植基於個資法以建置個資保護評鑑機制之研究－以學術單位為例

A Study on Construction of Personal Information Protection Mechanism with the Personal Information Protection Act－a Case Study of academic institution

鄭香貝(Hsiang-PeiCheng)；陳振楠(Jen-Nan Chen)；伍台國(Tai-Kuo Woo)；陳惟凡(Wei-Fan Chen)

個人資料保護法 ； ISO/IEC 27010 ； ISO/IEC 27001: 2005 ； Personal Data Protection Act ； ISO/IEC 27010 ； ISO / IEC 27001：2005

電腦稽核

33期（2016 / 01 / 30）

37 - 51

繁體中文

隨著資訊科技的進步，民眾藉由電腦網路與公務機關或非公務機關之事務往來日漸普及，在享受便利的同時，必須承擔個資外洩及不當利用的風險。這些帶有個人資料的服務，一旦安全保護措施不夠完善，容易造成個人隱私資料受到侵害。本研究將遵循個人資料保護法規範，並透過ISO/IEC 27010「組織與部門通訊資訊安全管理」及ISO/IEC 27001: 2005「資訊安全管理系統」建置個人資料隱私風險評鑑機制，以提供學術單位於個人資料保護參考。

With the advances in information technology. General public exchanges, through Internet Contact the growing popularity of the affairs of public agencies and non-government jobs. Enjoy these convenient at the same time, must assume a capital leakage and improper use of the risk. These services with personal information, as soon as the security control measures is not complete, likely to cause personal privacy information being infringed. In this study, follow the specifications of the new version of the Personal Data Protection Act and through the ISO/IEC 27010 ＂ Information technology－Security techniques－Information security management for inter-sector and inter-organizational communications＂ and ISO/IEC 27001: 2005 ＂ Information Security Management System＂ established the privacy of personal information and risk assessment mechanism, to provide the reference of the academic institutions in the personal data protection.

1. ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements.
2. 行政院法務部，2010，個人資料保護法， http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021。
3. 勤業眾信會計師事務所，2010，個資法衝擊下理企業對資安風險、管理道與稽核的因應之道，http://www.digitimes.com.tw/tw/B2B/Seminar/Service/download/0539906100/990610_02.pdf
4. 花俊傑，2010，個資蒐集、處理、利用之注意事項，http://jackforsec.blogspot.tw/2010/12/blog-post.html
5. 行政院法務部，1995，電腦處理個人資料保護法，http://www.sinica.edu.tw/as/law/anti-corru/computerpersonal-data-protection.html
6. ISO/IEC 27010:2012,Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications.
7. 行政院法務部，2012，電腦處理個人資料保護法施行細則， http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022
8. 行政院國家資通安全會報技術服務中心，2011，個人資料保護參考指引。
9. 行政院國家資通安全會報，2010，資訊系統分類分級與鑑別機制， http://www.nicst.nat.gov.tw/content/application/nicst/general/guest-cntbrowse.php?cnt_id=1892
10. Organization for Economic Cooperation and Development=OECD.OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.
11. 鄭伊雯(2012)。碩士論文(碩士論文)。中原大學資訊管理學系。