個人資料蒐集、處理及利用之內部管理程序與每個組織的業務流程有關, 此一部份最好由業務或行政部門起草.
研提內部管理程序時可依公務機關或非公務機關區分, 公務機關的重點為個資法第二章第15~18條規定,
第 15 條
公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者...
第 16 條
公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用...
第 17 條
公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；
其有變更者，亦同...
第 18 條
公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

非公務機關的重點為個資法第三章第19~27條規定
第 19 條
非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一...
第 20 條
非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用...
第 21 條
非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業主管機關得限制之...
第 22 條
中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料...
第 23 條
對於前條第二項扣留物或複製物，應加封緘或其他標識，並為適當之處置；其不便搬運或保管者，得命人看守或交由所有人或其他適當之人保管。扣留物或複製物已無留存之必要，或決定不予處罰或未為沒入之裁處者，應發還之。但應沒入或為調查他案應留存者，不在此限...
第 24 條
非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者，得向中央目的事業主管機關或直轄市、縣（市）政府聲明異議...
第 25 條
非公務機關有違反本法規定之情事者，中央目的事業主管機關或直轄市、縣（市）政府除依本法規定裁處罰鍰外，並得為下列處分...
第 26 條
中央目的事業主管機關或直轄市、縣（市）政府依第二十二條規定檢查後，未發現有違反本法規定之情事者，經該非公務機關同意後，得公布檢查結果。
第 27 條
非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。

內部管理程序重點在於現有個資與未來如有新的個資蒐集/處理/利用時, 該如何進行, 要有那些管控措施, 基本上可從風險評估及管理觀點, 描述各項作業流程之重要控管措施, 將上述流程訂定標準作業程序, 並在組織內落實執行.