個人資料蒐集、處理與利用之機制建立後（個人資料管理機制完成），接下來重點就移到在實務上要如何作，機關內的環境要如何調整，才能真正有利於個人資料之保護（個人資料保護完成）。在這個步驟，說白一點，就已經跟機關資訊安全議題有很明顯的關連，而絕大部分的人也就是因為這個部份，就認為個人資料保護應由資訊單位負責，其實這是錯解個人資料管理與保護的精神。殊不知，工具、機制是死的，人的運用才是活的，機關必須針對管理機制內所要求的內容建置必要之安全措施以及調整必要之營運流程，落實執行這些規範於日常營運中。此外，所有資料與設備之管理都必須留下記錄，這些記錄將在個資事件發生時，用以找出問題以及釐清機關本身之責任。

請記住，資料與設備安全管理亦需含蓋委外廠商的部分。

目前可供參考之國際標準：
1.ISO 27001
2.BS 10012
3.NIST 800-122
4.NIST 800-53

個人資料檔案類型
機關中持有之個人資料檔案類型眾多，但可概括區分為：
1.紙本
2.電子檔案
3.資料庫

而資料儲存媒體概括分為下列幾類：
1.紙本
2.電子儲存媒體：硬碟、隨身碟、…
3.光儲存媒體：VCD, DVD, …
4.磁帶

個人資料保護法有一些規範，將影響機關在各類儲存媒體上之選擇：
1.因應個資法規範，個資當事人得主張行使其個人資料權利（§3），例如：刪除個人資料。為能符合個資法之規定，與個人資料有關之資料將不儲存在無法進行內容異動之儲存媒體，例如：唯讀之VCD/DVD。
2.因應個資法規範，與個人資料有關之各類資料，包括軌跡資料，都必須保留五年（§30），除非另有其他法律位階高於個資法之規範保留年限，否則，與個人資料相關之各類資料最少需保留五年。
3.依據個資法規範，所有與個資當事人溝通之相關記錄，例如：蒐集、處理與利用時之告知（§8, §9, §54, §§13）、非紙本型態之書面同意（§§11）都需能在事後取出供查驗，這些相關之記錄亦需遵守前項之保留規定。

基於上述這些因素，機關已經使用之個人資料儲存方式與媒體已很難再變更，但未來要使用哪些方式與媒體來儲存個人資料，建議可以在看完本章後，作出一些調整。

接下來，我們要從各種不同角度來看機關內的設備將如何管理，才能真正達到保護個人資料之目的，所有內容將採條列式方式，讀者可以把這些當作是組織內資料與設備安全管理辦法之內容。