集管團體依前條規定採取之資訊安全管理措施,應包括下列事項:
一、個人資料有加密之必要者,應於蒐集、處理時,採取適當之加密措施。
二、個人資料有備份之必要者,應對備份資料採取適當之保護措施。
三、傳輸個人資料時,應依不同傳輸方式,採取適當之安全措施。
四、設定個人資料之存取權限,建立蒐集、處理或利用個人資料之電腦、相關設備或系統必要之控管機制,並定期確認其有效性。
五、建立因應惡意程式及系統漏洞所造成威脅之安全機制,並定期確認蒐集、處理或利用個人資料之電腦、相關設備或系統安全機制之有效性。
六、進行軟硬體測試時,應建立個人資料防護機制,如確有使用個人資料之必要時,應明確規定其使用之程序及安全管理方式。
七、定期檢視處理個人資料之資訊系統,檢查其使用狀況及存取個人資料之情形。