一、為促使各機關應用僑民身分證明資料符合僑務委員會（以下簡稱本會
    ）訂定之相關資訊安全管理規定，並依個人資料保護法規定，落實資
    訊安全管理及個人資料保護，特訂定本要點。

二、本要點之主管機關為本會。
    各機關應分別指定專人或成立稽核小組，辦理內部稽核作業。
    本會綜合規劃處、資訊室及政風室組成稽核小組，依本要點對介接機
    關執行外部稽核作業。必要時，本會得洽請資訊安全專業機關（構）
    會同對於介接機關執行外部稽核作業。

三、稽核頻率：
（一）內部稽核：由各機關，對各該機關使用單位每半年至少辦理一次。
（二）外部稽核：由本會稽核小組對介接機關執行稽核，每五年至少辦理
      一次。

四、稽核程序及稽核結果追蹤處理：
（一）內部稽核：
    1.由各機關訂定稽核日期通知內部受稽單位，簽報內容應包含稽核目
      的、範圍及程序等相關資訊。
    2.完成稽核作業後，應提出稽核結果報告簽報主管核閱，稽核結果報
      告應妥為保管，保存年限五年。
    3.稽核結果如有不符合事項，應追蹤受稽核單位矯正執行時效及有效
      性。
    4.每次稽核前應對前次稽核不符合事項及改善情形進行複核。
（二）外部稽核： 
    1.本會綜合規劃處擇定受稽核（介接）機關並排定稽核行程。
    2.函知受稽核機關稽核時程。受稽核機關應先自評並填寫介接機關應
      用僑民身分證明資料介接作業安全稽核自我評審表（附件一），依
      期限函復。
    3.本會稽核小組進行實地稽核，受稽核機關應配合提供相關資料。但
      相關資料屬受稽核機關應保守之秘密或有其他法定原因無法提供者
      ，不在此限。
    4.本會稽核小組完成稽核作業後，應將稽核結果、說明及應改善事項
      詳實記錄於介接機關應用僑民身分證明資料介接作業安全稽核紀錄
      表（附件二）。
    5.本會將稽核結果函知受稽核機關。稽核結果如有不符合事項，本會
      得即暫停其介接作業；受稽核機關應於收到受稽核結果通知後二個
      月內函復改善情形。屆期未改善或改善結果經本會審查不合格者，
      應終止其介接作業。
    6.稽核發現缺失涉及資料嚴重外洩者，責成受稽核機關依資通安全事
      件通報及應變辦法規定之程序辦理。
    7.完成稽核作業後，如有發生其他缺失情形，受稽核機關仍應於接獲
      本會通知起二個月內函復改善情形。屆期未改善或改善結果經本會
      審查不合格者，應終止其介接作業。

五、對介接機關稽核重點包括人力資源、人員安全管制、帳號密碼管理、
    資料管理機制、線上資料查詢、介接機關內部及外部（包括涉及僑民
    身分證明資料介接作業之委外廠商）稽核落實情形、資通安全教育訓
    練、管理規定及其他事項。
 
六、本要點應配合相關資訊安全管理規定及稽核結果進行修正調整，以確
    保稽核作業流程及稽核項目符合實務情形，以每三年進行檢討為原則
    ，如遇有特殊情形可即時進行修正。