1 |
ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例 / Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C孫天貴, Sun, Tien Kuei Unknown Date (has links)
隨著資訊科技的蓬勃發展,資訊技術可以提昇組織效率與競爭力,資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生,資訊犯罪手法不斷翻新,所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮,對單位或公司而言風險不斷提高,傷害亦相對嚴重,甚至導致公司信譽破產,面臨倒閉威脅,為保護組織內部資訊相關資產與個人資料,並保持組織持續正常運作,資訊安全管理系統(ISMS)與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法;ISMS與PIMS分兩次來導入,造成組織增加工作負荷,有疊床架屋情形,成本有部分重複投資現象。本研究試著以資料的生命週期,資訊安全的機密性、完整性、可用性,PDCA運作模型...等角度進行本質上探討,來進行整合ISMS與PIMS的整合工作。
經文獻探討與專家學者建議,本研究突破各項盲點,從各角度分析進行多面向整合工作,並提出4點可有效整合具體作法:1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件,產出ISO27001適用性聲明須包含個資法。
本研究以國防部網站系統為例,運用整合結果進行實作,將實作經驗分享給未來有意導入ISMS與PIMS之IT人員,實作結果也證實本研究提出論點確實有效,更有效且更有邏輯性的面對各種資安與個資問題,以作業流程面來分析資安與個資,讓每個控制點更加明確,最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作,也證明本研究整合後,在實施(Plan-Do-Check-Act)管理系統確實有效,均能符合相關標準與法規。
|
Page generated in 0.03 seconds