ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例 - 政大學術集成

全文

(1)國立政治大學資訊科學系 Department of Computer Science National Chengchi University 碩士論文 Master’s Thesis. 立. 政治大. ISMS與PIMS整合導入之研究. ‧ 國. 學. -以國防部全球資訊網站系統為例. ‧. n. er. io. sit. y. Nat. Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C al v i n Ch engchi U 研究生：孫天貴指導教授：左瑞麟. 中華民國一○四年七月 July 2015.

(2) 摘要隨著資訊科技的蓬勃發展，資訊技術可以提昇組織效率與競爭力，資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生，資訊犯罪手法不斷翻新，所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮，對單位或公司而言風險不斷提高，傷害亦相對嚴重，甚至導致公司信譽破產，面臨倒閉威脅，為保護組織內部資訊相關資產與個人資料，並保持組織持續正常運作，資訊安全管理系統（ISMS）與個人資訊管理系統 (PIMS). 治政大工作負荷，有疊床架屋情形，成本有部分重複投資現象。本研究試著以資料的生立. 便是一套可有效控制管理之方法；ISMS 與 PIMS 分兩次來導入，造成組織增加. 命週期，資訊安全的機密性、完整性、可用性，PDCA 運作模型...等角度進行本. ‧ 國. 學. 質上探討，來進行整合 ISMS 與 PIMS 的整合工作。. ‧. 經文獻探討與專家學者建議，本研究突破各項盲點，從各角度分析進行多面. y. Nat. 向整合工作，並提出 4 點可有效整合具體作法：1. 清查作業流程須包含個人資. er. io. sit. 料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立 ISMS 與 PIMS 四階文件，產出 ISO27001 適用. n. al. 性聲明須包含個資法。. Ch. engchi. i n U. v. 本研究以國防部網站系統為例，運用整合結果進行實作，將實作經驗分享給未來有意導入 ISMS 與 PIMS 之 IT 人員，實作結果也證實本研究提出論點確實有效，更有效且更有邏輯性的面對各種資安與個資問題，以作業流程面來分析資安與個資，讓每個控制點更加明確，最後實作運用以各國均能接受的 ISO 標準(ISO 27001 標準包含個資管理流程)來驗證本實作，也證明本研究整合後，在實施（Plan-Do-Check-Act）管理系統確實有效，均能符合相關標準與法規。關鍵詞: 資訊安全管理系統(ISMS)、個人資料管理系統(PIMS)、MSS、個人資料保護法、ISO27001、TPIPAS、BS10012。 i.

(3) Abstract With the rapid development of information technology. information technology can enhance the organization efficiency and competitiveness.information system or website is also an important lifeline organizational operations. In recent years, the global information security incidents continue to occur. Ever-changing information modus operandi, the system damage, data corruption, personal information leakage, financial fraud recent events is endless.The unit or risk. 政治大 company's reputation bankruptcy, faces closure threat within the organization for the 立. companies continue to improve. Also relatively serious injury, and even lead to the. protection of personal data and information-related assets, and continued to maintain. ‧ 國. 學. the normal operation of the organization. Information Security Management System. ‧. (ISMS) and Personal Information Management System (PIMS) is a set of methods to. sit. y. Nat. effectively control management; ISMS and PIMS to import twice, increases the. io. er. workload, there are needless repetition circumstances, the cost of some duplication of investment phenomenon. The study tried to lifecycle data, information security. al. n. v i n C h PDCA operating availability, model engchi U. confidentiality, integrity,. ... were essentially. discussed perspectives to integrate the work of integrating ISMS and PIMS. Through literature review and experts suggested that the research breakthroughs of the blind spots, multi-oriented integration from each perspective, and gives four specific practice can be effectively integrated: 1. Inventory workflow process must include the extension of the personal data. 2.Perform the work flow of information assets and personal information checking operations. 3. Information assets and personal information, risk evaluation operations. ii.

(4) 4. Establish ISMS and PIMS four level documents structure, output ISO27001 applicability statement shall contain a personal information protection act. In this study, the Department of Defense Web site system, for example, the use of integrated solid results for the real experience sharing as the future intention to import ISMS with PIMS of IT staff, implement the results of this study also confirmed that the arguments put forward truly effective, more efficient and more logic in the face of a variety of information security and a financing problem to surface to analyze processes of information security and a funded, so that each control point more clearly,. 政治大 standard including Personal Information Protection Management Processes) to verify 立 and finally apply to countries implement acceptable to ISO standard (ISO 27001. implement,. also. proved. this. study,. integration,. implementation. 學. ‧ 國. this. (Plan-Do-Check-Act) management system really works, can meet the relevant. ‧. standards and regulations.. sit. y. Nat. Keywords: Information Security Management System (ISMS), personal information. io. al. n. BS10012.. er. management system (PIMS), MSS, Personal Data Protection Act, ISO27001, TPIPAS,. Ch. engchi. iii. i n U. v.

(5) 誌謝在政治大學求學過程中，回想這四年光陰，幾乎是擠出時間過日子，不管在工作上的磨練、學業上的考驗、家庭上的照顧，讓我分身乏術，要當個好的部屬、好的老公、好的爸爸，實在不容易；在此特別感謝左瑞麟老師在我工作上與家庭上的體諒，學業上諸多的指導，讓我順利完成碩士學業。也感謝我的老婆，在這期間生下一女一子可愛的寶寶，以及學業上的督促；「說到作到」是我一貫的作風，答應妳的事，我從沒忘記，未來日子裡，我會更. 政治大. 珍惜人生每個時光；也感謝我的家人，無時無刻給我打氣，幫我照顧小孩，讓我有時間可以專心於學業。. 立. 最後，感謝嘉義大學王智弘老師、長庚大學許建隆老師、致理技術學院呂崇. ‧ 國. 學. 富老師、華夏科技大學蔡國裕老師給予學術上指導，以及最佳化企管顧問有限公. ‧. 司何銘燁顧問給予實務上之協助，感謝所有在學習期間曾經協助我的同學、朋友、. y. Nat. 家人、同事，還有上天，謹致上個人最高的謝意!. er. io. sit. 未來的日子，我會致力於將所學貢獻於社會，幫助人群，不斷學習，並將我的座右銘時時警惕「待有餘而濟人，必無濟人之日；待有暇而讀書，必無讀書之. n. al. Ch. 時」，知難行易一步一步去完成。. engchi. iv. i n U. v. 孫天貴謹致.

(6) 目錄. 1.1.. 研究背景 ........................................................................................... 1. 1.2.. 研究動機 ........................................................................................... 8. 1.3.. 研究目的 ........................................................................................... 9. 1.4.. 研究範圍與限制 ............................................................................... 9. 1.5.. 論文架構 ......................................................................................... 10. 2.6.. ISO27005 風險評鑑 ....................................................................... 38 小結 ................................................................................................. 43. io. ISMS 與 PIMS 整合導入之研究 ............................................................... 44. al. v i n 專家認同整合可行性與建議 ......................................................... 44 Ch engchi U n. 3.1. 3.2.. 4.. 新版 ISO 27001:2013 國際標準 .................................................... 33. Nat. 2.5.. 新版管理系統標準-MSS................................................................ 31. ‧. 2.4.. 學. 2.3.. 個資保護管理系統-PIMS .............................................................. 15. y. 2.2.. sit. 2.1.. 3.. 政治大資訊安全管理系統-ISMS .............................................................. 12 立. 文獻探討 ..................................................................................................... 12. er. 2.. 緒論 ............................................................................................................... 1. ‧ 國. 1.. 各角度探討整合可行性 ................................................................. 46. 3.3.. 進行多面向整合工作 ..................................................................... 50. 3.4.. 整合後有效具體作法 ..................................................................... 81. 3.5.. 小結 ................................................................................................. 86. 個案網站系統 ISMS 與 PIMS 整合導入實作 .......................................... 87 4.1.. 網站系統導入目標 ......................................................................... 87. 4.2.. 成立資安暨個資保護導入專案組織 ............................................. 88. 4.3.. 期程與範圍 ..................................................................................... 89 v.

(7) 資安需求分析與文件建立 ............................................................. 90. 4.5.. 作業流程檢視 ................................................................................. 93. 4.6.. 作業流程中資訊資產清查與個資盤點 ......................................... 93. 4.7.. 進行資訊資產與個資風險評鑑作業 ............................................. 96. 4.8.. 產製風險評鑑報告及四階文件 ................................................... 102. 4.9.. 進行持續營運演練 ....................................................................... 102. 4.10.. 內部稽核與管理審查 ................................................................... 103. 4.11.. 接受外部稽核 ............................................................................... 104. 政治大. 結論與貢獻 ............................................................................................... 106. 立. 學 ‧. ‧ 國 io. sit. y. Nat. n. al. er. 5.. 4.4.. Ch. engchi. vi. i n U. v.

(8) 表目錄表 2-1：BS 10012 標準條文彙整 ............................................................. 18 表 2-2：TPIPAS 管理制度條文彙整表 .................................................... 21 表 2-3：ISO 27001:2005 與 ISO 27001:2013 比較表 ............................... 34 表 2-4：ISO 27001 標準條文彙整 ............................................................ 35 表 2-5：機密性，完整性，可用性評價參照 ........................................... 39 表 2-6：威脅等級評價表 ........................................................................... 40 表 2-7：脆弱點等級評價表 ....................................................................... 40. 政治大 ........................... 51 表 3-1：資訊資產機密性，完整性，可用性評價參照立表 2-8：衝擊等級評價表 ........................................................................... 41. ‧ 國. 學. 表 3-2：個人資料機密性，完整性，可用性評價參照 ........................... 52 表 3-3：個資法必要措施、個資法、ISO27001、BS10012 對映關係 ... 53. ‧. 表 3-4：整合後 ISO27001 適用性聲明 .................................................... 61. sit. y. Nat. 表 3-5：整合後個人資料保護法適用性聲明 ........................................... 73. al. er. io. 表 3-6：整合後風險評鑑前資訊資產與個人資料盤點參考表 ............... 83. v. n. 表 3-7：作業流程個人資料流向分析表 ................................................... 84. Ch. engchi. i n U. 表 3-8：整合後風險評鑑風險分析表 ....................................................... 85 表 4-1：四階文件體系概要範例參考表 ................................................... 91 表 4-2：作業流程分析參考表 ................................................................... 94 表 4-3：涉及個資作業流程分析參考表 ................................................... 95 表 4-4：資安風險評鑑分析參考表 ........................................................... 96 表 4-5：個資風險評鑑分析參考表 ........................................................... 97 表 4-6：本專案針對資安高風險項目 ....................................................... 98 表 4-7：本專案針對個資高風險項目 ....................................................... 99. vii.

(9) 圖目錄圖 1-1：國防部網站系統畫面 ..................................................................... 1 圖 1-2：全球駭客即時攻防狀況 ................................................................. 2 圖 1-3：2012 年 12 月 27 日新聞報導 ........................................................ 3 圖 1-4：2015 年 5 月 29 日新聞報導 .......................................................... 4 圖 1-5：2015 年 6 月 2 日 IThome 新聞 ..................................................... 5 圖 1-6：2015 年 6 月 10 日自由時報新聞 .................................................. 6 圖 1-7：2015 年 7 月 11 日中廣新聞 .......................................................... 7. 政治大圖 1-9：本研究方法論立 ............................................................................... 11 圖 1-8：本研究步驟 ................................................................................... 10. ‧ 國. 學. 圖 2-1：PDCA 過程模式運用於資訊安全管理系統 ............................... 14 圖 2-2：PDCA 過程模式運用於個人資訊管理系統 ............................... 16. ‧. 圖 2-3：根基於過程導向之管理系統的紀錄模型 ................................... 32. sit. y. Nat. 圖 2-4：ISO 27001:2013 控制領域............................................................ 36. al. er. io. 圖 2-5：ISO 27001:2013 架構.................................................................... 37. v. n. 圖 2-6：風險程度關係圖 ........................................................................... 38. Ch. engchi. i n U. 圖 2-7：資訊安全三層概念圖 ................................................................... 43 圖 3-1：資訊作業管理流程資料生命週期 ............................................... 47 圖 3-2：個人資料管理流程個資生命週期 ............................................... 48 圖 3-3：運用新版 MSS 整合 ISMS 與 PIMS 模型 ................................. 50 圖 3-4：ISO 27001:2013 包含個資法控制領域........................................ 61 圖 3-5：作業流程點線面分析圖 ............................................................... 81 圖 3-6：整合後風險評鑑前資訊資產與個人資料盤點作業流程圖 ....... 82 圖 4-1：本實作專案編組人員架構圖 ....................................................... 88 圖 4-2：本實作專案工作期程管制圖 ....................................................... 89 viii.

(10) 圖 4-3：四階文件概念圖 ........................................................................... 90 圖 4-4：文件製作參考範例圖 ................................................................... 92 圖 4-5：作業流程分析順序圖 ................................................................... 94 圖 4-6：導入前網路架構圖 ..................................................................... 100 圖 4-7：導入後網路架構圖 ..................................................................... 101 圖 4-8：通過驗證國際 ISO 證書 ............................................................. 105 圖 5-1：網站個資保護獲國際標準 ISO 認證 ......................................... 107. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. ix. i n U. v.

(11) 1.. 緒論. 1.1. 研究背景 1.1.1. 網站系統面臨的資安問題網站系統是公司營運重要命脈，是對外服務或行銷重要的窗口，但近年來資安事件不斷發生，如南韓所遭遇的大規模病毒攻擊 (癱瘓將近 3 萬 2 千台電腦)、個資外洩 (Sony. 政治大. PSN, LinkedIn, Dropbox, Evernote…等)、關鍵網路機房因電力中斷導致全臺對外網路服. 立. 務遭受到嚴重影響、菲律賓對台政府機關發動一連串的網路攻擊…等事故，均對政府機. ‧ 國. 學. 關或企業組織的網站系統營運造成了重大的衝擊(本單位網站系統如圖 1-1 所示)。由於資訊犯罪手法不斷翻新，資訊安全的威脅與過去相比不管在議題的複雜性、管. ‧. 理的難度及範圍的涵蓋面上已經產生了不小的轉變，如: 網路安全 (Cyber security)、智. sit. y. Nat. 慧型設備所衍生的 BYOD (Bring Your Own Device)，社群媒體 (Social Media)、巨量資. n. al. er. io. 料 (Big Data)、雲端 (Cloud)、進階持續性威脅(Advanced Persistent Threat，APT)、個資防護的安全管理等都是不小的挑戰。. Ch. engchi. i n U. v. 網站系統所遭受的系統損害、資料毀損、個資外洩、財務詐騙事件，對單位或公司而言，威脅逐年增加，稍有不慎可嚴重影響公司信譽，甚至面臨倒閉威脅。. 圖 1-1：國防部網站系統畫面 1.

(12) 從圖 1-2 可以看的到，全球駭客攻擊從不間斷，駭客攻擊手法也不斷翻新，身為網站系統管理人員要如何因應這些問題呢?實在是非常難處理的議題。面對這些駭客攻擊的手法日新月異，倘若與其進行軍備競賽，逐年採購新型高階防禦資安設備，似乎不是一個較好的解決之道；或者運用好幾道資安防護機制，如進入網站需進行圖像驗證，再來進行密碼驗證，再來進行憑證驗證…等眾多資安防護手段，讓民眾或使用者非常不便利；或者消極的面對這些資安事件，等出事再來改進；在此，本研究提出：分配適當的資源進行風險管控，會是大多公司或企業所願意接受的想法。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 1-2：全球駭客即時攻防狀況資料來源：http://map.ipviking.com. 然而資訊安全的威脅，不單只是外部威脅(如天然災害、駭客病毒、明文傳輸、連線欺騙…等)，資安事件發生往往內部問題(系統弱點、員工操作不當、内部人員惡意操作、內部網路管理不善、協力廠商問題…等)佔大多比率。本研究試想有沒有一套方法或管理作法可以全方面進行這些工作，解決眾多資安問 2.

(13) 題，研究過程中發現，現今各政府部門及公司為達成資訊安全的目標，藉由導入「資訊安全管理系統」（ Information Security Management System，ISMS），可點線面全方位檢視所有資訊環境，了解自身弱點與威脅，強化資安管理流程，依標準作業程序使用資訊工具，達到良善的資訊及資安管理目的。 1.1.2. 個資法的實施造成的衝擊但是身為網站管理人員，只要把網站管理好就好了嗎?自從個資法三讀通過實施後，時有所聞某網站或系統因管理不當或駭客入侵造成大量個資外洩，如圖 1-3 所示，2012. 治政年 12 月 27 日新聞報導，屏東縣政府網站因管理不當，公布民眾個人資料在網站上，未大立符合個資法要求，遭提出告訴賠償 200 萬元，是本國個資法實施後挨告的首例。 ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 1-3：2012 年 12 月 27 日新聞報導資料來源：民視新聞. 3.

(14) 如圖 1-4 所示，2015 年 5 月 29 日新聞報導，丹堤咖啡網站因駭客入侵，造成 5000 筆會員個資外洩，該公司是將網站委託其他資訊公司代管，然而委外公司未將資訊安全作好，造成公司聲譽損失，是公司與委外資訊廠商雙輸的局面。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. i n U. v. 圖 1-4：2015 年 5 月 29 日新聞報導. engchi. 資料來源：民視新聞. 4.

(15) 如圖 1-5 所示，2015 年 6 月 2 日新聞報導，日本國民年金機構遭駭客社交工程手法，內部員工開啟有毒電子郵件，導致 125 萬筆大量個資外洩。由本新聞顯示個資保護，不單只是網站系統或資料庫，內部員工的行為也佔很大的因素，所以要做好個資保護，需要資訊安全的協助才行。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 1-5：2015 年 6 月 2 日 IThome 新聞資料來源：http://www.ithome.com.tw/news/96364. 5.

(16) 如圖 1-6 所示， 2015 年 6 月 10 日新聞報導，永豐銀行因人員操作錯誤，寄錯近 2 萬筆客戶個資，嚴重影響客戶權益，遭金管會開罰 400 萬元。所以要做好個資保護，不僅是系統上要做好資安防護，人員更要做好教育訓練，避免因認知不足或操作錯誤，造成公司名譽受損或財務賠償。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 1-6：2015 年 6 月 10 日自由時報新聞資料來源：http://news.ltn.com.tw/news/business/breakingnews/1344275 6.

(17) 如圖 1-7 所示，2015 年 7 月 11 日新聞報導，美國人事總局網站系統疑似遭中國大陸駭客入侵，導致 2000 多萬筆個人資料外洩，嚴重影響國家安全，事後局長強調會再加強網路安全。. 立. 政治大. ‧. ‧ 國. 學 er. io. sit. y. Nat. n. al. v i n 圖C 1-7：2015 h e n g年c7h月i 11U日中廣新聞. 資料來源：http://www.bcc.com.tw/newsView.2607868. 從以上案例可知，網站系統因管理不當，或資安防護沒作好，肇生個資外洩情事，影響個資當事人權益。尤其個資法上路後，政府部門或企業若沒有做好資安防護導致個人資料外洩，很可能因此吃上法律責任，資訊部門通常難卸其責。於是，坊間出現了 PIMS(個人資料管理系統)作法，如 BS10012、TPIPAS…等，但是要面對資安問題又要面對個資問題，分別導入 ISMS 與 PIMS，所花費的時間與經費、人力負荷，是大多組織或企業不願去承擔的難題。 7.

(18) 1.2. 研究動機身為政府部門資訊人員，在組織改造人員精簡的情況下，同時須肩負各項行政業務資訊化工作，以僅有的資訊能量來面對不斷增加的資訊系統維管與資安防護，加上個資法實施，個資管理問題，實難各系統面面俱到，達到資訊安全政策與個資法要求。本研究試想有沒有一套方法可以完成 IT 人員宏觀性的面對這些問題?IT 人員除了在資訊安全技術上的研究，如：防火牆技術、電子商務安全、資料加解密、系統安全、程式撰寫…等方法，仍須有一個全方面的管理作法，才能提升資訊安全與個資保護水準。. 政治大. 在尋尋覓覓各種管理作法，試找出一套可以真正符合 IT 人員的作業基準，又可以. 立. 針對本國個資法要求達到良善的資訊安全與個資保護具體作法。從產官學各界發現，在. ‧ 國. 學. 產業界 SGS 全球產品經理呂敏誠提出[1]：PIMS 與 ISMS 的整合其實很簡單，只要找到其中的差異點，再把它加到現有的管理系統中即可；在政府官方行政院研考會主任吳啟. ‧. 文[2]也提出：目前政府 A、B 級單位已經有 80%取得 ISMS 認證，將個資保護相關作法. Nat. sit. y. 整併至 ISMS 中，會是比較理想的作法；學者黃小玲(99)的個資法及 ISO 27001 共通性. n. al. er. io. 與操作概述有提及[3]：現今，在政府大力推動資通安全的策略下，大部分政府機關皆已. i n U. v. 了解資訊安全之重要性；如何在這個框架下，加強個人資料之保護，可以讓整個資訊安. Ch. engchi. 全管理系統(ISMS)更加成熟，且可降低觸法之可能性。. 本論文花費 3 年時間，尋尋覓覓尋找可以根本且有邏輯、有方向、全方面解決資安與個資問題，ISMS 與 PIMS 整合便是最好的解決之道。運用 ISMS 與 PIMS 整合後實施，各界也都有相同的看法，可有效管控資訊安全與個人資料，可符合個資法等相關法規要求，可以省下人力負荷與經費，可以保護網站系統永續發展。. 8.

(19) 1.3. 研究目的 ISMS 與 PIMS 管理作法，各界都認同可以整合，但是沒有一個可具體整合的方法與有效具體作法，本研究也藉由研究手法與試著以資料的生命週期，資訊安全的機密性、完整性、可用性，PDCA 模式...等角度進行本質上探討，與研究方法進行整合 ISMS(資訊安全管理系統) 與 PIMS(個人資訊管理系統)，降低管理複雜度，藉由單位實作驗證可行性，將實作經驗與方法供資訊能量有限之政府機關或中小型企業有所參考，達到最基本資安與個資保護要求，大幅降低個資外洩風險，確保資訊系統機密性、完整性、可用性。. 立. 政治大. 本論文主要價值在於：1.突破先前專家學者研究盲點，如：建議整合但不知怎麼作. ‧ 國. 學. 整合、列舉一些可整合作法但很零碎不知本質、無實際提出有效具體作法與導入…等，首次提出 ISMS 與 PIMS 整合方法。2.整合後提出 4 點有效的具體作法，可有效實施整. ‧. 合工作。3.將整合後方法實際導入現有網站，有效解決資安與個資問題，導入過程可供. Nat. sit. y. 有意作好資安與個資保護 IT 人員參考。. n. al. er. io. 對產官學各界貢獻：1.產業界可減少重複投資與節省經費。2.政府官方可減少人力. i n U. v. 工作負荷與遵循法規。3.學術界首次進行 ISMS 與 PIMS 整合之研究，提出整合方法與 4 點有效具體作法。. Ch. engchi. 1.4. 研究範圍與限制本研究針對國防部網站系統進行 ISMS 及 PIMS 整合導入，未涵蓋整個機關或組織，因此適用於資訊能量或經費不足之機關、組織、企業採用其精神藉以參考依循。. 9.

(20) 1.5. 論文架構本論文架構共分為五章，各章內容簡述如下：第一章緒論：說明本研究背景及動機、研究目的、研究範圍與限制、論文架構。第二章文獻探討：進行文獻探討的回顧，首先了解何謂 ISMS 與 PIMS，以及依循之規範 ISO 27001、本國個資法，了解資安與個資保護的精神與本質。第三章研究方法：試著從多角度探討整合可行性，並進行多面性整合工作，提出 4 點有效具體作法。. 政治大. 第四章實作：運用 ISMS 與 PIMS 整合後作法，以國防部全球資訊網站系統為個案. 立. 實作對象，根據第三章整合方法，進行專案整合導入工作，將整個實作過程一一記載，. ‧ 國. 學. 供需求組織或企業參考，最後以現有 ISO27001 標準包含個資管理流程來驗證此作法。第五章結論與貢獻：發現整合後作法經 ISO 國際標準驗證通過，將研究與實作貢獻. ‧. 進行總結，以及後續研究方向建議。. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. 圖 1-8：本研究步驟 10. v.

(21) 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 1-9：本研究方法論. 11.

(22) 2.. 文獻探討. 本章旨在說明本研究主題相關的文獻探討，共分為六節。2.1 節介紹資訊安全管理系統-ISMS；2.2 節介紹個資保護管理系統-PIMS；2.3 節介紹管理系統模型-MSS；2.4 介紹 ISO 27001 國際標準；2.5 節說明風險評鑑；2.6 節進行本章小節。. 2.1. 資訊安全管理系統-ISMS. 政治大資訊是一種資產對組織營運而言是不可或缺，面對各種外在威脅與本身脆弱點，需立. 2.1.1. 資訊安全. ‧ 國. 學. 要進行適當保護。. 資訊安全是使資訊不受各種廣泛威脅之保護，降低資訊系統營運風險，確保營運的. ‧. 持續性。資訊安全經由實作一套適當的控制措施達成，包括政策、過程、程序、組織結. sit. y. Nat. 構及軟硬體功能，必要時須建立、實作、監視、審查與改進這些控制措施，以確保達成. io. 資訊安全主要為確保資訊的以下三項特性：. n. al. er. 組織的特定安全與營運目標。. i n U. v.  機密性(Confidentiality)：資訊不可被未經授權的個人、實體或流程取得或揭露。. Ch. engchi.  完整性(Integrity)：保護資訊及資產的準確度(Accuracy)與完全性(Completeness)。  可用性(Availability)：經授權的個體在需要時可以存取或使用資訊及相關資產。除此之外，資訊安全亦同時涉及資訊的鑑別性(Authenticity)、可歸責性 (Accountability)、不可否認性(Non-repudiation)與可靠度(Reliability)。對於任何造成資產損害的潛在可能性稱為威脅(Threat)，威脅利用脆弱性造成對資產、組織和系統的傷害和損毀。資訊安全的威脅一般可分為兩大類：  環境威脅(天災)：天然災害，例如：火災、颱風和地震等；或是系統故障，例如：網路設備異常、硬碟故障和線路中斷等。 12.

(23)  人為威脅(人禍)：又可分為人為疏失與蓄意破壞。人為疏失大多來自於內部人員，主要為系統操作不慎、不當使用習慣(濫用電子郵件、任意下載檔案)與管理鬆散等；蓄意破壞則可能來自於內部人員與外部人員，主要為內部人員竊取公司資料、離職員工挾怨報復、駭客入侵與商業間諜等。資訊安全是一個管理過程而非技術過程，必須永無止境的不斷調整與改善，以「資訊安全管理」為核心加以整合「資訊安全技術」層面，在組織或單位內架構一套專屬且適用的資訊安全管理機制與策略，因應管理資訊系統所面臨的資訊安全風險，以控制與. 政治大. 降低資訊安全事件所帶來的威脅與衝擊。[4]. 立. 2.1.2. 資訊安全管理系統. ‧ 國. 學. 資訊安全管理系統（Information Security Management System，簡稱 ISMS）為一套. ‧. 有系統地分析和管理資訊安全風險的方法，要達到 100%的資訊安全是一種過高的期望，資訊安全管理的目標是透過控制方法，把需要被保護的資訊資產風險降低到可接受的程. y. Nat. io. sit. 度內，並且採用風險管理方法、控制目標、控制方法、以及所需要的安全保證程式。一. n. al. er. 般常見之實施 ISMS 六大步驟為：（1）定義政策（Define the Policy）；（2）定義範圍（Define. Ch. i n U. v. the Scope of the ISMS）；（3）進行風險評估（Undertake a Risk Assessment ）；（4）風險. engchi. 管理（Manage the Risk）；（5）選擇要實行的控制目標及控制方法（Select Control Objective and Control to be Implemented）；（6）準備適用性聲明（ Prepare a Statement of Applicability）等，形成一個程序化的安全管理系統，並運用 PDCA 模式來不斷改善 ISMS，如圖 2-1 所示 [4]。. 13.

(24) 立. 政治大. ‧ 國. 學. 圖 2-1：PDCA 過程模式運用於資訊安全管理系統. Nat. io. sit. PDCA 模式於資訊安全管理系統所代表的含義如下：. y. ‧. 資料來源：ISO 27001：2005 Standard. n. al. er. (1) Plan－規劃建立 ISMS：建立與管理風險及改進資訊安全相關的資訊安全管理. Ch. i n U. v. 系統政策、目標、過程及程序，以產生與組織整體政策和目標一致的結果。. engchi. (2) Do－實作與運作 ISMS：實作與運作資訊安全管理系統的政策、控制措施及程序。 (3) Check－監督與審查 ISMS：依據資訊安全管理系統政策、目標及實際經驗，評鑑及量測實行績效，並將結果回報給管理階層審查。 (4) Action－維持與改進 ISMS：基於資訊安全管理系統稽核與管理階層審查結果，或其他相關資訊採取矯正與預防措施，以達成資訊安全管理系統的持續改進。又組織應針對可能違反法規的事件，在事先實施預防的行動，並評估可能造成的問題，以決定與採取必要的預防措施。另針對管理階層審查的結果，對於不 14.

(25) 符合政策與標準要求的事項，應進行矯正的行動，以將資安風險降至最低。. 2.2. 個資保護管理系統-PIMS 2.2.1. 個人資料保護法我國於民國 84 年 8 月 11 日公布施行「電腦處理個人資料保護法」，此法係參照 OECD 隱私網領的保護資料 8 大基本原則所制定，其立法目的在於避免人格權受侵害及促進資. 政治大. 料之合理利用。隨著時代變遷，陸續納入其他與「電腦處理」個人資料相關之非公務機. 立. 關行業，然而原法規已諸多不合時宜，又缺乏管理及稽核層面足夠的配套措施，因此，. ‧ 國. 學. 法務部為加強保護個人資料之隱私性，並促進資料之合理運用及與國際接軌，自民國 90 年起廣徵各界意見及蒐集國外相關法例，並採認 APEC 隱私保護綱領九大原則，研擬. ‧. 完成修法，並將新法更名為「個人資料保護法」，於 99 年 4 月 27 日於立法院三讀通. Nat. sit. y. 過，於 99 年 5 月 26 日以總統令公布。另法務部於 101 年 9 月 26 日依「個人資料保. al. n. 行[5]。. er. io. 護法」第五十五條規定訂定「個人資料保護法施行細則」，於 101 年 10 月 1 日正式施. 2.2.2. 個資保護管理系統. Ch. engchi. i n U. v. 本研究泛指的 PIMS（Personal Information Management System，PIMS）為廣義針對個資保護的具體管理系統的作法，非專指英國隱私標準 BS 10012：2009 Standard 條文中的 PIMS，在本研究利用現有 BS 10012 的管理框架來介紹，運用 PDCA 循環模式（如圖 2-2）來建立維護個人資訊管理系統（PIMS），讓各組織能維持和改善對資料保護法律及優良實踐的遵循。. 15.

(26) 治政圖 2-2：PDCA 過程模式運用於個人資訊管理系統大立資料來源：BS 10012：2009 Standard ‧ 國. 學 ‧. PDCA 在個人資訊管理系統所代表的含意如下：. (1) Plan－規劃建置 PIMS：組織必須定義個人資訊管理的範圍和目標，並判斷內. y. Nat. io. sit. 部有哪些資料屬於個人資訊，以制訂適合組織運作的個人資訊管理政策。. n. al. er. (2) Do－實作與運作 PIMS：確保組織已指派適當的負責人選推動並執行個人資訊. Ch. i n U. v. 管理制度，並透過各個單位負責代表的協助，進行個人資訊的風險評鑑，以評. engchi. 估目前組織所擁有及處理個人資訊的風險等級。此外，要求組織對員工實施教育訓練，確保個人資訊被公平且合法的處理使用，以及採取適當的資訊安全控制措施，皆為此階段的重點工作。 (3) Check－監督與審查 PIMS：組織除了必須制定稽核計畫，選擇合適的稽核人員依照政策與管理要求定期實施稽核作業外，還須定期舉行管理階層審查會議，了解個資處理的過程是否有任何的變動，並審查稽核後的結果。而對於是否發生和個資相關的資安事件亦應加以了解，以掌握組織推動個資的現況，並適時修訂個資管理政策。 16.

(27) (4) Action－維持與改善 PIMS：組織應針對可能違反法規的事件，事先實施預防的行動，並評估可能造成的問題，採取必要的預防措施；其次則是針對管理階層審查的結果，針對不符合政策與標準要求的事項，進行矯正的行動，以求將個資管理不當的風險降至最低。 2.2.3. 相關個資保護作法 BS10012：英國標準協會（BSI）於 2009 年 6 月公告 BS 10012 個人資訊管理標準。BS 10012 的全名為「資料保護-個人資訊管理系統之要求」（Data protection–. 治政 Specification for a personal information management system）大，本標準具體說明了對個人資立訊管理系統（Personal Information Management System，PIMS）的各項要求。根據 BS ‧ 國. 學. 10012 的規範，不論是國家或企業組織，都應該有一個專責的個資管理單位，負責個資. ‧. 的收集、使用、傳遞、銷毀和保存。且不論是國家或組織，都應該要事先定義出一份「個資類別清單」，清楚定義哪些是單位內所收集的個資範圍，釐清並界定哪些資料該被保. y. Nat. io. sit. 護，以及各種個人資料被保護的層級，並對各資訊流清楚掌握，以設置各個控管機制來. n. al. er. 管控個人資料出入口，為個資保護的框架。BS 10012 的 8 大資料保護原則如下：. Ch. (1) 受到公平合法的處理。. engchi. i n U. v. (2) 僅限核於特定目的之取得，且不會進行不符合特定目的之後續處理。 (3) 適當、相關且不過度。 (4) 正確且最新。 (5) 保存期限不超過必要期限。 (6) 依據法律授與個人權利進行處理，包含標的存取權。 (7) 確保安全。 (8) 不會在未受到適當保護的情況下，被移轉到歐洲經濟區以外的國家。 BS 10012 標準共有 7 章，第 0~2 章為標準介紹及適用範圍與名詞定義之說明， 17.

(28) 第 3~6 章則為個人資訊管理制度的架構要求。BS 10012 相關條文彙整如表 2-1。. 表 2-1：BS 10012 標準條文彙整編號. 條文大網. 0. 前言 Introduction. 0.1. 個人資訊管理系統 Personal information management system. 0.2. 資料保護原則 Data protection principles. 0.3. 告知 Notification. 1. 範圍 Scope. 2. 名詞、定義與縮寫 Terms, definitions and abbreviations. 2.1. 名詞與定義 Terms and definitions. 2.2. 縮寫 Abbreviations. 3. 規劃個人資訊管理系統（PIMS）Planning for a personal information（PIMS）. 3.1. 個人資訊管理系統的建立與管理 Establishing and managing the PIMS. 3.2. 個人資訊管理系統的範圍與目標 Scope and objectives of the PIMS. 3.3. 個人資訊管理政策 Personal information management policy. 3.4. 政策內容 Policy content. 3.5. 職責與責任承擔 Responsibility and accountability. 3.6. 資源提供 Provision of resources. 3.7. 將 PIMS 深植於組織文化 Embedding the PIMS in the organization’s. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. culture 4. 實行與運作個人資訊管理系統（Implementing and operating the PIMS）. 4.1. 重要人員之指派 Key appointments 18.

(29) 編號 4.2. 條文大網識別並記錄個人資訊的用途 Identifying and recording uses of personal information. 4.3. 訓練與意識 Training and awareness. 4.4. 風險評估 Risk assessment. 4.5. 維持最新的個人資訊管理系統 Keeping PIMS up-to-date. 4.6. 告知 Notification. 4.7. 公平合法地處理 Fair and lawful processing. 4.8. 為具體指明的目的處理個人資訊 Processing personal information for specified. 學. ‧ 國. 立. 政治大. purposes. 適當、相關且不過度 Adequate, relevant and not excessive. 4.10. 正確 Accuracy. 4.11. 保留與處置 Retention and disposal. 4.12. 個人的權利 Individuals ’rights. 4.13. 安全議題 Security issues. 4.14. 將個人資訊移轉到國（境）外的地方 Transfer of personal information. ‧. 4.9. n. engchi. sit er. io. Ch. y. Nat. al. i n U. v. outside the EEA 4.15. 對第三方揭露資訊 Disclosure to third parties. 4.16. 外包處理 Sub-contracted processing. 4.17. 維護 Maintenance. 5. 監督與審查個人資訊管理系統（Monitoring and reviewing the PIMS）. 5.1. 內部稽核 Internal Audit. 5.2. 管理階層審查 Management review 19.

(30) 編號. 條文大網. 6. 改善個人資訊管理系統 Improving the PIMS. 6.1. 預防與矯正措施 Preventive and corrective actions. 6.2. 持續改善 Continual improvement 資料來源：BS 10012：2009 Standard. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 20. i n U. v.

(31) TPIPAS：台灣個人資料保護與管理制度（Taiwan Personal Information Protection and Administration System；TPIPAS）緣起於經濟部商業司委託財團法人資訊工業策進會，執行「電子商務個人資料管理制度推動計畫」，規劃並推動「臺灣個人資料保護與管理制度（TPIPAS）」，並於 2013 年起擴大適用至所有行業別，亦適用於公務機關。於 2012 年 09 月 04 日公告 TPIPAS:2012。相關條文彙整如表 2-2。表 2-2：TPIPAS 管理制度條文彙整表條文大網前言. 0.1. 概述. 政治大. 立臺灣個人資料保護與管理制度規範(Taiwan Personal 學. Information Protection and Administration System, TPIPAS)(以下稱「本制度規範」)是使事業以「PDCA 方法論」，建立一套將個人資料保護與事業營運連結之系統化. ‧ 國. 0. 內容. 0.3. 用途. ‧. 訂定目的. 本制度規範旨在提升事業對於個人資料之保護與管理能力，降低營運風險，並創造可信賴之個人資料保護及隱私環境。. io. sit. y. Nat. 0.2. 管理制度。. n. al. 本制度規範係對於事業之個人資料管理制度進行內、外部評量及用以核發事業「資料隱私保護標章」 (Data Privacy Protection Mark, DP Mark)之依據。. er. 編號. Ch. engchi. i n U. v. 0.4. PDCA 方法論. 本制度規範之架構以「計畫-執行-檢查-行動 (Plan-Do-Check-Act)，PDCA 方法論」為基礎。說明如下： (1)計畫：建立個人資料保護管理政策、目標及相關程序。 (2)執行：個人資料管理制度之實施。 (3)檢查：依據個人資料保護管理之政策、目標及要求，評估與監督流程及其產出，並將結果回報給最高管理階層加以審查。 (4)行動：採取措施，以持續改善個人資料管理制度之績效。. 1. 適用範圍. 本制度規範係針對蒐集、處理、利用及國際傳輸個人資料之事業，訂定相關規範事項，以建立個人資料管理制度，確保個人資料之安全。 21.

(32) 2. 事業引用本制度規範，應註明所引用版本。若未註明者，. 版本標示. 則指使用最新版本。本制度規範用詞，定義如下：. 3.. 用語與定義. 3.1. 個人資料管理指事業針對所持有個人資料所訂定之政策、內部管理組織及其規則、風險管控措施、應變處理程序及教育訓練制度計畫之整體管理體系。. 3.2. 個人資料. 指包含自然人姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。. 立. 政治大指透過個人資料得以識別之本人。. 3.3. 當事人. 3.4. 事業. 3.5. 個人資料管理指最高管理階層指派管理階層之一，就事業內部個人資料管理制度之運作具有監督管理權責之人。代表. 3.6. 個資管理人員. 實際推動並確保個人資料管理制度之有效運作之人員。. 3.7. 事業人員. 指受事業直接監督，包括正職、派遣及其他與事業保有個人資料之蒐集、處理或利用有關之從業人員。. 3.8. 事故. ‧. ‧ 國. 學. 指法人或非法人團體。. n. er. io. sit. y. Nat. al. i n U. v. 指事業之個人資料外洩、滅失、毀損、竄改及其他侵害；或其他違反個人資料保護相關法令或本制度規範之情事。. Ch. engchi. 4. 要求事項. 4.1. 一般要求事項. 4.2. 個人資料保護事業應將其內部保有及管理個人資料之依據、目的與事業所負責任等基本理念原則，以書面訂定並對事業人員管理政策加以公開周知。. 4.3. 個人資料保護事業為建置個人資料管理制度，應製作個人資料保護管理手冊，訂定具體規則，並提出有效方式維持機制運作，管理手冊供事業依循使用。. 事業應依其規模、特性及本制度規範之具體要求，建立、實施與維持其個人資料管理制度，並持續改善，以維護其有效性。. 22.

(33) 具體規則內容至少包括：. 立. 政治大. ‧ 國. 學. ‧. (15) 內部評量。 (16) 矯正及預防措施。 (17) 最高管理階層定期檢視。. sit. y. Nat. 個別要求事項. io. n. al. 4.4.1 識別法令及其他相關規範事業應識別所須遵循之相關法令，明示其個人資料管理制度與國家個人資料保護相關法規在內容及執行面上之相符性，並依法令之變動進行調整。 4.4.2 納入管理之個人資料範圍事業應識別其保有之個人資料檔案，及蒐集、處理、利用個人資料之流程，劃定其納入個人資料管理制度之範圍，建立並維護個人資料檔案清冊及流程說明。 4.4.3 風險管控措施事業應就納入管理範圍之個人資料，識別事業因蒐集、處理、利用個人資料可能面臨的風險，視需求訂定管控措施。 4.4.4 資源管理事業應提供並維持個人資料管理制度所需之人力及軟硬體資源，確保相關資源管理之實施、維. er. 4.4. (1) 識別法令與其他相關規範。 (2) 識別事業所保有之個人資料。 (3) 事業蒐集、處理或利用個人資料之事宜。 (4) 個人資料相關之風險分析及管控措施。 (5) 事故緊急應變。 (6) 事業各部門以及層級所擁有個人資料管理權限與責任。 (7) 當事人權利之行使。 (8) 維持個人資料正確性。 (9) 安全管理措施。 (10) 事業人員之監督與獎懲。 (11) 委託蒐集、處理或利用個人資料之監督。 (12) 教育訓練。 (13) 個人資料管理制度之文件與紀錄管理。 (14) 當事人申訴及諮詢。. Ch. engchi. i n U. v. 持及改善方式之有效性，並就資源管理事項留存相關紀錄。 4.4.5 權限與責任分工事業應以書面明定個人資料管理 23.

(34) 制度之相關人員之職務、職掌、選任方式、責任層級及權限內容，並向事業內部公開周知。 4.4.6 事故之緊急應變為避免事故可能產生之不利益及影響，事業應訂定事故緊急應變措施。相關措施應至少包括： (1) 查明後以適當方式通知當事人事故發生，並提供後續查詢與處理管道。 (2) 防止事業所受損害擴大之方法。 (3) 避免類似事件再次發生之方法。 (4) 將事故通報授證機關。. 政治大. 管理制度之實 4.5.1 基本原則事業應確保個人資料之蒐集、處理、利用或國際傳輸，以誠實信用方式進行，出於最小且未逾越施特定目的之必要範圍，並與蒐集之目的具有正當合理之關聯。 4.5.1.1 蒐集事業針對個人資料之蒐集程序應符合下列要求：. 立. 學. (1) 確認蒐集時具備特定目的，並符合法律規定之特定情形。 (2) 其他法令規定蒐集時應履行之義務。 (3) 保存前二款相關紀錄。 4.5.1.2 處理事業為建立或利用個人資料檔案，針對個人資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結及進行內部傳送，其程序應符合下列要求： (1) 確認處理時符合蒐集時之特定目的及特定情形。 (2) 其他法令規定處理時應履行之義務。 (3) 事業應訂定適當且合法程序，處理刪除暨銷毀及業務終止時事業所保有之個人資料。 (4) 保存前三款相關紀錄。 4.5.1.3 利用事業對於個人資料之利用程序應符合下列要求： (1)於蒐集之特定目的必要範圍之內利用個人資料。. ‧. ‧ 國. io. sit. y. Nat. n. al. er. 4.5. Ch. engchi. i n U. v. (2)目的外利用個人資料時係屬合乎法律要求。 (3) 保存前二款相關紀錄。 4.5.1.4 行銷 24.

(35) 事業針對利用個人資料進行行銷，其程序應符合下列要. 立. 求： (1) 提供當事人至少首次免費表示拒絕接受行銷之方式。 (2)當事人可隨時拒絕接受行銷之管道，並於表示拒絕接受後，立即停止利用其個人資料為行銷之用途。 (3) 保存前二款相關紀錄。 4.5.1.5 特種個人資料之蒐集、處理及利用限制事業針對醫療、基因、性生活、健康檢查、犯罪前科等特種個人資料，其程序應符合下列要求： (1)內部人員原則禁止蒐集、處理及利用特種個人資料之要求。 (2)例外得蒐集、處理或利用特種個人資料時，係屬合乎法律要求。 (3)保存前二款相關紀錄。 4.5.1.6 告知義務之履行. 政治大. ‧. ‧ 國. 學. 事業針對個人資料保護法規定之應告知事項，應建立告知程序暨免告知之確認程序，其內容至少符合下列要求： (1) 符合個人資料保護相關法律之告知時點。 (2) 適當之告知方式。 (3)針對免告知之理由及其確認方式。 (4) 保存前三款相關紀錄。 4.5.2 當事人之相關權利 4.5.2.1 個人資料之相關權利事業應訂定當事人申請查詢、閱覽、補充、更正、製給複製本、停止蒐集、停止處理、停止利用、刪除其個人資料，以及申訴與諮詢之規則與流程並保存相關紀錄。 4.5.2.2 當事人行使權利之程序事項事業為處理 4.5.2.1 之當事人請求之程序，內容至少符合下列要求： (1) 具備當事人提出請求之方式。 (2) 具備確認當事人身分之方式。 (3) 具備確認事業是否得依法拒絕當事人行使其權利。. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. (4) 具備拒絕請求或發生爭議，當事人得提出申訴之管道與聯繫方式。 4.5.2.3 提供查詢、閱覽、複製本之方式 25.

(36) 事業針對當事人請求查詢、閱覽個人資料或製給個人資. 立. 料複製本，其程序應符合下列要求： (1) 確保於 15 日內為准駁之決定。 (2) 准駁當事人請求，拒絕時並應附理由以書面通知當事人。 (3) 決定延長 15 日作出准駁之決定時，應附理由以書面通知當事人。 (4) 保存前三款相關紀錄。 4.5.2.4 當事人請求個人資料補充、更正、刪除、停止蒐集、處理及利用程序事業針對當事人請求補充、更正、刪除、停止蒐集、處理或利用個人資料，其程序應符合下列要求： (1) 確保於 30 日內為准駁之決定。 (2) 准駁當事人請求，拒絕時並應附理由以書面通知當事人。 (3) 決定延長 30 日作出准駁之決定時，應附理由以書面. 政治大. ‧. ‧ 國. 學. 通知當事人。 (4) 保存前三款相關紀錄。 4.5.2.5 申訴及諮詢之處理針對申訴與諮詢事項，事業應確保迅速有效之處理，其程序應符合下列要求： (1) 適當且迅速回應當事人。 (2) 視申訴與諮詢內容，必要時應通報個資管理代表，並由其決定回應之內容與方式。 (3) 保存前二款相關紀錄。 4.5.3 管理監督 4.5.3.1 維持個人資料之正確性事業為維持個人資料正確之狀態，應建立符合下列要求之程序： (1) 確保個人資料於處理過程中，正確性不受影響。 (2) 當確認個人資料有錯誤時，應適時更正。 (3) 檢查個人資料之正確性。 (4) 因可歸責於事業之事由，未為更正或補充之個人資. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 料，應訂定於更正或補充後，通知曾提供利用對象。 4.5.3.2 安全管理措施事業應針對因蒐集、處理及利用個人資料所可能面臨之 26.

(37) 風險，採取防止個人資料外洩、滅失、毀損、竄改及其. 立. ‧ 國. (3) 受託人對個人資料之安全管理措施。 (4) 有複委託者，所約定之受託人及複委託之範圍；嗣後複委託者，應得委託人同意。 (5) 向委託人報告關於個人資料處理狀況之內容以及報告週期。 (6) 委託人對受託人保留指示之事項。 (7) 發生事故時向委託人即時報告及採行之補救措施等相關事項。 (8) 委託關係終止或解除時，個人資料載體之返還，及儲存於受託人持有個人資料之刪除。 (9 ) 受託人僅得於委託人指示之範圍內，蒐集、處理或利用個人資料。受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事，應立即通知委託人。委託人應定期確認受託人執行之狀況，並將確認結果紀錄之。. ‧. y. sit. n. al. er. io 教育訓練. 政治大. 學. Nat. 4.6. 他侵害之必要且適當之安全管理措施。必要且適當之安全管理措施應至少包括： (1) 作業面安全管理措施 (2) 物理性安全管理措施 (3) 技術性安全管理措施 4.5.3.3 事業人員之監督事業應對事業人員就個人資料蒐集、處理及利用採取必要且適當之監督措施。 4.5.3.4 委託蒐集、處理或利用個人資料之監督事業委託他人蒐集、處理或利用個人資料之全部或一部時，應建立選任受託人之標準及其監督方式，並確認以下事項： (1) 委託人及受託人之權利義務。 (2) 委託蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。. Ch. engchi. i n U. v. 4.6.1 一般要求事業應以適當方式確保事業人員對個人資料管理具有正確的認知及能力。 4.6.2 基本教育訓練事業針對事業人員應提供必要的個人資料管理教育訓練。 27.

(38) 4.6.3 權責人員教育訓練事業應決定個人資料管理制度相關權責人員之必要能力與教育訓練需求，並規劃與執行。 4.6.4 成果維持及改善措施事業應針對事業人員教育訓練成果建立紀錄與改善機制。 5. 管理責任. 5.1. 最高管理階層. 最高管理階層之責任應包括： (1) 決定個資保護管理政策 (2) 決定資源管理 (3) 決定個資保護管理組織架構及權責劃分 (4) 定期檢視管理制度 (5) 建立有效的溝通機制. 政治大. 立最高管理階層應指派管理階層成員之一，擔任個人資料. 管理代表. 學. 保護制度管理代表，其應有之責任與職權包括： (1) 負責維持個人資料管理制度運作之有效性，並建立必要內部人員結構。. ‧. ‧ 國 io. sit. y. Nat. (2) 確保職務執行過程之公正性與客觀性。 (3) 確保個人資料管理制度所需的各項程序被建立、實施與維持。 (4) 向最高管理階層報告個人資料管理制度之實施成效與改善措施。. n. al. 5.3. 個資管理人員. 6. 有效性量測. 7. 文件及紀錄之. er. 5.2. Ch. i n U. v. 事業應由取得下列資格之一者，擔任個資管理人員，以實際推動並確保個人資料管理制度之有效運作： (1) 個人資料管理師。 (2) 個人資料內評師。 (3) 個人資料驗證師。個資管理人員得由個資管理代表兼任。. engchi. 事業應針對個人資料管理制度之實施，建立分析量測機制，藉由使用各項方式，使管理代表能判定個人資料管理制度內所建立之程序與機制是否有效，將所進行之分析量測作成紀錄，以確保制度之持續有效運作。. 控管 28.

(39) 7.1. 文件及紀錄之 7.1.1 文件事業應製作及保存下列文件： (1) 個人資料保護管理政策。範圍 (2) 個人資料保護管理手冊，及其相關具體規則。 (3) 個人資料內部管理程序相關表單。 7.1.2 紀錄事業應製作及保存實施個人資料管理制度之相關紀錄。. 7.2. 文件管理. 立. 事業為落實個人資料管理制度，應建立文件管理程序，其程序包含： (1) 文件之製作及修正之相關事項。 (2) 明確標記文件修正時，與前次版本間之關聯及差異。 (3) 文件之儲存位置與保存方式及其存取權限。. 政治大. 記錄管理. 事業為落實且證明其已符合本制度所要求之事項，應製作必要之紀錄文件並確立實施相關之管理程序。. 8. 內部評量. 事業每年應依其特性規劃執行內部評量，以瞭解個人資. n. al. 改善. er. io. sit. y. Nat. 9. 料管理制度是否符合下列要求： (1) 符合法規及本制度之要求。 (2) 符合個人資料保護管理政策、手冊及相關具體規則之要求。事業應規劃內部評量方式及流程，以決定內部評量之準則、範圍、頻率及方法。事業應將內部評量之規劃、執行、報告、改善、追蹤等事項製作書面之內部評量報告。內部評量應由具備個人資料內評師或個人資料驗證師資格者執行，並由其出具內部評量報告。. ‧. ‧ 國. 學. 7.3. Ch. engchi. i n U. v. 9.1 定期檢視個資管理代表為落實個人資料保護管理，應每年定期召開檢視會議，召集相關權責人員，檢視個人資料保護管理制度，以書面紀錄檢視結果，並報告最高管理階層。定期檢視會議應檢視下列事項並提出檢視報告： (1) 個人資料管理制度執行狀況及其分析。 (2) 矯正及預防措施之成效。 (3) 有效性量測之結果。 (4) 個人資料處理之相關法令以及其他相關規範之修改 29.

(40) 狀況。. 立. 最高管理階層決策調整個人資料管理制度時，應考量以下事項，並據以調整與修正個人資料管理制度： (1) 檢視報告。 (2) 社會情勢、國民認知、技術發展等各種環境之變遷。 (3) 事業業務領域之變化。 (4) 事業內外部之改善建議。 (5) 其他可能影響個人資料管理制度的任何變更。 9.2 矯正及預防措施事業針對內部評量及本管理制度實施之結果，應規劃矯正措施及預防措施，並確保相關措施之執行。 9.2.1 矯正措施事業針對不符合事項，應規劃及完成執行矯正措施，並完成以下事項： (1) 確認不符合事項之內容並判定其發生原因。 (2) 評估需求並提出矯正方案，以確保不符合事項不再發生。. 政治大. ‧. ‧ 國. 學. (3) 訂定合理之執行期限。 (4) 紀錄執行結果。 (5) 檢視所採取的矯正方案成果。 9.2.2 預防措施事業針對潛在不符合事項之風險，應規劃及執行預防措施時，並完成以下事項： (1) 依據事業因持有個人資料可能面臨的風險，確認各項潛在不符合事項之內容及其原因。 (2) 評估需求並提出預防方案，以確保不符合事項不發生。 (3) 訂定合理之執行期限。 (4) 紀錄執行結果。 (5) 檢視所採取的預防方案成果。. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 資料來源：[6]. 在普遍 PIMS 實務作法中，BS10012 為英國隱私標準，其中個人資料法制規範與環境之不同，相關制度無法直接移植供國內使用。然而 TPIPAS 僅針對本國個資法條文訂定管理制度，難以透過國際標準認證(如： 30.

(41) ISO27001)；個人資料相關法制規範主要係維護個人對於其資料的資訊自主，仍需要資訊系統安全之協助。但現有資訊安全管理系統，並不完全符合遵循我國個資法之要求，透過本研究將 ISMS 與 PIMS 整合，是較全面性的作法，也可以較低資安與個資管理制度導入成本。. 2.3. 新版管理系統標準-MSS 在第三章運作模型整合部分會介紹到 MSS，本章節先介紹 MSS 管理系統標準，讓. 政治大國際標準組織(International Standardization for Organization，簡稱 ISO)自 2000 年起立. 讀者可以更清楚了解。. ‧ 國. 學. 即分 3 階段進行管理系統標準(Management System Standards，簡稱 MSS)之標準化工作項目，期能在 2015 年完成各個管理系統要求事項的調合，新版 ISO/IEC 27001 標準系列. ‧. 已遵循 MSS 建立[7]。. sit. y. Nat. 國際標準組織為使管理系統要求事項之「一致性」，以符合社會大眾的利益，於 2001. io. er. 年先行出版 ISO Guide 72 (Guidelines for the justification and development of management. al. system standards)作為準備[8]，並在 2008 年至 2012 年於能源管理(Energy Management). n. v i n Ch 為標的試行[9]。ISO 技術管理委員會(Technical Board，簡稱 TMB)主責的管 i U e n g c hManagement 理系統標準(Management System Standards，簡稱 MSS)於 2010 年已完成第 2 階段之共同用語(Term)與核心定義(Core Definitions)的標準化作業，ISO/IEC 27001 新版亦遵循 [10][11][12][13][14]。目前 TMB 提出之 MSS 規範所有管理系統要求事項(例：ISO 9001、ISO 14001、ISO 27001、ISO 28001、ISO 50001 等)的至次節之高階結構(High Level Structure)，其章節如後： (1) 第 1 章：適用範圍(Scope)。 (2) 第 2 章：引用標準(Normative references)。 31.

(42) (3) 第 3 章：用語釋義(Terms and definitions)。 (4) 第 4 章：組織全景(Context of the organization)。 (5) 第 5 章：統御力(Leadership)。 (6) 第 6 章：規劃(Planning)。 (7) 第 7 章：支持(Support)。 (8) 第 8 章：運作(Operations)。 (9) 第 9 章：績效評估(Performance evaluation)。. 政治大. (10) 第 10 章：改進(Improvement)。. 立. (11) 資料來源：：ISO/IEC JTC1/SC27 N7616:2009-04-23，附錄 B。. ‧ 國. 學. 新版管理系統標準 MSS 已由原本 PDCA 模型修正為圖 2-3 模型，已對原本 ISMS 實作性產生直接的衝擊，在實作上統御力佔導入成功關鍵因素，除了領導每位參與同仁，. ‧. 也在溝通協調上佔很大的關鍵因素，尤其在跨部門的溝通與協調，消除本位主義，在實. Nat. n. al. er. io. sit. y. 務上是相當困難的工作。. Ch. engchi. i n U. v. 圖 2-3：根基於過程導向之管理系統的紀錄模型資料來源：[15] 32.

(43) 2.4. 新版 ISO 27001:2013 國際標準 ISO/IEC 27001 即本研究主題之 ISO 27001，為資訊安全管理的標準，源自於英國國際標準 BS 7799 Part-2:2002，英國標準協會於 2005 年公布新版之 BS 7799 Part-2:2005，國際標準組織於 2005 年 10 月 14 日將 BS 7799 Part-2:2005 編納為 ISO 27001，是目前國際公認最完整的資訊安全管理標準，其規範安全內容涵蓋：建立、實施、操作、監督、審查、維持與改善資訊安全管理系統(Information Security Management System，ISMS)。國際標準組織於 2013 年 10 月 1 日 ISO 年會中，正式推出新改版的資安認證標準 ISO. 政治大. 27001：2013，這也是 ISO 27001 自從 2005 年正式成為國際標準之後的首次改版。. 立. 2005 年版本和 2013 年版本的主要差異，除了內容更加明確律定外，附錄 A 的控制. ‧ 國. 學. 措施更符合實務工作進行，最主要是執行 ISMS 的有效性，特別將管理階層的領導力凸顯出來，並強調設定目標、績效量測與展現。. ‧. 27001：2013 新版本為了更符合資訊安全的現況及需求，由原先 ISO 27001:2005 的. Nat. sit. y. A.5 至 A.15（11 個領域，39 項目標及 133 項控制措施）變成 A.5 至 A.18（14 個領域，. n. al. er. io. 35 項目標，114 項控制措施）控制目標減少了 4 項，控制措施由原本的 133 個變成 114. i n U. v. 個。領域變多了，控制目標及控制措施都減少了。且 2013 年版本新增了兩個領域分別. Ch. engchi. 是 A.10 密碼(Cryptography)領域與 A.15 供應商關係(Supplier Relationships)領域，並將原本 A.10 通訊與作業管理(Communications and operations management)領域分成 A.12 作業安全(Operations Security)與 A.13 通訊安全(Communications Security)兩個領域[16]。. 33.

(44) 表 2-3：ISO 27001:2005 與 ISO 27001:2013 比較表. 立. 政治大. ‧. ‧ 國. 學. n. 資料來源：[17]. Ch. engchi. er. io. sit. y. Nat. al. i n U. v. ISO 27001 標準條文如表 2-4，分為簡介、適用範圍、引用標準、用語及定義、組織全景、領導作為、規劃、支援、運作、績效評估、改善等 10 節以及附錄 A.5~A.18 控制目標及控制措施，控制措施架構如圖 2-4 所示。. 34.

(45) 表 2-4：ISO 27001 標準條文彙整編號. 條文大網. 0. 簡介. 1. 適用範圍. 2. 引用標準. 3. 用語及定義. 4. 組織全景. 4.1. 瞭解組織及其全景. 4.2. 瞭解關注方之需要及期望. 4.3. 決定資訊安全管理系統之範圍. 5.1. 領導及承諾. 5.2. 政策. 5.3. 組織角色、責任及權限. 6. 規劃. 6.1. 因應風險及機會之行動. 6.2. 資訊安全目標及其達成之規劃. 7. 支援. 7.1. 資源. 7.2. 能力. 7.3. 認知. 7.4. 溝通或傳達. 7.5. 文件化資訊. 8. 運作. 8.1. 運作之規劃及控制. 8.2. 資訊安全風險評鑑. 8.3. 資訊安全風險處理. 9. 績效評估. 9.1. 監督、量測、分析及評估. 9.2. 內部稽核. 9.3. 管理審查. 10. 改善. ‧. ‧ 國. io. sit. y. Nat. n. al. er. 4.4. 學. 5. 政治大資訊安全管理系統立領導作為. Ch. engchi. 35. i n U. v.

(46) 編號. 條文大網. 10.1. 不符合項目及矯正措施. 10.2. 持續改善 A.5 資訊安全政策 ~~ A.18 遵循性資料來源：ISO 27001：2013 Standard. 立. 政治大. 學 ‧. ‧ 國 io. sit. y. Nat. 圖 2-4：ISO 27001:2013 控制領域. n. al. er. 附錄 A. v. 資料來源：本研究自行整理. Ch. engchi. 36. i n U.

(47) 本研究為使讀者更能了解 ISO 27001:2013，以圖 2-5 架構來明確指出各條文要求在整個 ISMS 實際運作上 PDCA 所展現的流程位置，在一開始導入 ISMS 時，在第 4 條組織全景部分，組織應了解相關利益團體或個人需求與期望，及決定 ISMS 範圍。外圈為管理階層所要進行之工作項目，內圈為執行編組所要進行之工作項目，均運用 PDCA 循環運作模式；領導階層運用第 5 條領導作為，下定決心進行 ISMS 實施，執行部門進行第 6 條 ISMS 規劃及風險管控之行動，並依規劃進行第 8 條運作，在這之前管理階層需進行第 7 條進行賦予適當權力與支援，透過第 9 條進行組織績效評估，了解組織各項績. 政治大. 效與內部缺失與風險所在，最後進行第 10 條各項改善工作，ISMS 進行當中可利用附錄. 立. A 控制目標及控制措施明確了解工作項目並進行控制風險作業。. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 2-5：ISO 27001:2013 架構資料來源：本研究自行整理 37.

(48) 2.5. ISO27005 風險評鑑在 ISMS 整體運作中，ISO27005 最不可或缺的風險管理方法論，風險評鑑是建構資訊安全管理系統的重要環節，風險管理可以分成兩個部份，第一部份，就是風險評鑑，根據資訊安全管理系統範圍內的資產，評鑑其風險等級。第二部份，就是針對高風險資產作風險處理，降低其風險，使其一旦發生風險時，仍然在可以接受的範圍內。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 圖 2-6：風險程度關係圖資料來源：本研究自行整理. 2.5.1. 風險評鑑資訊安全風險評鑑結果，對於 ISMS 的建置有決定成敗重要影響因素，風險評鑑透過分析組織業務流程資訊資產的重要程度(機敏性、完整性、可用性)、潛在的外部威脅、自身可被利用的弱點發生的機率以及現有的控制措施來決定組織的各項資訊資產風險 38.

(49) 值，風險評鑑計算方式如下：  風險值 = 資產價值 × 破壞事件嚴重程度  資產價值 = 機密性評價 + 完整性評價 + 可用性評價  破壞事件嚴重程度 = 威脅等級 × 脆弱點等級 × 衝擊等級  風險可能性 = 發生機率 / 目前實施狀況所謂資產價值的評價，就是分別針對機密性評價、完整性評價和可用性評價，加總以求得其總體的資訊資產價值。如以下式子表示:. 政治大.  資產價值 = 機密性評價 + 完整性評價 + 可用性評價. 立. 機密性、可用性和完整性的評價可以根據標的資產有不同的定義，見表 2-5，但是. ‧ 國. 學. 基本的精神是相同的，以下，我們將就設備資產價值定義為例。. ‧. 可用性. sit. y. 完整性. 不當的破壞或竄改資訊、資訊處理設施與系統資源，所造成的業務衝擊可以忽略者。非公開使用之非敏感性不當的損失、破壞資訊處資訊處理設施與系統資理設施與系統資源，會對源為者。業務應用造成輕微的衝擊。敏感性資訊處理設施與不當的損失、破壞資訊處系統資源，僅開放給必要理設施與系統資源，會對知道的人使用。業務應用造成顯著的衝擊。敏感性之資訊處理設施不當的損失、破壞資訊處與系統資源，僅開放給極理設施與系統資源，會對少數必要知道的人使用。業務應用造成很大的衝擊，甚至會造成業務失敗。. n. al. er. 不限制使用之資訊處理設施與系統資源等。. io. 1. 機密性. Nat. 評價. 表 2-5：機密性，完整性，可用性評價參照. 2. 3. 4. Ch. engchi. i n U. 資料來源：[18]. 39. v. 工作日之上班時間至少 25%的時間有權限的人可存取資訊系統與資源。工作日之上班時間至少 50%的時間有權限的人可存取資訊系統與資源。工作日之上班時間有權限的人都可存取資訊系統與資源。工作日(24 小時)，至少 95%的時間有權限的人可存取資訊系統與資源者。.

(50) 要評價破壞事件的嚴重程度，我們就必須要分別對該資產去考量可能的威脅等級評價(系統被攻擊的頻率)，見表 2-6，面對威脅該資產的脆弱點等級評價(系統被攻擊的容易度)，見表 2-7，和該威脅發生時對組織所造成的衝擊等級評價(系統被攻擊所造成的影響程度)，見表 2-8 。同時定義破壞事件嚴重程度如下公式:  破壞事件嚴重程度 = 威脅等級 × 脆弱點等級 × 衝擊等級. 表 2-6：威脅等級評價表. ‧ 國. sit. er. al. n. 5. io. 4. Nat. 3. ‧. 2. 防制脆弱性被利用的安全對策有效不太可能發生 (沒有發生過，但是有發生的可能) 威脅來源缺乏動機且能力不足防制脆弱性被利用的安全對策有效發生頻率低 (平均每年發生的次數不到一次) 威脅來源有動機也有能力防制脆弱性被利用的安全對策有效有可能發生 (平均每年都可能發生一次以上) 威脅來源有強烈的動機與足夠的能力防制脆弱性被利用的安全對策無效時常發生 (平均每月都可能發生一次以上) 威脅來源有強烈的動機與足夠的能力防制脆弱性被利用的安全對策無效發生頻率非常高 (平均每週都可能發生一次以上). 學. 1. 治政說明(外部威脅有可能危害資訊資產) 大立威脅來源缺乏動機而且能力不足. y. 威脅等級評價. Ch. engchi. i n U. v. 資料來源：[18]. 表 2-7：脆弱點等級評價表脆弱點等級評價 1 (低) 很難被利用. 2 (中). 說明(本身有弱點，容易遭外部威脅所利用) 1.必需運用特殊的方法才能利用脆弱點進行攻擊 2.威脅來源必須花費長時間(可能需一個月以上)的資料收集,突破各層防護,才能接觸到關鍵資訊 3.攻擊成功:可能要1~數個月 1.不需用特殊的方法就能利用脆弱點進行攻擊; 40.

(51) 被利用難度適中. 3 (高) 很容易被利用. 2.已實施保護的機制,威脅來源必須花費一段時間(可能是數天)進行資料收集即能接觸到關鍵資訊 3.攻擊成功:可能是數天以上 1.利用簡易的方法就能利用脆弱點進行攻擊 2.未實施保護或保護機制無效,威脅來源於短期內即可攻擊成功 3.攻擊成功:可能是一天內到數天資料來源：[18]. 表 2-8：衝擊等級評價表. 1.對於業務執行沒有影響; 2.可以立即完成復原 1.對於業務執行沒有影響; 2.可以立即完成復原 3.若持續發生且次數頻繁,對業務執行可能帶來潛在風險 1.對於公司整體業務執行影響不大; 2.造成的損失可能僅影響單一業務或系統; 3.損失可能影響僅個人或少數幾人; 4.可以由個人進行復原; 5.修復或進行復原的措施可以在很短時間(1小時)內完成 1.對於公司整體業務執行造成損害; 2.造成的損失可能影響多種業務或數個系統; 3.損失可能影響多個部門或合作夥伴; 4.復原的措施必須由專業人員才能進行; 5.復原可能要數個小時~到一天才能完成 1.公司整體業務執行造成損害; 2.事件處理不當可能對公司形象造成損害; 3.造成的損害可能影響全公司; 4.系統或相關服務停頓或癱瘓,業務無法運作; 5.合作夥伴或客戶失去信心; 6.復原的措施僅能由特定專業人員才能進行或修復人員不易取得; 7.復原無法於一天才能完成; 8.可能造成人員傷亡. ‧ 國. ‧. 2 (輕微). 立. 政治說明大. 學. 衝擊等級評價 0 (可忽略) 1 (微弱). sit. n. al. er. io. 4 (癱瘓). y. Nat. 3 (嚴重). Ch. engchi. i n U. 資料來源：[18]. 41. v.

(52) 最後將總風險值的最大值和最小值相減再分成四個等分，即可得到 4 個風險等級的級距，在組織管理階層的決議，先進行最高等級風險處理，次高等級風險控管或移轉，並面對可接受的風險等級。 2.5.2. 風險處理經過前面的步驟，作好資訊安全管理系統範圍內的資產盤點和風險等級評鑑後，可以得到資產的風險等級分佈，針對高風險等級的資產作風險處理。風險處理計劃通常包含了 4 個目的： (1) 消除風險。. 立. 政治大. (2) 將無法消除的風險，透過控制機制將其降低到可以接受的程度. ‧ 國. 學. (3) 如果決定和風險共存，就必須透過謹慎的控制讓風險的發生仍維持在可以接受. ‧. 的範圍。. (4) 或者，用另一種思維，透過保險或簽定維護合約的方式將風險轉移到其他的協. y. Nat. io. sit. 力廠商。. n. al. er. 但是在加入控制措施後，我們還必須考慮，加入的控制措施是否能夠移除威脅發生. Ch. i n U. v. 的可能，降低威脅所發生的頻率或是降低威脅所造成的衝擊，再依前面風險評鑑的方法，. engchi. 重新作威脅等級評價，脆弱點評價及衝擊等級評價。再去檢視其殘餘風險等級是否在可以接受的風險程度內。如果，還是高於可接受風險等級，就可以增加控制目標以及對應的控制措施，以降低其風險等級。若増加控制目標無法將風險降到可以接受的等級，或是增加控制措施的成本太高時，可以考慮透過保險，將風險轉嫁給保險公司或是維護合約，將風險轉嫁給協力廠商。. 42.