企業組織為求提高資訊安全及個人資料保護之管控措施，選擇導入管理制度ISO 27001(國際標準組織International Organization for Standardization, ISO)及BS 10012 (英國標準British Standard)等國際標準；導入制度時作業十分繁瑣，而風險評鑑是建立管理制度時必要的項目之一，若同時導入二種制度，風險評鑑作業即須執行二次，且花費重複的成本，故本研究將以政府A機關之個案，研究整合ISO 27001及BS 10012之風險評鑑方法論，以減少花費工作人時為目的。
本研究依照政府機關相關法令法規之要求事項，及CNS 27005、CNS 31000風險管理框架做為風險評鑑架構，以流程方式盤點資訊資產及個人資料檔案，並訂定符合資訊資產及個人資料檔案之衝擊及風險情境構面，做為整合ISO 27001及BS 10012風險評鑑之因子。研究發現政府A機關依照本研究導入整合風險評鑑方法論後，僅需執行一次風險評鑑作業，可減少約29%盤點及風險評鑑作業之工作人時及33%教育訓練之工作人時，進而減少企業組織之人工時成本。

In order to improve information security and personal data protection, business organizations have chosen to introduce ISO 27001 and BS 10012 management systems and other international standards. The introduction of these systems can be quite complicated, and risk assessment is one of the necessary items for establishing the management system. If two systems are introduced simultaneously, the risk assessment must be implemented twice, which will incur repeated costs. Therefore, this study investigated the integration of the risk assessment methods for ISO 27001 and BS 10012 based on the case study of government agency A, with the aim of reducing man-hour costs. 
With the requirements of relevant government laws and regulations and the risk management framework of CNS 27005 and CNS 31000 as the risk assessment architecture, this study made an inventory of the information assets and personal data files in the form of flow process, and stipulated the aspects of impact and risk scenario conforming to the information asset and personal data files to serve as the factors for integrating the ISO 27001 and BS 10012 risk assessments. This study found that government agency A only had to implement one risk assessment after introducing the integrated risk assessment methodology, which saved about 29% of inventory and risk assessment man-hours, and 33% of educational training man-hours, consequently decreasing the man-hour cost of the business organizations.

目次	IV
表目錄	VI
圖目錄	IX
第一章	緒論	1
第一節	研究背景與動機	1
第二節	研究目的	5
第三節	論文架構	6
第二章	文獻探討	7
第一節	資訊安全	7
第二節	個人資訊管理系統	11
第三節	風險評鑑	13
第四節	風險評鑑方法論	15
第三章	研究設計	18
第一節	研究方法	18
第二節	研究對象	19
第三節	研究流程	20
第四章	個案研究與分析	21
第一節	個案描述	21
第二節	導入ISMS及PIMS專案時程分析	23
第三節	分析ISMS及PIMS風險評鑑方法論	26
第四節	整合ISMS及PIMS風險評鑑方法論	46
第五節	研究發現	57
第六節	研究限制	59
第五章	結論與建議	60
第一節	結論	60
第二節	建議	61
參考文獻	62

表目錄

表1-1　淡江大學導入國際標準BS 10012之時程	2
表2-1　政府機關（構）資訊安全責任等級分級作業施行計畫之ISMS推動作業內容	8
表2-2　安全等級設定原則	10
表2-3　常見個人資料管理制度	12
表2-4　風險鑑別、風險分析及風險評估之定義	13
表2-5　資訊安全三項原則定義	14
表2-6　顧問公司導入ISMS風險值計算方式	16
表2-7　顧問C公司採用之「風險權值對照表」	17
表2-8　顧問公司導入PIMS風險值計算方式	17
表4-1　政府A機關背景一覽表	21
表4-2　政府A機關103年專案工作項目所需工作人時	23
表4-3　政府A機關執行盤點及風險評鑑作業所需工作人時	24
表4-4　政府A機關資訊資產清冊	27
表4-5　政府A機關各資訊資產評估標準	29
表4-6　政府A機關資產類別可能發生之風險	32
表4-7　各資產類別對應威脅及弱點項目	32
表4-8　依威脅等級對應表評估各事件之威脅等級	33
表4-9　依弱點等級對應表評估各事件之弱點等級	33
表4-10　以人事系統資料庫為例之威脅及弱點	34
表4-11　個人資料盤點清冊說明	37
表4-12　政府A機關個資盤點表以人事相關個人資料檔案為例	38
表4-13　個人資料檔案機密性評分標準	40
表4-14　個人資料組合機密等級評估標準	40
表4-15　個人資料檔案蒐集與保存之程度評估標準	41
表4-16　個人資料檔案處理及利用之範圍評估標準	41
表4-17　政府A機關現有控制措施管控程度表-電子檔	42
表4-18　政府A機關現有控制措施管控程度表-實體檔	43
表4-19　政府A機關個資風險評鑑表，以人事相關之個人資料檔案為例	44
表4-20　政府A機關整合資訊資產清冊及個資盤點表，以人事管理作業流程為例	48
表4-21　政府A機關整合風險評鑑方法論之衝擊分析表	51
表4-22　政府A機關整合風險評鑑方法論之衝擊分析表	52
表4-23　風險發生可能性評分標準	54
表4-24　政府A機關整合風險評鑑方法論之風險評估表	56
表4-25　整合前後執行盤點及風險評鑑作業所需工作人時	57
表4-26　整合ISMS及PIMS方法論前後執行教育訓練作業所需工作人時	58

圖目錄

圖3-1　研究流程圖	20
圖4-1　政府A機關導入制度之時程	22
圖4-2　ISMS資產盤點及風險評鑑架構	26
圖4-3　PIMS資產盤點及風險評鑑架構	36
圖4-4　整合盤點及風險評鑑方法架構	47

一、	中文文獻
1.	經濟部標準檢驗局，CNS 14929-3 X6046-3資訊技術－資訊技術安全管理指導綱要－第3部：資訊技術安全管理之技術，2005。
2.	黃書猛、張中權，風險評估模式應用於資訊安全管理之探討，醒吾學報第三十一期，2006。
3.	行政院研究發展考核委員會，風險管理及危機處理作業手冊，2009。
4.	行政院，政府機關（構）資訊安全責任等級分級作業施行計畫，2009。
5.	黃彥棻，行政院A級機關近9成通過ISO 27001資安認證，B級機關僅4成，2009年05月07日取自：
http://www.ithome.com.tw/node/54884。
6.	行政院國家資通安全會報，資訊系統分類分級與鑑別機制參考手冊，2010。
7.	行政院研究發展考核委員會，資訊系統風險評鑑參考指引，2010。
8.	江佩姿，資訊安全風險評鑑機制之建構與實證-以大專行政e化系統為例，國立中正大學會計與資訊科技研究所碩士論文，2010。
9.	廖珮君，避免多頭馬車管理 PIMS與ISMS踏上整合之路，2010年09月30日取自：
http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5910。
10.	行政院研究發展考核委員會，100年度國家資通安全技術服務與防護管理委外服務案個人資料保護參考指引，2011。
11.	林茹玉，個資安全防護實作建議，資訊安全通訊，2011。
12.	經濟部標準檢驗局，CNS 14889風險管理－詞彙，2012。
13.	經濟部標準檢驗局，CNS 31000風險管理－原則與指導綱要，2012。
14.	王宏仁，強化個資管理制度的3種標準，2012年10月25日取自：
http://www.ithome.com.tw/tech/88128
15.	經濟部標準檢驗局，CNS 27000資訊技術－安全技術－資訊安全管理系統－概觀及詞彙，2013。
16.	經濟部標準檢驗局，CNS 27005資訊技術－安全技術－資訊安全風險管理，2013。
17.	台灣檢驗科技股份有限公司(SGS)，標準動態-ISO/IEC 27001:2005 資訊安全管理系統改版分析，2013年4月5日取自：
http://www.sgs.com.tw/zh-TW/Local/Taiwan/News-and-Press-Releases/2013/04/The-Proof-April-2013-Article-1.aspx
18.	黃彥棻，新版ISO 27001：2013正式出爐，企業2015年適用新標準，2013年11月15日取自：http://www.ithome.com.tw/node/83807。
19.	經濟部標準檢驗局，CNS 27001資訊技術－安全技術－資訊安全管理系統－要求事項，2014。
20.	行政院，政府機關（構）資訊安全責任等級分級作業施行計畫，2015。
21.	杜恩君，BS 10012導入經驗之研究-以淡江大學為例，2015。

二、	英文文獻
22.	Asia-pacific economic cooperation (APEC), APEC privacy framework, 2005.
23.	British standards institution (BSI), BS 10012:2009, data protection – specification for a personal information management system, 2009.
24.	International organization for standardization (OECD), ISO/IEC 27001:2013, Information technology- security techniques- information security management systems- requirements, 2013.
25.	National institute of standards and technology (NIST), special publication 800-122, guide to protecting the confidentiality of personal identifiable information (PII), 2010.
26.	National institute of standards and technology (NIST), special publication 800-53, recommended security controls for federal information systems (Revision 2), 2007.
27.	Organization for economic cooperation and development (OECD), OECD guidelines on the protection of privacy and transborder flows of personal data, 1980.
28.	Robert K. Yin, case study research: design and methods, 1994.