關於教版規範2019年版附錄A個資保護實作指引

教育體系資通安全暨個人資料管理規範2019年版除了小幅修改附錄Ｂ個資控制項的要求，同時依據ISO/IEC 29151:2017 對個人資料管理控制措施，以個資保護實作指引方式列入附錄Ａ各相關控制措施之實作指引中，強化管理個人資料的資訊系統管理作為。

單純導入ISMS時，不論是為國際版或教版驗證做準備，皆可參考教版規範2019年版附錄Ａ中的個資保護實作指引，其針對包含個人資料的資訊系統作為等相關要求皆為參考建議．

當同時導入ISMS與PIMS時，依據附錄Ａ前言所述：「其驗證範圍內附錄B引述之附錄A對應控制項有實作指引者，該實作指引為對於個資管理規範為應執行之項目而非建議事項，應全部執行」，故個資窗口應提醒ISMS窗口2019年版規範附錄A中相關控制作為．

在稽核前應內部溝通，確認相關要求是否已納入資訊安全措施，進行個資外稽時，稽核團隊會前往確認所涉及之控制項個資保護實作指引是否落實．

例如，在查核附錄Ｂ個人資料之識別與風險管理中的B.4.1個人資料之識別與維護時，應同時對應附錄Ａ中A.8的資產管理進行確認①．對於涉及個人資料應有相關作為來管理或改善，如：隱私權衝擊分析或個資風險評鑑報告…等②．

另外，A.8.1.3的個資保護實作指引提到組織保護個人資料相關的資產，宜避免未授權存取、修改移除刪除、執行錯誤，或非法處理作業。資安與個資窗口在進行管理制度之運作時應相互協助確認③。進行個資外稽時，稽核團隊亦應確認受稽單位涉及個人資料的資訊系統其權限存取控制的相關作為．