從近來的詐騙案件中可發現，不管是公務或非公務機關，都曾出現個資遭竊或外洩的案例。在1995(民國84) 年公布施行的「電腦處理個人資料保護法」，是針對個人資料保護提供相關規範的重要法源依據，但該法所保護的個人資料侷限在電腦所處理之資料，並有行業別的限制，早已不合時宜且漏洞百出。有鑑於此，在2010(民國99) 年4 月立法院三讀通過「電腦處理個人資料保護法修正案」，遂將該法更名為「個人資料保護法」並大幅修改內容。未來公務機關和非公務機關與自然人，對人民蒐集、處理或利用個人資料，將一體適用新版個資法，而且擴大保護客體範圍，不以經電腦處理之個人資料為限，還包括以人工處理之紙本資料。
保護公司及客戶機密資料不致外洩，一直是資訊安全管理中非常重要的一個區塊，以往對資訊安全所做的規劃，大多主要是防止如駭客、病毒等外部攻擊以及制定資安政策；儘管有些企業對資訊安全考量較周全，建構了包括入侵防護系統(Intrusion Prevention System；IPS)、入侵偵測系統(Intrusion Detection System；IDS)、防火牆、防毒牆、身分認證等安全防護機制，但就像居家防護一樣，不管是有保全24小時看顧、設置防盜裝置、養狗等等，仍然沒有人敢保證家裏不會被偷兒光顧。同理，資安防護不管如何嚴密，都只是降低資安風險發生的可能而已，資料外洩的風險仍舊無法降到零。
公務機關挾職務之便，擁有大量個人資料，在新版個資法實施後，未來公務機關在執行業務時，對個人資料的蒐集、處理及運用上，都會受到新版個資法的規範，因此本研究希望公務機關建置合適的資訊安全架構及管理機制，以符合新版個資法的要求。

It can be found that some of personal profiles were theft or leaked from the recent fraud cases, whether in public or non-public agencies. The important legal basis and providing relevant norms of personal data protection named "Computer-Processed Personal Data Protection Act" was announced in 1995. Because the area of data protection just be limited in the processing of data within the computer and confined to some industries, the act has been outdated and flawed. In view of this, "Computer-Processed Personal Data Protection Act Amendment" was gone through the entire three-reading procedure by legislative Yuan by significantly modifying the contents and renamed it to "Personal Data Protection Act" on April 2010. From now on, public agencies, non-official agencies and individuals should all follow this new version act when collecting, processing or using personal data. Furthermore, new act also extends the protection scope, not just computer processing data but also includes manual processing t information.
It’s a very important block to protect companies’ and customers’ confidential information from being leaked on information security management. In the past, the plan for information security mostly is to prevent hackers, viruses and other external attacks and develop information security policies. Some enterprises are considering more holistic by constructing intrusion prevention system (IPS), intrusion detection system (IDS), firewall, antivirus wall, identity authentication and other security mechanisms. But just as home protection, no one can guarantee not be stolen even having a standing guard over 24 hours or anti-theft device or watchdogs, etc. Similarly, the risk of data leakage could not be reduced to zero no matter how to consolidate the information protection security.
Public agencies have a lot of personal information relying on their positions. After the new version act implemented, they will be subject to the new norms of the Personal Information Protection Act when collecting, processing and using personal data. This study focuses on building appropriate information security architecture and management mechanism for public agencies so can meet the new requirements.

第一章 緒論 1
第一節 研究背景 1
第二節 研究動機 2
第三節 問題描述 3
第四節 研究目的 4
第五節 研究方法 5
第二章 文獻探討 7
第一節 資訊安全與目標 7
第二節 資訊安全風險管理 12
第三節 個人資料保護國際組織發展趨勢 17
第四節 資訊安全標準介紹 21
第五節 我國個人資料保護法 25
第三章 研究設計與研究方法 31
第一節 質性研究的意義 31
第二節 質性研究設計 32
第三節 質性資料研究法 33
第四節 個案研究法 35
第五節 文件資料收集 38
第四章 個案研究及分析 41
第一節 個案機關簡介 41
第二節 個案機關資訊安全管理措施 45
第三節 因應新版個資法政策及安全機制 72
第五章 結論與建議 84
第一節 結論 84
第二節 建議與未來研究方向 85
第六章 參考文獻 88
附錄1 90
附錄2 96

[1]劉靜怡，從Cookies以及類似資訊科技的使用淺論網際網路上的個人資訊隠私保護問題，資訊法律透析，1997年10月，頁22以下。
[2]賴文智、劉承愚、顏雅倫，網路事業經營必讀，元照出版有限公司，2001年5月初版個人資料保護154頁。
[3]詐騙集團資料 大多來自銀行不肖員工2004/04/27
http://www.epochtimes.com/b5/4/4/27/n522191.htm
[4]洩漏個資侵隱私 博客來判賠2008/11/20
http://webcache.googleusercontent.com/search?q=cache:d9mt_55IuSwJ:blog.chinatimes.com/blognews/archive/2008/11/20/351004.html+&cd=13&hl=zh-TW&ct=clnk&gl=tw
[5]東森購物又出包　8千筆個資遭廉價賣2009/06/11
http://www.cardu.com.tw/news/detail.htm?nt_pk=28&ns_pk=7068
[6]報導：街景車收集Wi-Fi資料，Google可能面臨多國政府調查2010/05/19
http://webcache.googleusercontent.com/search?q=cache:bJt5lx5keicJ:www.ithome.com.tw/itadm/article.php?c=61258+&cd=4&hl=zh-TW&ct=clnk&gl=tw
[7] PSN個資被盜 SONY恐賠7000 億2011/4/30
http://earthk2011.blogspot.tw/2011/04/psn-sony7000.html
[8]不當使用個資 3公司遭罰2012/3/8
http://tw.news.yahoo.com/不當使用個資-3公司遭罰-120916625.html
[9]為疾管局喝采！首位勇於面對外洩問題的主管2008/05/15
http://www.informationsecurity.com.tw/article/article_detail.aspx?t2id=5&aid=4434
[10]千筆中信局客戶個資丟馬路2010/06/20
http://www.appledaily.com.tw/appledaily/article/headline/20100620/32600661/
[11]電腦處理個人資料保護法(民國 84 年 08 月 11 日 )
http://law.moj.gov.tw/LawClass/LawOldVer_Vaild.aspx?PCODE=I0050021
[12]個人資料保護法
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
[13]ISO/IEC 27001:2005「Information technology awClass/LawAll.aspx?PCode=I0050021=I005002132600661/d=4434公司%E。
[14]統計月報
http://www.epza.gov.tw/people/formdownload.aspx?pageid=d38367c2308a14d9

[15]微軟資訊安全概論
https://partner.microsoft.com/taiwan/40068847
[16]林東清，資訊管理四版-e化企業的核心競爭能力，智勝，2010年9月四版427頁
[17]陳振楠、林永修、王瑞祥，資訊安全與法律特訓教材，松崗
[18]BS7799 資訊安全管理系統
http://keyin.victory.org.tw/keyin/eng_tab3_01.htm
[19]賽門鐵克：駭客攻擊與人為疏失並列企業資料外洩主因，自由時報電子報 2012/10/18
http://iservice.libertytimes.com.tw/3c/news.php?no=7358&type=5
[20]台菲掀網軍大戰台灣擋菲IP 中央通訊社 2013/05/13
http://www.cna.com.tw/Topic/Popular/3699-1/201305130064-1.aspx
[21]國檔局電子公文被駭 政府機關、學校中招 2013/05/24
http://udn.com/NEWS/NATIONAL/NAT1/7918507.shtml
[22]解析資訊安全控制措施(二) - 資產管理與人力資源安全
http://jackforsec.blogspot.tw/2011/04/blog-post.html
[23]企業如何因應新版個人資料保護法 張紹斌
[24]公部門資訊安全治理 黃國欽
[25]保障外地存取公務資料安全 楊惠珉