本研究旨在整合資安風險評鑑與個資風險評鑑之作法，進而探討個資檔案於風險評鑑時，可以用以評估風險之威脅項目與對應之弱點項目。本研究以文獻分析法彙整資訊資產風險評鑑之威脅與弱點配對項目，再經二次專家訪談，蒐集專家對於資訊資產與個資風險評鑑之觀點，以及資訊資產威脅與弱點配對項目用於個資檔案風險評鑑之建議，進而得出適用於個資檔案風險評鑑之威脅與弱點項目。

研究結果發現，已導入資安管理系統ISMS的組織，可整合資訊資產風險評鑑與個資檔案風險評鑑，以一致的評估方式，減少風險評鑑重複執行。若導入「個人資料保護參考指引」之風險評鑑架構，可加入詳細風險評鑑方法，以配合企業原有ISMS之作法。本研究並由68個資訊資產威脅與弱點項目，彙整出38項主要個資檔案威脅與弱點評估項目，及12項次要評估項目，提供企業進行個資檔案詳細風險評鑑之基礎，並可節省時間與成本。

This study would explore the risk evaluation integration of information security and personal information files, and then explore the threat and vulnerability items for risk evaluation of personal information files. This study collected the threat and vulnerability items for information asset risk evaluation by literature analysis method. 

Through the expert interview and options collection for integration of information security and personal information files, and the suggestion of the threat and vulnerability items for personal information files risk evaluation, the result shows that enterprise should integrate the information security risk evaluation and personal information file risk evaluation to reduce the effort. If companies implement the “Personal Data Protection Reference Guide", the findings recommend to practice with detail risk evaluation method. This study also organized 38 threat and vulnerability items to reduce the loading of personal information file risk evaluation and to support the integration of risk evaluation for information security and personal information files.

目錄	IV
表目錄	VI
圖目錄	VII
第一章　緒論	1
1.1	研究背景與動機	1
1.2	研究目的	4
1.3	研究架構	5
第二章　文獻探討	6
2.1	個人資料風險評鑑作法探討	6
2.1.1	NIST SP800-122個人可識別資訊機密性保護指引	6
2.1.2	研考會個人資料保護參考指引風險評鑑作法	10
2.2	資訊資產風險評鑑作法探討	18
2.2.1	NIST SP800-30資訊科技系統風險管理指引	18
2.2.2	研考會資訊系統風險評鑑參考指引	21
2.3	綜整資訊資產及個資之風險評鑑作法探討	24
第三章　研究方法	26
3.1	研究方法與設計	26
3.2	研究流程	27
3.2.1	設計專家訪談議題	28
3.2.2	設計威脅弱點評估表	28
3.2.3	進行專家訪談	32
3.2.4	訪談結果分析	33
3.3	研究對象與範圍	34
第四章　研究結果與分析	36
4.1	風險評鑑作法專家訪談結果分析	36
4.2	個資檔案風險評鑑威脅與弱點項目訪談結果分析	39
4.2.1	第一次專家訪談結果	39
4.2.2	第二次專家訪談結果	49
4.3	專家訪談資料整理與分析	55
第五章　討論與建議	62
5.1	風險評鑑方法的差異	62
5.2	風險評鑑整合的考量	64
5.3	個人資料保護參考指引導入企業之調整	66
5.4	個人資料風險評鑑威脅與弱點項目之運用	67
5.5	威脅與弱點項目之資安管理建議	68
第六章　結論與限制	71
6.1	研究結論	71
6.2	研究限制與後續研究建議	73
參考文獻	74
附錄一、第一次專家訪談問卷	78
附錄二、第二次專家訪談問卷	83
附錄三、個資檔案風險評鑑威脅弱點評估表	88

表目錄
表 2-1 個資風險等級基準值建議表	12
表 3-1 威脅與弱點訪談項目(一)	29
表 3-2 本研究邀請受訪專家背景資料	34
表 4-1 風險評鑑經驗專家訪談結果彙整	36
表 4-2 第一次訪談一致勾選為適當之配對項目	39
表 4-3 建議修改項目	42
表 4-4 建議新增項目	43
表 4-5 威脅與弱點訪談項目(二)	44
表 4-6 主要威脅與弱點項目列表	49
表 4-7 次要威脅與弱點項目列表	53
表 4-8 對應多項威脅之弱點項目	55
表 4-9 威脅項目對應弱點項目數量統計表	56
表 4-10 配對平均數僅部分低於4之弱點項目	57
表 4-11 建議之主要威脅與弱點項目	58
表 4-12 建議之次要威脅與弱點項目	61
表 5-1 個資與資訊資產風險評鑑作法比較	63
表 5-2 個資與資訊資產風險評鑑差異比較	64
表 5-3 整合個資與資訊資產風險評鑑優缺點	65

圖目錄
圖 2-1 參考指引個資風險評鑑作法	17
圖 2-2 風險評鑑作法	23
圖 2-3 參考指引個資風險評鑑作法之調整	25
圖 3-1 研究流程	27
圖 5-1 參考指引個資風險評鑑作法之調整	67

[1]	行政院研究發展考核委員會，2009，『風險管理及危機處理作業手冊』。
[2]	行政院國家資通安全會報，2010，『資訊系統分類分級與鑑別機制參考手冊』。
[3]	行政院國家資通安全會報，2011，『個人資料保護參考指引』。
[4]	行政院國家資通安全會報，2011，『資訊系統風險評鑑參考指引』。
[5]	個人資料保護法，中華民國99年5月26日華總一義字第09900125121號總統令。
[6]	個人資料保護法施行細則，中華民國101年9月26日法務部法令字第10103107360號令。
[7]	余俊賢，2010，『因應個資法修正後電子商務業者之資料安全管理與稽核實務』，電腦稽核期刊22期。
[8]	吳啟文，2012，『個人資料保護法之衝擊與因應』，行政院研考會。
[9]	周韋杏，2010，『公務機關人事機構處理個人資料之研究-以2010年修正之個人資料保護法為中心』，東吳大學法律學系碩士論文。
[10]	林美月，2012，『組織落實個人資料保護法執行方案之研究』，高雄第一科技大學資訊管理研究所碩士論文。
[11]	林宸竹，2010，『一個考量符合性與風險資訊呈現之資訊安全風險管理系統』，國立臺灣科技大學資訊管理系碩士論文。
[12]	林淑儀，2014，『建構企業導入「臺灣個人資料保護與管理制度」環境之探討』，淡江大學資訊管理系碩士論文。
[13]	祝亞琪、魏銪志、鄭皓陽，2011，『資訊安全風險評鑑方法比較』，電腦稽核期刊23期。
[14]	張明森、陳志誠，2013，『從稽核觀點探討資訊系統對法令遵循之研究—以個人資料保護法為例』，TANET2013臺灣網際網路研討會論文集：564~570頁。
[15]	張書鳴，2011，『以BS 10012 為基礎評估組織導入個人資訊管理制度之研究』，淡江大學資訊管理學系碩士論文。
[16]	張碩毅、江佩姿，2011，『資訊安全風險評鑑機制之建構測試與實證─以教育體系為例』，電腦稽核期刊23期：58~77頁。
[17]	張碩毅、黃迺康、陳央庭、蘇仲杰，2012，『企業個人資料保護管理機制之建構與實證』，電腦稽核期刊25期：89~111頁。
[18]	莊景全，2012，『個資防護經驗分享－以ISMS架構為例』，政府機關資安監控與防護研討會。
[19]	陳志誠，2009，『資訊資產分類與風險評鑑之研究－以銀行業為例』，資訊管理學報，第十六卷．第三期：55~84頁。
[20]	黃小玲，2010，『個資法及ISO 27001共通性與操作概述』，清流月刊99年11月號。
[21]	黃彥棻，『新版ISO 27001：2013正式出爐，企業2015年適用新標準』，網址：http://www.ithome.com.tw/node/83807，上網日期：2014年12月22日。
[22]	鄒宛璉，2011，『以BS10012為基礎評估大專校院導入個人資訊管理制度之研究』，淡江大學資訊管理學系碩士論文。
[23]	廖佩君，『2012，掌握個資風險數量與成分是關鍵』，網址：http://www.informationsecurity.com.tw/article/article_print.aspx?aid=7210，上網日期：2012年11月21日。
[24]	廖健興、廖偉鵬、郭明煌等，2008，『建構資訊安全風險管理模式之個案研究』，2008知識社群與系統發展研討會。
[25]	劉佐國、李世德，2012，個人資料保護法釋義與實務，台北：碁峰資訊股份有限公司。
[26]	劉彥辰，2010，『論醫療資訊隱私之保護規範』，世新大學法律學研究所碩士論文。
[27]	樊國楨、黃健誠，2011，『個人資料保護與資訊安全管理初探』，電腦稽核期刊23期。
[28]	鄭伊雯，2012，『植基於ISO 27001建立符合BS 10012之個人資訊管理自我評鑑模式』，中原大學資訊管理系碩士論文。
[29]	Anderson, A. M. 1991. Comparing risk analysis methodologies. Proceedings of the IFIP TC11, Seventh International Conference on Information Security (IFIP/Sec '91),pp. 301-311.
[30]	Holden, M. C., and Wedman, J. F. 1993. "Future issues of computer-mediated communication: The results of a delphi study," Educational Technology Research and Development, vol. 41, pp. 5-24.
[31]	ISO. 2011. ISO/IEC 27005 - Information technology - Security techniques - Information security risk management.
[32]	ISO. 2013. ISO/IEC 27001 - Information technology - Security techniques - Information security management systems – Requirements.
[33]	ISO Survey 2013. http://www.iso.org/iso/iso-survey, accessed 2014/12/22 
[34]	McCallister, E., Grance, T., and Scarfone, K. 2010. Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), NIST Special Publication 800-122.