從美國TCSEC, Common Criteria, NIST SP-800，到行政院研考會96年度「資安參考指引實務審查方法論」可歸結出「資安保證」(Security Assurance)與「稽核」問的目的手段關係，也昭示著過去以隔離手段、存取控制為主的「資訊安全」將邁入新紀元。我國個人資料保護法於四月修正通過，不但擴大保護客體與試用主體，還提高民刑事與行政責任，同一事件民事損害賠償最高總額提高至新臺幣2億元，舉證責任轉換與團體訴訟機制對於政府與企業影響甚鉅。由於個人資料之蒐集、處理、利用與資訊系統中的資料庫關係密切，本文將針對資料庫稽核探討實務操作與個資法修正影響。尤其是「主動式資料庫稽核」能在不影響資料庫效能、不變動網路架構、不需更改應用程式的情況下，從傳遞到資料庫伺服器的網路封包透過SQL語法分析，找出是何人從事何種類型的資料庫存取活動。對於防範外部威脅與內控不良，這種解決方案可以在事前導入資料庫的存取管理政策，事中發覺異常行為，在事後進行事件的鑑識分析。