簡易檢索 / 詳目顯示

回結果列表
研究生: 吳喜琳
HSI-LIN WU
論文名稱: 以ISO 27001控制標準評估個人資料保護法的資訊安全管理
A Study on Evaluating Information Security Management Based on ISO 27001 for Personal Information Protection Act
指導教授: 余尚武
Shang-Wu Yu
口試委員: 盧瑞山
Ruei-Shan Lu
洪正煌
Cheng Huang Hung
學位類別: 碩士
Master
系所名稱: 管理學院 - 資訊管理系
Department of Information Management
論文出版年: 2011
畢業學年度: 99
語文別: 中文
論文頁數: 67
中文關鍵詞: ISO 27001、資訊安全、個人資料保護法
外文關鍵詞: ISO 27001、Information Security、Personal Inform
相關次數: 點閱:293下載:12
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報

    • 隨著近年來詐騙事件與外洩事件的頻傳,讓人了解到個人資料若不慎外流,可能會讓企業蒙受營業與商譽的損失。個人資料保護法已於2010 年4 月三讀通過,對於擁有眾多且龐大的客戶資料的金融業或服務業,如何確保客戶個人資料的安全,成為一個重要的議題。
    ISO 27001是一套資訊安全管理系統國際標準,目前也是台灣普遍認同的企業資安認證,透過PDCA的管理循環,將資訊安全管制流程標準化,訂定必要的控制項目與標準,藉以提升企業的資訊安全機密性(Confidentiality)、完整性(Integrity)、與可用性(Availability)目的。
    本研究先依據個人資料保護法的要求,分析企業個人資料作業環境,依「上到下的防護觀點(決策層)」、「外到內的防護觀點(技術層)」、「內到外的防護觀點(管理層) 」三個面向辨識其潛在風險,最後提出個人資料保護法符合性的量測檢核表,以因應新版個資法的規範的資訊安全管理建議。

    Looking at the cheated events and disclosed events nowadays, If the personal information disclosed accidently, it will suffer the enterprise of the business and goodwill. The Personal Information Protection Act has completed the Third Reading in April, 2010. Regarding to the financial industry or service industry that has the numerous and huge customer personal information. That becomes an important issue for all industries to “how to” ensure the security of the personal information.
    ISO 27001 is the international standard of information security management system. It is also accepted to take the security authentication by Taiwan enterprises. Follow PDCA management cycle, it standardizes Information security control flows. Finally, it needs to decide what the control standards and policies will be set up to conform ISO 27001 standard. So as to achieve the information security goals of the Confidentiality, Integrity and Availability.
    The research is base on The Personal Information Protection Act and analyzes the process environment. According to the Top-to-Down protection viewpoint (decision level),Outside-to-Inside protection viewpoint ( technical level), Inside-to-Outside protection viewpoint(management level) to recognize the potential risk. Finally, the proposed measurement of Personal Information Protection includes important controls which can be the information security management suggestion for financial industry or service industry.

    論文內容提要: I ABSTRACT II 誌 謝 III 目 錄 IV 圖目錄 VI 表目錄 VII 第1章 緒論 1 1.1 研究背景與動機 1 1.2 研究目的 2 1.3 研究流程 3 第2章 文獻探討 4 2.1 個人資料保護法 4 2.1.2 個人資料保護法與個資處理對映分析 7 2.2 ISO/IEC 27001簡介 16 第3章 研究架構與方法 21 3.1 研究架構 21 3.2 研究方法 22 第4章 個人資料的保護探討 23 4.1 個人資料的生命週期 23 4.2 企業個人資料監管環境分析 27 4.2.1 上到下的防護觀點(決策層) 28 4.2.2 外到內的防護觀點(技術層) 33 4.2.3 內到外的防護觀點(管理層) 39 4.3 個人資料保護法符合性的量測 44 第5章 結論與建議 48 5.1 研究結論 48 5.2 管理意涵 50 5.3 研究限制 50 5.4 後續研究建議 51 參考文獻 53 附錄 56 附錄一、資訊資產清冊 56 附錄二、安全區域控管機制 58 一、區域劃分屬性 58 二、區域存取規則 58 三、存取規則建議 59 附錄三、個人資料保護管理要點 61

    中文部分
    [1] 行政院法務部(2010),電腦處理個人資料保護法修正草案條文。
    [2] 黃荷婷(2010),於中華軟協資安暨隱私權委員會舉辦之「因應個資法與隱私保護」研討會。
    [3] 行政院研考會96年度「資安參考指引實務審查方法論」
    [4] 支付卡行業(PCI)的資料安全標準(DSS)與支付應用程式的資料安全標準(PCI-DSS)。
    [5] 資安人雜誌(2010),第70-71期。
    [6] 林益正(2010),資安保證與資料庫稽核。
    [7] 郭戎晉(2009),國際個人資料保護制度鳥瞰。
    [8] 魯君禮(2010),iThome,中小企業的個人資料保護之道。
    [9] 郭戎晉(2008),日本個人資料保護管理體系與隱私標章制度之初探。
    [10] 經濟部標準檢驗局(2005),ISO 27001:2005資訊安全管理系統要求。
    [11] 歐陽惠華(2007),ISO 27002與COBIT 4.1控制措施之對映分析,高雄師範大學資訊教育研究所碩士論文。
    [12] 管孟忠、宮志堅(2007),基於ARIS的ISO27001管理流程模式,開南大學專案管理研究所碩士論文。
    [13] 劉得為(2008),個人資料庫的隱私保護-以我國戶籍制度為例, 臺灣大學法律學研究所碩士論文。
    [14] 吳美鈴(2010),個人及公司企業之機敏電子資料保護與存取安全研究,中國文化大學資訊安全產業研發碩士專班碩士論文。
    [15] 張政權(2010),建構資料外洩防護檢核表之研究-以ISO/IEC 27001為基礎,華梵大學資訊管理學系碩士班碩士論文。
    [16] 章孝成(2009),補強COBIT控制要項以滿足ISO27001資安要求之研究,淡江大學資訊管理學系碩士在職專班碩士論文。
    [17] 古紀萱(2008),探討落實ISO 27001之基準-以個人資料安全為例,華梵大學資訊管理學系碩士班碩士論文。
    [18] 郭建麟(2009),探討組織如何落實ISO 27001-以資料外洩衍生危安事件之研究,崑山科技大學資訊管理學研究所碩士論文。
    [19] 鄧志偉(2007),企業資料安全機制導入之研究,國立高雄第一科技大學資訊管理系碩士論文。
    [20] 瞿鴻斌(2005),資訊安全風險評估驗證系統,世新大學資訊管理 系碩士學位論文。
    [21] 蔡敦仁(2000),資訊系統的安全管理與鑑識軌跡設計─基於MIB與資料庫之探討,中國文化大學資訊管理研究所碩士論文。
    [22] 於知慶(2005),論客戶資料在金融控股公司於共同行銷時應有之保護,國立台北大學法學系碩士論文。
    [23] 王振鴻(2009),全組織導入資訊安全管理系統的個案研究,長庚大學資訊管理研究所碩士論文。
    [24] 陳俊溢(2005),網際網路之犯罪型態-以間諜軟體為中心,東吳大學法律學系碩士論文。
    [25] 盧興義(2004),危機管理在資訊安全上之研究─以防範組織內部人員不當竊取為例,大葉大學事業經營研究所碩士論文。

    英文部分
    [1] BSI(2009),BS 10012:2009 Data protection –Specification for a personal information management system。
    [2] BSI(2005),ISO/IEC 27001:2005 - Information Technology -- Security Techniques -- Information Security Management Systems – Requirements。
    [3] George Lawton(2008),”New Technology Prevents Data Leakage”, Technology News, Vol.41, Issue 9。
    [4] E. Eugene Schultz,(2002) “A framework for Understanding and Predicting Insider Attacks”, Computers & Security, Vol. 21, Issue 6。

    網站部分
    [1] 資安人科技網,http://www.isecutech.com.tw/main/index.aspx
    [2] 法務部個人資料保護網,http://www.moj.gov.tw/ct.asp?xItem=212931&ctNode=28007&mp=001
    [3] Wikipedia,”Computer Security - Data Loss Prevention”, http://en.wikipedia.org/wiki/Data_Loss_Prevention
    [4] 國家資通安全會報技服中心,資安論壇與政府資安作業共通規範http://www.icst.org.tw/

    無法下載圖示
    全文公開日期 本全文未授權公開 (校外網路)
    全文公開日期 本全文未授權公開 (國家圖書館:臺灣博碩士論文系統)
    QR CODE