前次會議有說會採用第三方中立來做一個驗收的提供,因此我們會朝驗證的規範來做這樣的規劃,大家看這一張圖是基本驗證規範的三階架構圖,像一個金字塔,這會包括最高階的驗證標準、中階具體控制措施及低階執行作業程序。在高階的作業標準基本上會比較屬於原則性的要求,那就是我們剛剛跟大家報告CNS29100、CNS29191,比如隱私權那一塊的部分。因為在政府機關的OPEN DATA,之前有跟法務部研議過是強調個人資料不能被重新識別,因此我們這邊也再次強調一次。在中階的控制措施上,事實上國際規範還沒有寫得很清楚,如果大家知道ISO27001的話,它是一個非常成熟的國際標準,但因為去識別化的議題非常新,所以還沒有訂進去,若干年後會訂進來,標檢局就參考十個標準訂定了一個個人資料去識別化的措施來作為在這個議題上具體的要求。低階的受驗證程序就受驗證組織考量本身資料型態依標準要求及相關措施來自己建置作業程序,以符合要求。