隨著時代的進步，人們越來越倚賴資訊帶來的便利，不論是政府、學校或是企業，都會用電腦輔助建立國民、學生或是客戶的個人資料檔。為了保護大眾的隱私權益，政府也於2010年三讀通過了「個人資料保護法」(或稱個資法)。
　　隨著「個人資料保護法」的實行，當個人資料外洩時，政府、企業如何達成個資法所要求之舉證責任，將是一個重要議題。
　　本研究特別針對數位鑑識之步驟和程序進行探討，找出適合應用於舉證責任的部分，並推導出一套適合的步驟供企業進行參考。也會利用ISO 15408(共同準則)，來加強公司系統安全性的探討。因為只有單方面的蒐證是不足夠的，還必須證明公司有盡到應盡之防護責任。

With the progress of the times, people are depended on the information to bring convenience day by day. Whether government, schools or businesses, will use computer to create and save national, students or customer's personal data files. In order to protect the privacy right of the public, the government also passed third reading of the "Personal Information Protection Act" in 2010.
　　With the "Personal Information Protection Act" in practice, when the leakage of personal information, it will be an important issue for the government and enterprises to burden of proof.
　　In this Research, particularly for digital forensics steps and procedures to explore, find the appropriate burden of proof. And deriving a suitable procedure for enterprise to reference.
　　Also use ISO 15408 (Common Criteria), to strengthen the company's system security. Because only unilateral gathering evidence is not enough, enterprise must prove that the company has the protection and fulfill responsibilities.

目錄
第一章、緒論	1
1.1.	研究背景與動機	1
1.2.	研究目的	2
1.3.	論文架構	2
第二章、文獻探討	4
2.1.	數位鑑識	4
2.2.	個人資料保護法	4
2.3.	ISO 15408	6
2.4.	資訊安全的風險	9
第三章、數位鑑識及共同準則應用於個人資料保護法	19
3.1.	數位鑑識蒐證過程	19
3.2.	數位鑑識應用於舉證責任	22
3.3.	共同準則應用於個人資料保護法	27
第四章、數位鑑識和共同準則應用	36
4.1.	準備開發的系統	37
4.2.	已經在線運行的系統或正在開發中的系統	41
第五章、結論	63
參考文獻	65

表目錄
表 1 新舊個資法之主要差異	5
表 2 資訊技術安全評估標準～安全評估等級	8
表 3 資訊安全弱點分析	10
表 4 資訊安全威脅與系統脆弱性	10
表 5 資訊安全威脅、來源、脆弱性與風險損失	10
表 6 脅利用弱點所造成的結果	11
表 7威脅來源的種類	12
表 8 威脅類別範例	12
表 9 宜特別注意之人為威脅的來源	13
表 10硬體、軟體與網路類別之脆弱點範例	15
表 11 人員、場域與組織類別之脆弱點範例	16
表 12 人為造成可能影響之威脅	17
表 13 技術性層面可能造成之威脅	18
表 14 可透過數位鑑識協助進行舉證之危脅	26
表 15 保證需求組件	39
表 16安全需求規格	51
表 17  TOE 威脅所需之安全目的基本理由	53
表 18安全目的所能阻擋威脅的基本理由	54
表 19安全需求理由	54
表 20會員登入系統已有之安全功能	60

圖目錄
圖 1 數位鑑識程序發生時間點	19
圖 2 數位鑑識蒐證過程	19
圖 3 安全環境、安全目的、安全需求及規格	30
圖 4 會員自行行使會員功能	42
圖 5 內部人員使用	42
圖 6 會員修改和使用會員資料之資料流	43
圖 7 內部員工修改會員資料之資料流	43

[1]戴燊，〈台灣企業資訊安全預防管理之現況、方法與趨勢〉，資訊安全通訊，Vol.19 No.1，頁75-81，中華民國資訊安全協會(CCISA)，2013。
[2]林育地，《採用LiveCD改善電腦蒐證品質與效率之研究》，碩士論文，淡江大學資訊管理學系碩士班，2008。
[3]王旭正、柯宏叡、楊誠育，〈網站入侵安全的證據存留鑑識探討〉，資訊安全通訊，卷期：8：4，頁89-102，中華民國資訊安全協會(CCISA) ，2002。
[4]劉佐國，〈我國個人資料隱私權益之保護－論“電腦處理個人資料保護法”之立法與修法過程〉，律師雜誌，307期，42-51頁，2005。
[5]李震山，〈電腦處理個人資料保護法之回顧與前瞻〉，國立中正大學法學集刊，14期，35-82頁，2004。
[6]楊麗珍，《以共同準則落實資訊確保之探討～以Ｓ壽險公司之「旅行平安險網路投保系統」為例》，碩士論文，淡江大學資訊管理學系碩士班，2006。
[7]郭戎晉，〈企業如何因應新版個人資料保護法〉，2010資策會電子商務中高階主管研習會，2010。
[8]林宜隆，〈建構數位證據鑑識標準作業程序（DEFSOP）與案例實證之研究〉，司法新聲，101期，50-74頁，2012。
[9]陳志誠、蔡旻峰，《電腦犯罪案件偵查中數位證據蒐證、鑑識之建議標準作業程序》，碩士論文，中央警察大學資訊管理研究所，2004。
[10]黃景彰、蘇清偉，《網路犯罪入侵案件之數位證據蒐證研究，碩士論文》，交通大學資訊管理學程碩士班，2002。
[11]鄭進興、吳豐乾，《基植於Windows系統的電腦鑑識工具之研究，碩士論文》，樹德科技大學資訊管理研究所，2004。
[12]鄭進興、林敬皇、沈志昌、林宜隆，〈電腦鑑識方法與程序之研究〉，台灣網際網路研討會，2003。
[13]林盈達、林柏青，〈資訊安全認證之測試與評比測試〉，交通大學網路測試中心，1999
[14]資訊技術－安全技術－資訊技術安全評估準則-第一部：簡介及一般模型，中華民國國家標準CNS，2004
[15]資訊技術－安全技術－資訊技術安全評估準則-第二部：安全功能需求，中華民國國家標準CNS，2004。
[16]資訊技術－安全技術－資訊技術安全評估準則-第三部：安全保證需求，中華民國國家標準CNS，2004。
[17]柴惠珍、姜國慶，〈無線網路資通安全探討〉，國防通資，第6期，2005
[18]劉暉，〈信息安全產品等級評估綜述〉，第三期，2005。
[19]樊國楨，〈資訊安全風險管理，行政院國科會科資中心，頁10-12，2002
[20]劉仲矩、王中北、蔡慶隆，《以腦力激盪法探索中小企業資訊安全問題之研究》，第七屆兩岸中華文化與經營管理學術研討會論文集，頁603-610，2004
[21]Donn B. Parker, “ Crime by computer”, New York : Charles Scribner's,1976
[22]Brian Carrier, and Eugene Spafford, “Getting Physical with the Digital Investigation Process,” International Journal of Digital Evidence, Issue 2, Vol. 2, 2003
[23]Eoghan Casey, “ Digital evidence and computer crime : forensic science, computers and the internet”, Third Edition, MA : Academic Press, 2011
[24]ISO，Common Criteria for Information Technology Security Evaluation， ISO/IEC 15408，Version 3.1，2012。
[25]全國法規資料庫，網址：http://law.moj.gov.tw/Index.aspx，上網日期：2012年10月24日
[26]法務部，個人資料保護法，網址：http://www.moj.gov.tw/lp.asp?ctNode=28007&CtUnit=805&BaseDSD=7&mp=001，上網日期：2012年10月24日
[27]iThome，網址：http://www.ithome.com.tw/，上網日期：2012年12月20日