資訊安全管理政策

　　為建立資料、系統、設備及網路通訊的資訊安全環境，本校圖書資訊處訂有「資訊安全政策」，並導入資訊安全管理系統（Information Security Management System, ISMS）設置資訊安全委員會，每年定期召開管理審查會議，針對前次管理審查之結果、內部議題及外部議題之變更、資訊安全成效回饋及趨勢、利害關係人之回饋、風險評鑑結果等面向進行討論，並根據實際情況與趨勢確認資訊安全政策是否適切。

• 資通訊安全宣導平台

資訊安全管理系統推動流程圖

資訊安全事故管理與行動

　　若有疑似資安事件發生時，由圖書資訊處人員依據「資訊安全事故管理程序書」判斷及通報相關單位。2022 年本校共計資安事件1 件，原因為本校能源管理系統具有弱密碼與權限控制失效之弱點，由HITCON ZeroDay 漏洞提報平台發出資安通報。此事件已立即委請廠商修補，並未造成資料外洩之情形。
　　為提升本校資訊系統的運作效率，並持續提高系統安全層級，圖書資訊處透過發展智慧校務系統、提升校園資訊環境，並藉由弱點掃描與滲透強化整體系統安全，為本校打造全方位的資安保護網。

資訊安全教育訓練

　　本校定期進行教育訓練、內外部稽核，強化教職員生對於資訊安全及個人資料保護之意識。2022 年本校圖書資訊處辦理資訊安全相關教育訓練，因疫情影響以線上方式辦理，共 5場次，參加總人數為 1,568 人。

個人資料保護

　　本校為保障教職員工及學生之個人資料保護及管理，依據「個人資料保護法」、「個人資料保護法施行細則」、「私立專科以上學校及私立學術研究機構個人資料檔案安全維護實施辦法」及相關法令法規之要求，訂定個人資料保護管理政策及規範。導入個人資訊管理系統（Personal Information Management
System, PIMS）進行個資資料之保存、追蹤及管理，並設置個資委員會，專門統籌個資保護作業原則規劃及相關制度推行。2022 年未發生任何教職員工及學生個資外洩，導致組織或個人權益受損情事。

個人資料保護控制重點：

• 對於個人資料之保護是否符合相關法規之要求
• 對於個人資料之蒐集、處理、利用是否逾越相適用範圍
• 個資組織是否依規定組成
• 每年檢視個人資料檔案留存是否符合規定；定期維護個資盤點資料正確性並進行風險評估
• 跨單位之資料流通，是否經權責單位審核並留存紀錄
• 個人資料蒐集、保存與銷毀是否依管理辦法辦理
• 是否依「當事人權力管理辦法」維護個資當事人應有之權利
• 委託外部單位處理個人資料服務，是否簽訂書面合約；是否遵循個資蒐集與處理法定告知事項
• 發生個人資料安全事件，是否進行緊急因應措施

資安與個資管理系統驗證

　　本校亦針對資安與個資管理系統定期進行第三方驗證，建立符合國際標準的管理程序以確保校園資料的機密性、可用性與完整性。