Please use this identifier to cite or link to this item: http://hdl.handle.net/11455/92914
標題: The Risk Assessment of Personal Information Management System in Taiwan
個人資料管理系統之風險評估以台灣為例
作者: 吳俞萱
Yu-Hsuan Wu
關鍵字: Personal Information Protection Act
BS 10012 Certification
Analytic Hierarchy Process
Personal Information Management System (PIMS)
個人資料保護法
BS 10012個人資料管理系統
風險管理
層次分析法
引用: 1.中文書目 工業局知識服務組 (2012),新舊法差異,經濟部工業局。取自: http://www.moeaidb.gov.tw/external/ctlr?PRO=information.InformationNewsView&id=13275 行政院法務部 (2010),個人資料保護法,行政院法務部。取自: http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021 行政院研究發展考核委員會 (2012),資訊安全業務內部控制制度共通性作業範例。取自: http://www.nicst.ey.gov.tw/Upload/RelFile/2419/699950/9bdeb2ea-984b-465d-9cf9-660eedf77b80.pdf 何星翰(2012),導入個資標準BS 10012 需補強在地化差異。資安人科技網。取自: http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7017#ixzz3dmBNU06k 何英煒(2014),驚! 去年全球外洩個資 逾8,500萬筆,中時電子報。取自: http://www.chinatimes.com/newspapers/20150318000142-260204 李震山 (2003),「電腦處理個人資料保護法」之回顧與前瞻,國立中正大學法學集刊,第14期,頁35-82。 林宜隆、周瑞國、蔡名家、邱泓傑 (2011),新版個人資料保護與資料外洩防護之探討,電腦稽核期刊,第24期,頁102-116。 法務部 (2010),個人資料保護法,全國法規資料庫。 邱伊翎(2008),OECD關於個人資料保護的八大原則。數位典藏與數位學習聯合目錄。取自: http://catalog.digitalarchives.tw/item/00/5e/27/96.html 范肇鈞(2010),【個資法專題系列之二】個人資料保護法的企業因應原則與BS 10012:2009國際標準,亞太企業e化服務網。取自: http://www.dsc.com.tw/newspaper/130/130-9.htm 國立雲林科技大學資訊中心,資訊安全與個人資料保護稽核作業計畫書,國立雲林科技大學。 國家資通安全會報技術服務中心(2010),資訊系統風險評鑑介紹,行政院國家資通安全會報技術服務中心。取自: https://icstwebstorage.blob.core.windows.net/attachfilehandout/2010091002.pdf 張碩毅、黃迺康、陳央庭、蘇仲杰 (2012),企業個人資料保護管理機制之建構與實證,電腦稽核期刊,第25期,頁89-111。 莊庭瑞 (2003),個人資料保護在台灣:誰的事務?,國家政策季刊,第2卷,第1期,頁53-70。 許旭昇,一日學會層級分析法(AHP)與網路層級分析法(ANP),Slideshare。取自: http://www.slideshare.net/beckett53/ahp-anp-37356013 曾國旭,資訊資產評估與風險評鑑,國立宜蘭大學圖書資訊館。取自: http://www.ilrc.edu.tw/data/1030305.pdf 黃明達、張書鳴 (2011),以BS 10012為基礎評估組織導入個人資訊管理制度之研究,電腦稽核期刊,第24期,頁11-28。 黃彥棻 (2010),學習英國個資保護標準 從根本做好個資保護,iThome Online。取自: http://www.ithome.com.tw/itadm/article.php?c=62797&s=1 黃彥棻 (2012),BS 10012提供企業因應新版個資法的具體作法,iThome Online。取自: http://www.ithome.com.tw/news/89680 楊姍姍(2013),影響教育機構導入BS 10012認證之關鍵因素,國立中興大學資訊管理系碩士班碩士論文。 廖君美、黃偉倫、許勇信(2012)。個人資料保護法上路──我們準備好了嗎?,財金資訊季刊,第71期,頁2-6。 廖鴻圖、范修維、邱孟佑、蕭麗齡、塵鴻斌 (2005),資訊安全風險評鑑驗誼系統,電子商務學報,第七卷第四期,頁395-414。 維基百科(2014),層級分析過程,維基百科。取自: https://zh.wikipedia.org/wiki/%E5%B1%82%E7%BA%A7%E5%88%86%E6%9E%90%E8%BF%87%E7%A8%8B 臺中市政府資訊中心,臺中市政府電腦設備安全及資訊機密維護管理要點,臺中市政府。取自: http://210.69.115.31/GLRSOUT/NewsContent.aspx?id=512 臺北市政府法務局,臺北市政府資訊安全管理規範,臺北市政府法務局。取自: http://www.laws.taipei.gov.tw/lawsystem/wfLaw_ArticleContent.aspx?LawID=P34E2004-20140320&RealID=34-05-2004 劉佐國 (2005),我國個人資料隱私權益之保護事由─論'電腦處理個人資料保護 法'之立法與修法過程,律師雜誌,第307期,頁42-51。 德國TÜV認證機構,個人資料保護管理系統PIMS專業管理師訓練課程,德國TÜV認證機構。 鄭伊雯 (2012),植基於ISO 27001建立符合BS 10012之個人資訊管理自我評鑑模式,中原大學資訊管理學系碩士學位論文。 魯明德 (2010),強化內部管理減少洩密事件,清流月刊。   2. 西文書目 BSI. (2009). BS 10012 Data Protection – Specification For A Personal Information Management System. British Standards Institute. Chang, S. I., Su, J. J., & Li, H. J. (2013, December). Risk Assessment Mechanism for Personal Information Operations--Case Study by Hospital. In Computational Science and Engineering (CSE), 2013 IEEE 16th International Conference, pp. 786-793. IEEE. Chen, J., Wu, G., Shen, L., & Ji, Z. (2011). Differentiated security levels for personal identifiable information in identity management system. Expert Systems with Applications, 38(11), pp.14156-14162 DataLossDB. (2012). Dataloss Incidents. DataLossDB. Retrieved from: http://datalossdb.org/ Dey, P. K. (2010). Managing project risk using combined analytic hierarchy process and risk map. Applied Soft Computing, 10(4), pp. 990-1000 Guan, B. C., Lo, C. C., Wang, P., & Hwang, J. S. (2003). Evaluation of information security related risks of an organization: the application of the multicriteria decision-making method. In Security Technology, 2003. Proceedings. International Carnahan Conference , pp. 168-175. IEEE. Hamidovic, H. (2012). Fundamental Concepts of IT Security Assurance. ISACA Journal, 2, pp.45. Humphreys, E. (2008). Information security management standards: Compliance, governance and risk management. information security technical report, 13(4), pp.247-255. ISO, E. (2011). IEC 27005: 2011 (EN) Information technology--Security techniques--Information security risk management Switzerland. ISO/IEC. ITRC. (2014).Data breach reports.ITRC Breach database. Retrieved from: http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf Saaty, R. W. (1987). The analytic hierarchy process—what it is and how it is used. Mathematical Modelling, 9(3), pp.161-176. Sendi, A. S., Jabbarifar, M., Shajari, M., & Dagenais, M. (2010). FEMRA: Fuzzy expert model for risk assessment. In Internet Monitoring and Protection (ICIMP), 2010 Fifth International Conference. IEEE. pp. 48-53. Syamsuddin, I., & Hwang, J. (2009). The Application of AHP Model to Guide Decision Makers: A Case Study of E-banking Security. In Computer Sciences and Convergence Information Technology, ICCIT'09. Fourth International Conference, pp. 1469-1473. IEEE. Young, L. (2010). BS 10012: 2009 Data Protection–Specification for a Personal Information Management System. Records Management Journal, 20(1). Zhao, D. M., Wang, J. H., & Ma, J. F. (2006, August). Fuzzy risk assessment of the network security. In Machine Learning and Cybernetics, 2006 International Conference. pp. 4400-4405. IEEE
摘要: Due to the rapid development of information technology and a wide range of e-commerce applications. The old Personal Information Protection Act in Taiwan, that has been unable to respond to current trend towards information security issues and protection of personal information, so there is the new version of Personal Information Protection Act arise. The new version of Personal Information Protection Act had passed in the Legislative Yuan on April, 2010, and formally implemented on October, 2012. In response to the new statute, all organizations are committed to build a complete and comprehensive Personal Information Management System. To avoid the risk of personal information being leaked out or deliberate theft, minimizing risks. Many companies have improved their security of information environment through BS10012, also use it to enhance the protection of personal information. Risk assessment is one of necessary process to planning a set of PIMS. At present, there are many of the standards relevant to risk assessment, but without any detail description of how to implement risk assessment. The protection of personal information is relatively new information security issues and less relevant research in this area, before the new version of Personal Information Protection Act enacted in 2012 and BS10012 promoted. Therefore, this study based on Analytic Hierarchy Process (AHP), distinguishing between asset class and the level of security threat. Coupling with the linked list to find the causal relationship among weakness threat. Further to propose a new risk assessment methods.
由於資訊科技的快速發展,與廣泛的電子商務應用,台灣舊版的個人資料保護法已無法因應現趨勢的資安議題與個資保護,因此有了新版個人資料保護法出現, 2010年4月在立法院三讀通過,於2012年10月正式實施,為因應新版個人資料保護法,所有企業組織都致力於建置一套完善全面的個人資料保護管理系統,為了將個人資料遭外洩或蓄意竊取、破壞的風險降到最低,因此許多企業藉由透過BS10012提高他們的資訊環境安全,以加強個人資料之保護。而其中,風險評估是規劃一套個人資料保護管理系統的必經過程之一,目前已有許多風險評估相關的的準則標準,但都沒有如何執行風險評估的詳細說明,且在於2012年新版個資法上路和BS10012的推動,個人資料保護為較新的資訊安全議題,較少相關的研究文獻,因此,本研究基於層次分析法針對資產等級、威脅的安全等級作區分後,再配合鏈結串列找出威脅弱點間的因果關係,以提出一套新的風險評估方法。
URI: http://hdl.handle.net/11455/92914
其他識別: U0005-1108201518144900
文章公開時間: 2018-08-13
Appears in Collections:資訊管理學系

文件中的檔案:

取得全文請前往華藝線上圖書館



Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.