n   必需要有一資訊設備集中點，提供：

-            穩定之電源（必要時仍需將設備接於UPS上，以避免瞬間停電造成設備非正常關閉，影響設備的運作）。

就筆者觀點，一個企業之資訊部門要呈現其存在價值，可能有三個階段需要經歷：

1.       基礎建設建構期(Infrastructure Construction)

要經營一個資訊部門，沒兩把刷子是行不通的。本章節介紹一些IT主管必須要具備的能力。

專才

n   對特定資訊技術的熟稔度：

資訊部門的組織到底應該有多大，到現在並無一個定論，很難用『一個IT人員可以服務多少員工』、『一個IT員工平均要負責管理幾部伺服器』、…等之方式來定義，因為可能企業非常重視IT可能帶來的效率，筆者就見過一個約1,800個員工的高科技製造廠商，其泛資訊之人員超過200位；而資訊部門的人員並不都是在管理伺服器，以『一個IT員工平均要負責管理幾部伺服器』似乎也沒什麼道理。

在不同產業中，資訊單位所扮演的角色也各不同，有打工打雜的、有夠用就好的、也有視為增加競爭力之營運利器的。如果你問筆者到底資訊單位該站在組織的哪個層級，筆者必須說聲抱歉，因為並沒有一個定律，畢竟這個單位不像財務單位、生產單位、…等，每天要作什麼都已有定論，反關資訊單位，除了每日固定要執行的維護作業外，還必須不斷承接來自各業務單位或高階主管天馬行空般的需求。有戰略想法的企業主會把資訊單位放在關鍵組織中，也許直屬總經理，但多的是把資訊單位當作水電工，放在行政單位的有之，隸屬財務單為也時有所聞，放在生產體系內的更不是什麼新鮮事。但這些都沒有錯，有差異的是不同的資訊單位定位，可能會帶來不同的營運效率。看看那些把電子商務應用到淋漓盡致的企業，是如何把全球的客戶盡納企業之觸角。

個人資料保護法規範五項個資當事者所擁有之權利，這些權利不但不可預先被任何機制拋棄，也明文規範機關需確實滿足個資當事人提出行使其個資權利之要求，除非有法律明文規定之例外情況。

在PDCA循環中，代表『從未結束』的整體持續改善作業是證明機關對於個人資料之管理與保護是列為持續之營運項目，不僅僅是要應付目前個人資料保護法各種稽核所作出之表面功夫。這個步驟其實是要求機關需隨時檢視個人資料管理與保護是否有異常，一旦出現異常，是否也同時提出改善計畫，使機關能長長久久小心保護所持有之個人資料。

在PDCA循環中，不可避免的，在完成規畫與執行後，要有一個機制來驗證機關所有採取的作業是符合當初規畫的、是合法的、是有效的。這就是資料安全稽核機制。這個稽核機制必須由一獨立之單位或機構來執行，可以是獨立於個人資料專責組織，也可以是外部第三方公正機構。不管是哪一種，他必須確保機關所有採取之個人資料管理與保護措施暨符合當初規畫的機制，同時也必須達到個人資料保護法之規範。

資料保存

完成前面幾項作業，對機關而言，個人資料管理與保護程度已臻極限，但對這些個資當事人以及政府而言，還不足。原因在於前面作業是站在機關的角度在看個人資料保護，但一旦發生個資事件（不一定是個資外洩），個資當事人要的是如何保證個資的後續安全，而法律要的是機關必須舉證已善盡保管個人資料之責任（這就是舉證責任倒置最嚴重的部分，因為舉證之所在，即敗訴之所在），所以，機關所有管理與保護個人資料之過程，都必須盡可能留下記錄、軌跡資料以及證據，以便能證明機關確實把個人資料當作一回事，所以，這一部分談的不僅是個人資料妥善保管，還囊括所有與個人資料有關之記錄、軌跡資料以及證據。

記錄與證據之內容類型

一般機關內會產生以及必要留存之記錄與證據之類型包括：