Please use this identifier to cite or link to this item: http://hdl.handle.net/11455/92913
標題: Developing a Personal Information Inventory Tracking and Managing System
個人資料盤點之系統開發
作者: 曾令嫻
Ling-Hsien Tseng
關鍵字: PIMS
Information Law and Ethics
Digital Forensics
Personal Information Inventory Tracking
Risk Management
個人資訊管理系統
個人資料保護法
數位鑑識
個人資料盤點
風險管控
引用: 1. 中文部分 (1)圖書 吳仁和、林信惠 (2013),系統分析與設計: 理論與實務應用 (第 6 版),智勝文化事業有限公司。 胡蕙玲、狄宇昌 (2007),系統分析與設計,旗標出版股份有限公司,頁 1-7。 陳祥輝 (2008),資料庫系統理論與實務, 旗標出版股份有限公司。 蕭家捷、賴文智 (2013),個人資料保護法 Q&A,元照出版社,頁 3-6。 (2)期刊論文 尤英夫 (1997),新聞媒體與隱私權,現代國家與憲法-李鴻禧教授六秩華誕祝賀論文集,月旦出版,頁 759-761。 余俊賢 (2010), 後個資法時代之 LOG 安全稽核記錄管理,資安人雜誌。源自http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5812 (2014 年05 月 30 日)。 李震山 (2004),電腦處理個人資料保護法之回顧與前瞻,國立中正大學法學集刊,第 14 期,頁 35-82。 李興漢、劉漈浚 (2012),遵循個人資料保護法下之人力資源系統再造,電腦稽核 ,第 26 期,頁 121-138。 林宜隆、羅尹伶 (2012),『整合 ISO 27001 與 BS10012 於銀行業應用之探討,台灣網際網路研討會(TANet),教育部電算中心主辦。 邱映曦、劉敏慧、何寶中 (2013),我國個人資料保護法與個人資料管理制度,資訊安全通訊,第 19 卷第 1 期,頁 45-62。 范姜真媺 (2009),他律與自律共構之個人資料保護法制-以日本有關民間法制為主,東吳法律學報,第 20 卷第 1 期,頁 163-200。 翁清坤 (2010),論個人資料保護標準之全球化,東吳法律學報,第 22 卷第 1 期,頁 1-60。 張碩毅 、 黃迺康、陳央庭、 蘇仲杰 (2012) ,企業個人資料保護管理機制之建構與實證,電腦稽核 ,第 25 期,頁 89-111。 張曉芸 (2013),個人資料保護與事故應變機制,科技法律透析,第 25 卷第 11期,頁 10-14。 陳勇君、 黃淙澤、林宜隆 (2014) ,個人資料保護適法性三部曲之探討,電腦稽核,第 29 期,頁 39-48。 黃于珊 (2013),如何落實個人資料保護的安全措施,網路資訊雜誌,第 258期。 源自:http://news.networkmagazine.com.tw/magazine/2013/08/01/52884/ (2014 年02 月 20 日)。 黃小玲 (2010),個資法及 ISO 27001 共通性與操作概述,清流月刊。源自:http://www.mjib.gov.tw/cgi-bin/mojnbi?/d2/9911/4-1.htm (2014 年 03 月 15 日) 。 黃迺康 (2012),以個人資料保護法為基礎的企業隱私權保護管理機制之建構與實證,國立中正大學會計與資訊科技研究所碩士論文。 蔡蕙芳 (2014),教育機構適用個資法上「適當安全維護措施」義務之探討,教 育機構適用個資法之問題探討學術與實務研討會,頁 21-38。 鄭永基 (2011),隱私權和個人資料保護的介紹與歐美發展趨勢簡介,財金資訊 季刊,第 62 期。源自:http://www.fisc.com.tw/tc/knowledge/quarterly1.aspx?PKEY=ea685431-6453-468c-8f44-6fa25cdc9cd4 (2014 年 06 月 01 日)。 譚泉清 (2010),由「個資法」引申企業對資訊安全之認知,品質月刊,第 46 期,頁 30-33。 (3)網路資源 (2013),台灣 Nokia 行銷網站被駭,150 萬個資可能外洩, iThome iThome Online。源自:http://www.ithome.com.tw/node/78903 (2014 年 04 月 14 日)。 中華民國資訊軟體協會個人資料保護服務網 (2013),個資保護生命週期,中華民國資訊軟體協會。 源自 :http://www.privacyprotect.org.tw/web/index.aspx(2014 年 6 月 14 日)。 法務部個人資料保護 (2006),電腦處理個人資料保護法修正草案總說明(行政院 版),法務部。源自: http://www.moj.gov.tw/public/Attachment/622116374334.pdf(2014 年 03 月 01 日)。 法務部個人資料保護(2007),APEC隱私保護綱領,法務部 。 源自:http://www.moj.gov.tw/ct.asp?xItem=79529&ctNode=28007&mp=001 (2014 年 03 月01 日)。 資安人科技網 (2013) 駭客鎖定團購個資 竊取網路授權資料 資安人科技網。源自:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7529#ixzz35jL3Gchn(2014 年 01 月 20 日) 。 廖珮君 (2012),個資法爭議不斷 成立專責機構才是根本解決之道,資安人科技網。源自 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6745。: (2014 年 01 月 11 日)。 蘋果日報(2014),18購物網洩個資詐9千萬,蘋果日報。源自: http://www.appledaily.com.tw/appledaily/article/headline/20140206/35623189/ (2014 年 02 月 18 日)。 2. 西文部分 (1)圖書 BS 10012:2009 (2009), 'Data protection-Specification for a personal information management system', British Standards Institute. ISO 27001: 2005(2005), 'Information technology-Security techniques – Information security management systems - Requirements', International Organization for Standardization. L. Feiler (2011), 'Information Security Law in the EU and the U.S.: A Risk-Based Assessment of Regulatory Policies', Springer Publishing Company. Shelly, G. B., Cashman, T. J. and Rosenblatt, H.J.(2013), 'Systems Analysis and Design', 9th ed. Course Technology, Boston, MA. Whitten, J. L., & Bentley, L. D. (2008), 'Introduction to systems analysis and design', McGraw-Hill Irwin. (2)期刊論文 Allen, A. L. (1998), 'Coercing privacy', William and Mary Law Review, Vol. 40, pp.723-724. Allen, A. L. (1999), 'Privacy-as-data control: Conceptual, practical, and moral limits of the paradigm', Connecticut Law Review, Vol. 32, pp.861-865. Fried, C. (1968), ' Privacy', The Yale Law Journal, Vol. 77, No. 3, pp. 482. Royce, W. W. (1970), 'Managing the development of large software systems' , Proc. IEEE WESCON , Vol. 26, No. 8, pp. 328-338. Warren, S. D., & Brandeis, L. D. (1890), 'The right to privacy', Harvard law review, pp.193-220. (3)網路資源 Brian Krebs (2013), 'Sources: Target Investigating Data Breach', Krebs on Security. http://krebsonsecurity.com/2013/12/sources-target-investigating-data-breach/. . Accessed 15/04/2014. CNN(2014), 'EBay customers must reset passwords after major hack' , http://money.cnn.com/2014/05/21/technology/security/ebay-passwords/. 25/05/2014. ISO Survey (2012). 'ISO Survey 2012', International Organization for Accessed Standardization. http://www.iso.org/iso/iso-survey. Accessed 02/05/2014. Steve Ragan(2013), 'Stolen Adobe account data goes public, Photoshop source code breached', IDG Communications.http://www.cso.com.au/article/530385/stolen_adobe_account_data_ goes_public_photoshop_source_code_breached/. Accessed 30/04/2014. Symantec (2014), Internet Security Threat Report 2014, Symantec Corporation.http://www.symantec.com/security_response/publications/thre atreport.jsp. Accessed 02/05/2014.
摘要: The formation of the research problems comes from the current social conditions and reflects to the response of the law. Cases of personal information leakage are expanding at high speed yearly, causing huge losses in people's property and rights. How to protect personal information to meet the coming of the era of personal information globalization and to create a safe, reliable information environment are undoubtedly two of the most studied issues. 'Personal information Protection Law' in Taiwan was enforced in October 1st 2012, and it also referred to the law in developed countries with modifying and expanding the scale to all industries, organizations and people so to enhance law responsibility of companies and law violators; the impact was magnificent. Therefore, as for personal information protection, organizations can follow ISO 27001:2005 and BS 10012:2009 PDCA (Plan-Do-Check-Act) Models to create Personal Information Management System (PIMS). Constructing a PIMS is now the goal for organizations in Taiwan eagerly to promote, so organizations should take it as a top priority to reach 'Personal information Inventory Tracking' of PIMS. However, the organization has personal information, including paper, member login systems, database, a variety of system characteristics, and etc…This study through developing a 'Personal information Inventory Tracking and Managing System' help organizations control personal information type and data flow effectively. Using a computer system to control personal information life cycle not only can lower burdens of data owners, but also help managers understand personal information distribution inside the organizations while making choices or decisions, such as tracking personal information incidents in the future for precaution and correction, judicial evidence, or internal investigation. Besides, by combining personal information inventory tracking and risk analyzation, organizations can use this system in cooperation with other risk management tools to manage risks. Organizations can also follow the system procedure as a personal information control standard in the future to help in accord with the international standards to obey the Personal information Protection Law of Taiwan in the perspectives of system design, management and operation procedures. Effectiveness of this system will remain to be measured and evaluated in the future.
隨著我國新版個人資料保護法正式施行,與國際標準 ISO27001:2005 和 BS10012:2011 的發展,如何適當且安全的保存個人資料為近年來國內積極研究的課題,尤其民眾個人自主意識高漲與資訊網路散播的快速,企業或組織一旦有個資外洩或資安事件發生,所造成的商譽形象和損害賠償將使企業或組織面臨重大的損失,因此企業或組織如何因應資訊科技所帶來的負面現象?尤其個人資料涉及影響隱私權甚鉅,如何避免自身個人資料受到不當的蒐集、處理與利用,此乃為問題的開端,依據 ISO27001:2005 和 BS 10012:2011 之規定,企業或組織可應用「計劃-執行-檢查-行動」(Plan-Do-Check-Act, PDCA)的循環,建立個人資訊管理系統(Personal Information Management System, PIMS),PIMS 提供一個架構,作為整體資訊治理基礎設施的一部分,讓企業或組織能維持和改善對個資保護相關法令及優良實務的遵循。 在個人資料管理規劃後,最重要執行的第一個階段就是「個人資料盤點」,建立個人資料清冊,並可藉由盤點執行風險評估作業,確認企業或組織個資管理的各步驟。因此,「個人資料盤點」在 PIMS 的建構中佔了舉足輕重的地位,企業或組織應將「個人資料盤點」列為首要作業流程。然而,企業或組織所擁有的個人資料,包含紙本、會員登入系統、資料庫、各類型系統等多種特性均不相同,因此如何透過開發「個人資料盤點系統」達到系統化、類型化、多樣化等,可讓企業或組織有效控管個人資料的種類與流向,個人資料生命周期的電腦化,減輕個資擁有者的負擔,讓企業或組織的管理者清楚明瞭個人資料在組織內部的分布情況作為選擇或決策之用,以作為企業或組織後續進行個人資料控管標準的依據,對於發生個資事件的追蹤、矯正預防措施、司法證據、行政檢查與風險控管提供足夠的輔佐資料。 此外,以個人資料盤點結合風險分析,讓企業或組織得以透過系統配合其他風險管理工具進行風險管理,並可藉由「個人資料盤點系統」落實個人資料保護管理目標,進一步可通過相關認證,有助於提升客戶信賴感與企業形象,落實消費者權益與個人自主權的保障。資訊科技的發展與運用,如何將個人資料的蒐集、處理與利用達到完整的控管防護,應從「個人資料盤點系統」開始,從資訊系統設計層面、管理層面、作業流程層面等配套方法在個人資料保障上,可相互運用以達到個人資料保護管理目標。 本研究嘗試建構「個人資料盤點系統」供企業或組織參考運用,可依照企業或組織的需求與業務屬性不同而自行調整,達到符合國際標準與國內適法性之要求,就「個人資料盤點系統」的有效性量測,有待日後實務經驗累積與研究的驗證。
URI: http://hdl.handle.net/11455/92913
其他識別: U0005-0406201516251300
文章公開時間: 10000-01-01
Appears in Collections:資訊管理學系

文件中的檔案:

取得全文請前往華藝線上圖書館



Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.