資訊系統為現代企業的重要基礎建設與營運的核心，所以當我們都在探討它運作穩定性時，會不斷加入管理與技術層面的議題，其中大都以如何持續營運不中斷服務為首要目標。而近年來，資料保護議題的重視也成了企業組織最大需要著手改善的要點。就以醫院來論，不論是服務的中斷或組織資料外洩時，其對於民眾的生命健康或醫院形象，甚至於營運都可能會造成重大的影響。所以政府也針對了電腦化資訊基礎建設運作提出了一套資訊安全控制措施，對資訊系統等的相關核心業務的資訊安全與相關風險管理評鑑，也就是ISMS(Information Security Management System)。基於此，積極且正確的實行資訊安全風險管理將有效的降低各種資訊安全潛在威脅所造成的損失。本論文中，我們分析與歸納導入ISMS時風險管理運作所可能遭遇的主要問題，並設計與發展一套適合資訊安全管理系統之階層式資料保護風險管理系統。我們的方案可以實現ISMS建置時之風險管理與其評鑑風險值時，重要的風險資料能受到保護以便於分層負責以符合ISMS之風險管理之資料保護要求。