個人資料檔案風險評鑑威脅與弱點項目之研究

本研究旨在整合資安風險評鑑與個資風險評鑑之作法，進而探討個資檔案於風險評鑑時，可以用以評估風險之威脅項目與對應之弱點項目。本研究以文獻分析法彙整資訊資產風險評鑑之威脅與弱點配對項目，再經二次專家訪談，蒐集專家對於資訊資產與個資風險評鑑之觀點，以及資訊資產威脅與弱點配對項目用於個資檔案風險評鑑之建議，進而得出適用於個資檔案風險評鑑之威脅與弱點項目。研究結果發現，已導入資安管理系統ISMS的組織，可整合資訊資產風險評鑑與個資檔案風險評鑑，以一致的評估方式，減少風險評鑑重複執行。若導入「個人資料保護參考指引」之風險評鑑架構，可加入詳細風險評鑑方法，以配合企業原有ISMS之作法。本研究並由68個資訊資產威脅與弱點項目，彙整出38項主要個資檔案威脅與弱點評估項目，及12項次要評估項目，提供企業進行個資檔案詳細風險評鑑之基礎，並可節省時間與成本。

關鍵字

個人資料保護；個資管理；風險評鑑

並列摘要

This study would explore the risk evaluation integration of information security and personal information files, and then explore the threat and vulnerability items for risk evaluation of personal information files. This study collected the threat and vulnerability items for information asset risk evaluation by literature analysis method. Through the expert interview and options collection for integration of information security and personal information files, and the suggestion of the threat and vulnerability items for personal information files risk evaluation, the result shows that enterprise should integrate the information security risk evaluation and personal information file risk evaluation to reduce the effort. If companies implement the “Personal Data Protection Reference Guide", the findings recommend to practice with detail risk evaluation method. This study also organized 38 threat and vulnerability items to reduce the loading of personal information file risk evaluation and to support the integration of risk evaluation for information security and personal information files.

並列關鍵字

Personal Data Protection ； Personal Information Management ； Risk Evaluation

參考文獻

[7] 余俊賢，2010，『因應個資法修正後電子商務業者之資料安全管理與稽核實務』，電腦稽核期刊22期。

[13] 祝亞琪、魏銪志、鄭皓陽，2011，『資訊安全風險評鑑方法比較』，電腦稽核期刊23期。

[16] 張碩毅、江佩姿，2011，『資訊安全風險評鑑機制之建構測試與實證─以教育體系為例』，電腦稽核期刊23期：58~77頁。

[17] 張碩毅、黃迺康、陳央庭、蘇仲杰，2012，『企業個人資料保護管理機制之建構與實證』，電腦稽核期刊25期：89~111頁。

[19] 陳志誠，2009，『資訊資產分類與風險評鑑之研究－以銀行業為例』，資訊管理學報，第十六卷．第三期：55~84頁。

國際替代計量

個人資料檔案風險評鑑威脅與弱點項目之研究

全文下載

主題瀏覽