一、於校園中，誰有權限可接觸或獲取教職員生個資？

1.僅開放執行行政教學作業之權責單位，其業務承辦人接觸業務職掌相關之個人資料，並已要求承辦人簽訂保密切結書。

2.以開排選課系統為例，其處理之業務流程，可獲取學生個資人員及業務職責如下：

二、誰賦予權限使人可接觸或獲取教職員生個資？

1.本校各單位已依業務職掌盤點個資作業流程，識別處理個資各項流程中使用之表單、系統及涉及之單位，產出個人資料作業流程說明書；相關作業流程之個資蒐集、處理及利用等作業經相關主管同意後授權，確保個資蒐集、處理及利用等作業之合理化與最小化。

2.以開排選課系統為例 (1). 各系課務助理提出申請，由其單位主管審核身分與業務職掌。 (2). 核准後送教務處教學組設定系統權限，並送教務處相關主管覆核。

三、「國立中正大學個人資料保護管理政策」之執行狀況與教職人員所受之個資保護教育訓練是否充足？

1.109年本校通識中心發生電子郵件誤夾帶學生個人資料導致個資外洩事件，即依個資法要求告知當事人，並提供學生法律諮詢管道，以積極協助學生維護個人權益；此外導入電子郵件個資稽核系統，含身分證字號之信件即加以阻擋，從技術面防止類似事件再度發生；並聘請專業顧問輔導通識中心辦理個資盤點、風險評鑑等作業，從制度面加強個資保護作為。

2.從通識中心事件後，管理階層認為應全面檢討並提升本校個資保護作為，故自110年起於全校範圍推動個人資料管理制度，訂定個人資料管理要點與管理文件，各單位指派個資管理窗口成立全校個資管理組織，各單位配合執行個人資料盤點、風險評鑑等作業，且每年辦理全校內部稽核，查核管理制度之落實情形，於全校之個資管理審查會議報告，要求各單位之缺失限期改善，且每年擇定單位參與教育體系個人資料保護驗證，截至113年全數行政單位及教學單位(社會科學院及理學院)已全數通過教育體系個人資料保護管理規範驗證（證書109, 110, 111, 112），未通過驗證之教學單位將持續參與此管理規範之驗證。

3.依本校個人資料管理制度，執行行政業務相關同仁每年應有至少3小時之個人資料保護相關訓練，另依資安法規定，同仁每年均接受3小時之資通安全相關教育訓練，並於每年度內部稽核時進行查核，要求每年度個資保護與資安教育訓練完成比例均為100%。

四、資安事件之標準處理程序與補救措施。

資安事件均依據教育部「臺灣學術網路各級學校資通安全通報應變作業程序」及本校資通安全事件管理程序書通報，本校並於111年通過ISO 27001驗證（證書），後續每年進行複評以維持證書有效性。