社會工作科、身心障礙福利科
及臺中市家庭暴力及性侵害防治中心。
2、各區公所。
3、本局委託得標廠商維護臺中市社政資訊管理系統(簡稱社政
系統),應依資通安全管理法、個人資料保護法(以下簡稱
個資法)及本要點之規定管理,並配合查核與稽核作業,包
括資料存取處理及資料維護等事宜。
(四)本局依使用戶政資料之法規依據,提出連結介面申請,並經
臺中市政府民政局(以下簡稱民政局)審查同意後始得使用。 |
|
三、戶政資料安全管理之分工如下:
(一)管理單位:本局綜合企劃科。
1、連結主機安全管理。
2、各單位申請料之審查。
3、協助各單位取用申請取得之戶政資訊資料。
4、本科設置專責人員一名,負責戶政資料檔案下載、解密及
社政系統帳號管理,並應接受三小時以上之資通安全專業
課程訓練。
5、申請連結案之承辦人、專責人員及單位主管異動時,應於
異動後七日內書面通知民政局。
6、定期辦理資訊安全教育訓練,以提升個人資料保護觀念。
(二)適用機關及單位:
1、防止戶政資料外洩及不當使用。
2、帳號及權限新增或異動時,應經單位主管確實審核其必要
性。
(三)各單位申請應用戶政資訊連結,應符合提供機關(民政局)規
定格式,並備下列文件,簽會本局綜合企劃科,向提供機關
函文申請:
1、申請表。
2、各類需求資料項目表。
3、資料交換安全協議表。
4、臺中市政府社會局使用戶政資訊管理要點。
5、臺中市政府社會局使用戶政資料管理計畫。 |
|
四、資料安全管制作業
(一)查詢戶政資料管制措施
1、資料查詢、輸出及傳送,均需採取適當之保密措施。
2、主機設備安全管理:
(1)本局電腦主機系統建構於臺中市政府數位發展局機房
(以下簡稱機房)內,並依其機房相關管理規定辦理
。
(2)機房採門禁系統管制,人員進出均登記,人員進出應
使用核發之通行卡刷卡後進入。
(3)機房內電腦設備、資料及軟體,未經核准,不得攜離
辦公處所。
(4)機房之防火牆設置及內、外網路間的資料傳輸等網路
服務資源,由臺中市政府數位發展局管理,本局依業
務性質辦理相關申請設定。
3、使用者查詢戶政資料時,應填寫或輸入案號及查詢事由,
作為日後查核依據。
4、查詢戶政資料應避免非業務權責人員閱覽、擷取及破壞。
5、查詢戶政資料完竣後,原提供機關取得之資料使用期限最
長不得超過一個月,如有併案或附卷必要應妥善保管,紙
本應以密件方式保存,電子檔有存取權限控管。
6、戶政資料不得任意複製,如有複製資料之業務需要,應向
管理單位申請核准後,始得複製,資料傳送時應採取適當
的保密措施。
7、管理單位每年應檢視已申請核准之戶政資訊連結作業之使
用情形,如已無需求者,應函請民政局終止該連結作業。
8、管理單位及適用機關(單位)應簽訂保密合約書及保密承諾
書。
9、連線查詢戶政資料逾時,系統應自動登出。
10、系統應記錄查詢者之查詢日誌,並保留五年。
(二)資料銷毀程序
1、線上查詢戶政資料完竣後,如可銷毀,紙本文件應銷毀至
無法辨識,電子檔如無保留必要性,應即刪除。
2、儲存於電腦設備或系統之資料檔案,使用完竣且確認無保
存必要,應立即刪除資料檔案,並確認其資料檔案無法復
原。
3、儲存於可攜式媒體之資料檔案,使用完竣且確認無保存必
要,應立即辦理銷磁或銷毀作業。
4、原提供機關取得之資料須於使用完畢三個月內將相關資料
銷毀,並提交「臺中市政府社會局資料銷毀紀錄單」或「
委外服務資料返還、銷毀紀錄單」,佐以銷毀證明文件予
管理單位,以供稽核備查。 |
|
五、處理資料保密措施
(一)帳號及權限管理
1、使用者及管理者新申請應填寫使用社政系統帳號權限申請
表、簽訂保密合約書及保密承諾書,並由權責主管核可後
,交由專責人者配賦帳號及查詢權限,且保留紙本申請單
(如屬線上申請簽核免列)及電腦紀錄。
2、帳號及密碼通知過程應具保密措施,防止被竊視及竊取。
3、密碼長度至少為十二碼,應包含英文大寫、英文小寫、特
殊符號。
4、系統應限制使用者連續登入密碼失敗的上限為五次,如經
申請核准後,由專責人員或使用者持自然人憑證解除帳號
鎖定。
5、使用者及管理者對於帳號及密碼負有保密之責,嚴禁洩漏
給與他人,並定期更新密碼,不得與他人共用。
6、使用者職務異動時,應於職務異動前辦理帳號異動程序,
並於異動前或當日,由專責人員調整權限、廢止或註銷原
帳號。
7、專責人員職務異動時,應於職務異動前辦理帳號異動程序
,並於異動前或當日,由新任專責人員於承接業務立即變
更密碼。
(二)專責人員應每半年辦理帳號清查,檢視使用者權限,如有重
複、閒置、職務調整、離職或退休者帳號,應即時調整權限
、廢止或註銷,並留存清查之紙本及電磁紀錄。
(三)申請戶政資訊連結作業之專責人員、單位主管及使用者應限
於執行特定職務必要範圍內得蒐集、處理或利用戶政資料,
並應符合特定目的,不得對外公開、移轉或轉讓他人,亦不
得傳送至外國。 |
|
六、定期查核及稽核
(一)管理單位至少每半年列印查詢紀錄單,供查核人員查核,抽
查比率至少為千分之五,抽查筆數不得少於一百筆,查詢總
筆數少於一百筆者,應全數查核。如遇有查詢異常現象者,
應交付「臺中市政府社會局戶政資訊連結作業稽核疑似不當
查調紀錄表」予管理單位,並會同本局政風室共同調查,彙
整稽核結果、相關紀錄應保留五年。
(二)每半年辦理內部稽核工作及委外廠商系統維護情形稽核,並
作成稽核紀錄,保留五年備查。
(三)民政局實施稽核作業時,本局須配合提供相關查核資料,管
理單位及適用機關(單位)人員須配合辦理。 |
|
七、相關法律責任
(一)使用者對於取得資料之處理及利用,違反個資法規定,致當
事人權益受損者,由使用者負完全責任,並應負同法第二十
八條之損害賠償責任,與同法第三十一條國家賠償責任。
(二)使用者意圖營利或無故洩漏個人資料,或違法及重大不當行
為,依法負民事及個資法之刑事責任,並由所屬之主管機關
行政議處。
(三)管理單位未善盡管理之責,致未經授權之使用者,或因職務
調整、離職或退休等原因已無使用戶政資料權限者,可使用
戶政資料,且不當使用戶政資料,致當事人權益受損者,應
由所屬之主管機關議處單位管理者之行政責任。
(四)依個資法第四條規定,受委辦機構或廠商視同委託機關,機
關應規範委辦機構或廠商違反個資法規定,致當事人權益受
損者,或意圖營利或無故洩漏個人資料,或違法及重大不當
行為,應付之責任。
(五)如違反其他法律規定,依其規定追究責任。 |