一、基隆市政府(以下簡稱本府)為規範所屬機關(單位) 應用戶役政資訊連結
作業符合相關資訊安全管理規定,落實資訊安全管理及個人資料保護,
特訂定本要點。
二、本要點之主管機關為本府,執行單位為本府民政處。
本要點所稱連結機關(單位)指申請應用戶役政資訊連結系統之 本府所屬
機關或本府各處。
三、本府應組成稽核小組,執行連結機關(單位)之外部稽核作業。
稽核小組由本府民政處召集本府政風處、綜合發展處組成。
四、連結機關(單位) 及戶役政資訊系統資料持有、使用機關(單位)應分別指
定專人或成立稽核小組,執行本機關(單位)之內部稽核作業。
五、稽核頻率如下:
(一)內部稽核:連結機關(單位)及戶役政資訊系統資料持有、使用機關(單位),
每半年應至少辦理一次。
(二)外部稽核:本府對所轄連結機關(單位),每年至少辦理一 次;連結機關
(單位)對戶役政資訊系統資料持有、使用機關(單位),每半年至少辦理一
次。
六、本府對連結機關(單位)之稽核內容應包括人員安全管制、帳號 密碼管理、
資料管理機制、線上資料查詢、檔案傳輸、內部稽核落實情形。
七、內部稽核程序及稽核結果追蹤處理方式如下:
(一)簽報主管訂定稽核日期並通知稽核及受稽核人員;簽報內容 應包含稽核
目的、範圍及程序等相關資訊。
(二)完成稽核作業後,應將稽核結果、說明及應改善事項詳實記錄於稽核紀錄
表(附件一)。
(三)提出稽核結果報告簽報主管核閱,稽核結果報告應妥為保管,保存年限五
年。
(四)稽核結果如有不符合事項,應追蹤受稽核機關(單位)矯正執行情形。
(五)稽核應對前次稽核不符合部分及改善情形進行複核。
八、本府對連結機關(單位)稽核程序及稽核結果追蹤處理方式如下:
(一)每年擇定連結機關(單位)辦理稽核,擇定原則如下:
1.近二年使用戶役政資訊連結作業次數較多者。
2.近二年曾發生戶政資料外洩或資料未依限銷毀情事者。
3.近三年曾受稽核,稽核項目不符合數量較多者,或應改善事項尚未完成
者。
4.近五年未曾接受稽核者。
5.查有承辦人員、專責人員或主管人員異動未通知本府民政處者。
6.其他經本府認有稽核需要者。
(二)函知受稽核機關(單位)稽核時程:
受稽核機關(單位)應先自評並填寫連結機關(單位)應用戶役政資訊連結作
業稽核自我評審表(附件二),依期限函復。
(三)進行實地稽核:
受稽核機關(單位)應配合提供相關資料。但相關資料屬受稽核機關(單位)
應保守之秘密或有其他法定原因者,不在此限。稽核小組完成稽核作業
後,應將稽核結果、說明及應改善事項記錄於稽核紀錄表(附件三)。
(四)稽核結果如有不符合事項,受稽核機關(單位)應於受稽核結果通知後三十
日內提出改善措施及預定完成日期,填列於改善措施紀錄單(附件四),並
於預定完成期限內執行改善完畢後,檢附相關文件函復本府。屆期未提出
改善措施紀錄單或未依預定期限完成改善者,應停止連結提供資料。
(五)稽核發現缺失涉及戶政資料外洩者,受稽核機關(單位)應依資通安全事件
通報及應變辦法規定之程序辦理。
(六)定期追蹤受稽核機關(單位)改善情形,追蹤處理程序如下:
1.將當年稽核結果之不符合事項,填列稽核結果及改善情形追蹤表(附件五)。
2.每半年查證受稽核機關(單位)應改善事項完成情形,受稽核機關(單位)完成
全部應改善事項,始解除追蹤列管。
(七) 完成稽核作業後,如有發現其他缺失情形,仍應依本點規定辦理。
九、各連結機關(單位)對資料持有、使用機關(單位)之稽核程序及稽核結果追蹤
處理規定,由各連結機關(單位)定之。