Open Access  Subscription Access

近年來全球資訊安全事件不斷發生，所肇生的資訊系統損害、資料毀損、個資外洩、財務詐騙事件也不斷增加；個資法實施之後，資訊系統在技術上、管理上、法規遵循上更具複雜性，稍有不慎，將造成單位重大影響與傷害。為全面性解決資安與個資問題，資訊安全管理系統（ISMS）與個人資訊管理系統（PIMS）整合導入便是一套可有效控制管理之方法。本研究試著以資料的生命週期，資訊安全的機密性、完整性、可用性，PDCA運作模型...等角度進行本質上探討，來進行整合ISMS與PIMS的整合工作。本研究從各角度分析進行多面向整合工作，並提出4點可有效整合具體作法：1.清查作業流程須包含個人資料所延伸之流程。2.進行作業流程上資訊資產及個資清查作業。3.資訊資產及個人資料風險評鑑作業。4.建立ISMS與PIMS四階文件，產出ISO27001適用性聲明須包含個資法。以國防部網站系統為實作目標，運用整合結果進行實作，結果也證實本研究提出論點確實有效，更有效且更有邏輯性的面對各種資安與個資問題，以作業流程面來分析資安與個資，讓每個控制點更加明確，最後運用以各國均能接受的ISO標準（ISO 27001標準包含個資管理流程）來驗證本實作，也證明整合確實有效，均能符合相關標準與法規。

資訊安全管理系統（ISMS）; 個人資料管理系統（PIMS）; 個人資料保護法; MSS; ISO27001; TPIPAS; BS10012