政大機構典藏-National Chengchi University Institutional Repository(NCCUR):Item 140.119/79204
English  |  正體中文  |  简体中文  |  Post-Print筆數 : 27 |  Items with full text/Total items : 113656/144643 (79%)
Visitors : 51735108      Online Users : 607
RC Version 6.0 © Powered By DSPACE, MIT. Enhanced by NTU Library IR team.
Scope Tips:
  • please add "double quotation mark" for query phrases to get precise results
  • please goto advance search for comprehansive author search
  • Adv. Search
    HomeLoginUploadHelpAboutAdminister Goto mobile version
    Please use this identifier to cite or link to this item: https://nccur.lib.nccu.edu.tw/handle/140.119/79204


    Title: ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例
    Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C
    Authors: 孫天貴
    Sun, Tien Kuei
    Contributors: 左瑞麟
    Tso, Ray Lin
    孫天貴
    Sun, Tien Kuei
    Keywords: 資訊安全管理系統(ISMS)
    個人資料管理系統(PIMS)
    MSS
    個人資料保護法
    ISO27001
    TPIPAS
    BS10012
    Date: 2015
    Issue Date: 2015-11-02 14:49:37 (UTC+8)
    Abstract: 隨著資訊科技的蓬勃發展,資訊技術可以提昇組織效率與競爭力,資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生,資訊犯罪手法不斷翻新,所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮,對單位或公司而言風險不斷提高,傷害亦相對嚴重,甚至導致公司信譽破產,面臨倒閉威脅,為保護組織內部資訊相關資產與個人資料,並保持組織持續正常運作,資訊安全管理系統(ISMS)與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法;ISMS與PIMS分兩次來導入,造成組織增加工作負荷,有疊床架屋情形,成本有部分重複投資現象。本研究試著以資料的生命週期,資訊安全的機密性、完整性、可用性,PDCA運作模型...等角度進行本質上探討,來進行整合ISMS與PIMS的整合工作。
    經文獻探討與專家學者建議,本研究突破各項盲點,從各角度分析進行多面向整合工作,並提出4點可有效整合具體作法:1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件,產出ISO27001適用性聲明須包含個資法。
    本研究以國防部網站系統為例,運用整合結果進行實作,將實作經驗分享給未來有意導入ISMS與PIMS之IT人員,實作結果也證實本研究提出論點確實有效,更有效且更有邏輯性的面對各種資安與個資問題,以作業流程面來分析資安與個資,讓每個控制點更加明確,最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作,也證明本研究整合後,在實施(Plan-Do-Check-Act)管理系統確實有效,均能符合相關標準與法規。
    Reference: [1] 避免多頭馬車管理 PIMS與ISMS踏上整合之路,Information Security 資安人科技網,網址:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5910。
    [2] 從管理與組織角度一探個資法因應之道,Information Security 資安人科技網,網址:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7221#ixzz3UQvFndy3。
    [3] 黃小玲(2010),清流月刊中華民國九十九年十一月號,網址:http://www.mjib.gov.tw/cgi-bin/mojnbi?/d2/9911/4-1.htm。
    [4] 鄭東昇(2005),「資訊安全管理系統與企業網路安全實作探討」,交 通 大 學,碩士論文。
    [5] 鄭伊雯(2012),「植基於 ISO 27001 建立符合 BS 10012 之 個人資訊管理自我評鑑模式」中原大學,碩士論文。
    [6] 經濟部商業司TPIPAS臺灣個人資料保護與管理制度規範,網址:http://www.tpipas.org.tw/model.aspx?no=159 。
    [7] 樊國禎博士(2014),「ISMS新版實作初探:擴增MSS的ISMS初論之一」,台灣網路防護協會,經濟部標準局103年第1季資訊安全管理系統標準化系列討論會。
    [8] ISO (2001) Guidelines for the justification and development of management system standards,ISO Guide 72:2001(E).
    [9] ANSI et al. (2007) Justification study for a new work item proposal for a energy management standard ad guidance document.
    [10] ISO/TMB (2009) Request for feedback and comment on proposed identical sub-classes titles for management system standards, 2009-04-10.
    [11] ISO/TMB (2009) Request for feedback and comment on proposed common terms and core definitions for management system standards, 2009-04-20.
    [12] ISO/IEC JTC 1/SC 27 (2010) Text for ISO/IEC 4th WD 27001 – information technology – Security techniques – Information security management systems – Requirements, 2010-11-15.
    [13] ISO/IEC JTC 1/SC 27 (2010) Whitepaper future of ISO/IEC 27001 and management system standards (MSS), ISO/IEC JTC 1/SC 27 N8662, 2010-07-15.
    [14] ISO (2009) Risk management –principles and guidelines, ISO 31000:2009(E).
    [15] ISO (2010) Information and documentation – Management system for records – Fundamentals and vocabulary, ISO DIS 30300:2010-05-21, Figure 3, p. 7.
    [16] 徐弘昌(2009),「以ISO 27001為基礎評估電信業資訊安全管理- 以第一類電信業者為例」,交通大學,碩士論文
    [17] 張文瀞(2014) ,「 ISO27001:2013和ISO27001:2005的主要差異」,臺灣大學計算機及資訊網路中心程式設計組副理張文瀞2014.09.20發行ISSN 2077-8813,網址:http://www.cc.ntu.edu.tw/chinese/epaper/0030/20140920_3003.html
    [18] 李慧蘭(2006),「國際資訊安全標準ISO 27001之網路架構設計–以國網中心為例探討風險管理」,國家實驗研究院國家高速網路與計算中心,期刊
    [19] 張芳珍(2004) ,「以BS7799 落實資訊安全管理-管理類資訊資產分類與控管」,碩士論文
    [20] 劉永禮(2001) ,「以BS7799 資訊安全管理規範建構組織資訊安全風險管理模式之研究」,碩士論文。
    [21] 黃小玲(2011),「個資法與國際隱私管理標準、規範之分析與應用」,資訊安全通訊,3(7),21-36
    [22] 最佳化企管顧問有限公司何銘燁講師資訊安全/個資法風險管理(ISO27005) 實務訓練課程
    [23] 行政院國家資通安全會報技術服務中心100年資訊系統風險評鑑參考指引實務導入報告,網址:https://www.icst.org.tw/CommonSpecification.aspx?lang=zh。
    Description: 碩士
    國立政治大學
    資訊科學學系
    100971010
    Source URI: http://thesis.lib.nccu.edu.tw/record/#G0100971010
    Data Type: thesis
    Appears in Collections:[Department of Computer Science ] Theses

    Files in This Item:

    File SizeFormat
    101001.pdf4257KbAdobe PDF21731View/Open


    All items in 政大典藏 are protected by copyright, with all rights reserved.


    社群 sharing

    著作權政策宣告 Copyright Announcement
    1.本網站之數位內容為國立政治大學所收錄之機構典藏,無償提供學術研究與公眾教育等公益性使用,惟仍請適度,合理使用本網站之內容,以尊重著作權人之權益。商業上之利用,則請先取得著作權人之授權。
    The digital content of this website is part of National Chengchi University Institutional Repository. It provides free access to academic research and public education for non-commercial use. Please utilize it in a proper and reasonable manner and respect the rights of copyright owners. For commercial use, please obtain authorization from the copyright owner in advance.

    2.本網站之製作,已盡力防止侵害著作權人之權益,如仍發現本網站之數位內容有侵害著作權人權益情事者,請權利人通知本網站維護人員(nccur@nccu.edu.tw),維護人員將立即採取移除該數位著作等補救措施。
    NCCU Institutional Repository is made to protect the interests of copyright owners. If you believe that any material on the website infringes copyright, please contact our staff(nccur@nccu.edu.tw). We will remove the work from the repository and investigate your claim.
    DSpace Software Copyright © 2002-2004  MIT &  Hewlett-Packard  /   Enhanced by   NTU Library IR team Copyright ©   - Feedback