TW201512862A - 一種與資訊安全風險評鑑結合的隱私衝擊分析方法 - Google Patents
一種與資訊安全風險評鑑結合的隱私衝擊分析方法 Download PDFInfo
- Publication number
- TW201512862A TW201512862A TW102134678A TW102134678A TW201512862A TW 201512862 A TW201512862 A TW 201512862A TW 102134678 A TW102134678 A TW 102134678A TW 102134678 A TW102134678 A TW 102134678A TW 201512862 A TW201512862 A TW 201512862A
- Authority
- TW
- Taiwan
- Prior art keywords
- risk assessment
- information security
- security risk
- information
- asset
- Prior art date
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一種與資訊安全風險評鑑結合的隱私衝擊分析方法,係指一種達成新版個人資料法法規要求之隱私衝擊分析方法,對於已通過ISO/IEC 27001認證的企業組織,不必重新執行完整個資風險評鑑,可快速結合至組織現有遵循ISO/IEC 27005的風險評鑑方法,可節省人力及時間成本的耗費並簡化後續管理及處理。本發明所提出的一種與資訊安全風險評鑑結合的隱私衝擊分析方法,主要係由(一)擷取現有資訊安全風險評鑑資料、(二)判定隱含個資之資產、(三)進行隱私衝擊評估、(四)回饋資產價值及衝擊值所組成。
Description
本發明係有關於一種與資訊安全風險評鑑結合的隱私衝擊分析方法,特別是指一種達成新版個人資料法法規要求之隱私衝擊分析方法,可快速結合至現有遵循ISO/IEC 27005的資訊安全風險評鑑。
資訊系統應用近年來成長速率驚人,諸多交易行為、客戶機密資料、組織重要資訊紛紛改為透過資訊系統進行存取,因此資訊系統的安全層級逐漸獲得重視。國際標準ISO/IEC 27001的取得,可證明認證範圍內的資訊系統,可以達到ISO/IEC 27001中各項控制措施的安全要求,藉此可確立資訊系統的安全層級,並獲得客戶在業務或系統上的信任。另隨著民國99年新版個人資料保護法三讀通過及消費者隱私防護觀念的提升,企業必須自行舉證確實符合法規要求,清查內部所留存之個資項目,進行個資風險評鑑。
企業組織在導入國際標準ISO/IEC 27001的過程中,資訊安全風險評鑑為驗證查核時的必要檢查項目,其目的為評鑑該組織各資訊資產在資訊安全層面的風險程度,藉以揭露組織所存在的安全風險,並在可接受的範圍與資源內執行風險處理,在執行風險評鑑時,普遍是以國際標準
ISO/IEC 27005作為主要的參考指引,其標準建議資訊安全風險評鑑須執行以下步驟:(一)資產識別;(二)風險識別;(三)風險分析;(四)風險評估。
雖然遵循ISO/IEC 27005指引可以幫助組織進行風險評鑑,但無法囊括新版個人資料保護法基於隱私權保護的必要要求,因此對於已經取得ISO/IEC 27001認證的企業組織,還需要額外再獨立進行個資風險評鑑,來識別出組織內隱含個資之資產並建立安全管控措施,以滿足新版個人資料保護的法律層面要求。為確保法規的遵循,主要係由個人資料保護法作為主軸出發並以BS 10012及ISO/IEC 29100作為重要的參考依據。在進行個資風險評鑑,普遍須執行以下步驟(一)資產識別;(二)個資盤點;(三)隱私衝擊評估;(四)個資風險識別;(五)個資風險估計;(六)個資風險評估。
然而組織進行資訊安全風險評鑑及個資風險評鑑的過程時,往往是採用兩個獨立的方法論,兩者之間並無關聯性。如此將必須執行兩次的資產識別,造成雙倍人力及時間成本的耗費,但如僅以之前資訊安全風險評鑑所識別出來的資產來進行個資風險評鑑,又將因為資產項目太過繁雜而造成後續執行個資風險評鑑的困難,且因為資訊安全風險評鑑及個資風險評鑑所採用的方法論不同,使得同一資產之重要性及其價值識別結果的不一致,這將促使後續管理及處理上的困難,並導致管理成本的增加。
在先前的專利技術I340924中有提及利用物件導向概念,建立能隨時產生動態內容的評估報表與控制措施的資訊管理系統,使各機關團體能快速簡便地完成各項標準的導入,然I340924並無提及是否能導入符合新版個人資料法的個資風險評鑑,且即便能導入各項標準,但各項標準之間的方法論仍舊各自獨立,並無法解決公司在導入資訊安全風險評鑑及執
行個資風險評鑑方法論各自獨立之問題,這對於已經導入ISO/IEC 27001的企業組織,將造成龐大的人力及時間成本耗費,且促使後續管理上的困難。
由此可見,上述習用方式仍有諸多缺失,實非一良善之設計,而亟待加以改良。
本案發明人鑑於上述習用方式所衍生的各項缺點,乃亟思加以改良創新,並經苦心孤詣潛心研究後,終於成功研發完成本件一種與資訊安全風險評鑑結合的隱私衝擊分析方法。
本發明之目的即在於提供一種與資訊安全風險評鑑結合的隱私衝擊分析方法,對於已通過ISO/IEC 27001認證的企業組織,不必重新執行完整個資風險評鑑,可快速結合本方法所提出之隱私衝擊分析至組織內已經存在遵循ISO/IEC 27005的風險評鑑方法,並可省略執行個資風險評鑑時的資產識別步驟及資產風險管理一致化之目的,以節省人力及時間成本的耗費並簡化後續管理及處理。
本發明之再一目的即在於提供一種與資訊安全風險評鑑結合的隱私衝擊分析方法,以符合個人資料保護法、ISO/IEC 29100及BS 10012中對於個人資料保護之要求,藉此提升組織資訊安全及個人資料管理的水準並符合新版個人資料保護法法規要求。
可達成上述發明目的之一種與資訊安全風險評鑑結合的隱私衝擊分析方法,係利用企業組織內現有的資訊安全風險評鑑方法所產製出的資訊安全風險評鑑結果,結合本發明所提出的隱私衝擊分析方法,藉此
達成省略個資風險評鑑資產識別步驟之目的,並透過企業組織內原有的資訊安全風險評鑑方法,執行後續的風險識別、分析、評估步驟,以達成資產風險管理一致化之目的。本發明所提出之一種與資訊安全風險評鑑結合的隱私衝擊分析方法,主要係由:(1)擷取現有資訊安全風險評鑑資料:從組織內原有之資訊安全風險評鑑取得資料(2)判定隱含個資之資產:依據原有風險評鑑內所擁有之欄位資訊,判定並擷取可能隱含個人資料之資產項目(3)進行隱私衝擊評估:提供使用者分析擷取之隱含個人資料之資產項目,並依據使用者所填入之資訊,進行正規化以獲得對應之權值,計算出調整後資產價值及隱私衝擊權值(4)回饋資產價值及衝擊值:回饋調整後資產價值及隱私衝擊權值並取代組織現有之資訊安全風險評鑑方法之原有資產價值及原有風險衝擊值。
一種與資訊安全風險評鑑結合的隱私衝擊分析方法,步驟如下:步驟a:擷取現有資訊安全風險評鑑資料,係從組織內原有之資訊安全風險評鑑取得執行隱私衝擊分析所需的資料;步驟b:判定隱含個資之資產,係依據原有風險評鑑內所擁有之欄位資訊,判定並擷取可能隱含個人資料之資產項目;步驟c:進行隱私衝擊評估,係提供使用者分析步驟b所擷取之隱含個人資料之資產項目,並依據使用者所填入之資訊,進行正規化以獲得對應之權值,計算出調整後資產價值及隱私衝擊權值;以及步驟d:回饋資產價值及衝擊值,係回饋隱私衝擊權值並取代組織現有之資訊安全風險評鑑方法之原有風險衝擊值。
其中該資訊安全風險評鑑資料係遵循ISO/IEC 27005程序所建立,其中取得資料種類的多寡則依據原有資訊安全風險評鑑所存在的資料而定,包括營運衝擊問卷、營運過程、營運過程重要性、資產項目、資產機密性、資產價值、風險威脅與弱點、風險項目、威脅的發生機率或可能性、風險衝擊值、風險值。
其中該判定隱含個資之資產的判定基準,則依據企業組織營運目標及政策法規要求而異。
其中該使用者所填入之資訊,為企業組織依據營運目標及政策法規所建立供分析之資料,包括個資欄位、個資數量、個資月處理量、個資欄位敏感度、個資用途。
其中該對應之權值,依據企業組織於組織營運目標及政策法規的不同而有所差異,包括識別權值、個資數量權值、個資新鮮度權值、敏感度權值、用途權值。
本發明所提供之一種與資訊安全風險評鑑結合的隱私衝擊分析方法,與其他習用技術相互比較時,更具備下列優點:
1.本發明對於已通過ISO/IEC 27001認證的企業組織,不必重新執行完整個資風險評鑑流程,即可快速識別出組織內隱含個資之資產並建立安全管控措施,以滿足新版個人資料保護的法律層面要求。
2.本發明可與現有遵循ISO/IEC 27005的資訊安全風險評鑑結合,省略個資風險評鑑資產識別步驟,並透過企業組織內原有遵循ISO/IEC 27005的資訊安全風險評鑑方法,執行後續的風險識別、分析、評估步驟,使資產風險管理流程一致化,藉此可節省人力及時間成本的耗費並簡化
後續風險管理及處理。
上列詳細說明係針對本發明之一可行實施例之具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不但在空間型態上確屬創新,並能較習用物品增進上述多項功效,應已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請 貴局核准本件發明專利申請案,以勵發明,至感德便。
11‧‧‧擷取現有資訊安全風險評鑑資料
12‧‧‧判定隱含個資之資產
13‧‧‧進行隱私衝擊評估
14‧‧‧回饋資產價值及衝擊值
15‧‧‧原有資訊安全風險評鑑資料
第1圖為本發明之一種與資訊安全風險評鑑結合的隱私衝擊分析方法之流程圖。
為利 貴審查委員了解本發明之技術特徵、內容與優點及其所能達到之功效,茲將本發明配合附圖,並以實施例之表達形式詳細說明如下,而其中所使用之圖式,其主旨僅為示意及輔助說明書之用,未必為本發明實施後之真實比例與精準配置,故不應就所附之圖式的比例與配置關係解讀、侷限本發明於實際實施上的權利範圍,合先敘明。
請參考圖一,為本發明一種與資訊安全風險評鑑結合的隱私衝擊分析方法之流程圖,由圖中可知,其步驟包含:
擷取現有資訊安全風險評鑑資料11,從組織內原有資訊安全風險評鑑15取得可供分析之資料,其中取得資料種類的多寡則依據原有資訊安全風險評鑑所存在的資料而定,如:原有資訊安全風險評鑑15資產識別階段取得營運過程、營運過程重要性、資產項目、資產機密性、資產價值資料,原有資訊安全風險評鑑15風險識別階段取得風險威脅與弱點、風險項目資料,原有資訊安全風險評鑑15風險分析階段取得威脅的發生機率或可能性、風險衝擊值、風險值資料。
判定隱含個資之資產12,透過擷取現有資訊安全風險評鑑資料11所取得之風險評鑑資料,判定可能隱含個人資料之資產項目,並將其擷取出來以供後續分析使用,其中判定基準則依據企業組織營運目標及政策法規要求而異,,如:資產之機密性超過企業組織所規範之數值、資產用途符合企業組織認定高隱私風險之特定用途、資產存在特定之威脅與弱點。
進行隱私衝擊評估13,依據企業組織營運目標及政策法規建立供分析之資料,如個資欄位、個資數量、個資月處理量、個資欄位敏感度、個資用途,提供使用者填入判定隱含個資之資產12所擷取之隱含個人資料之資產項目的個資相關資訊,並依據使用者所填入之資訊,進行正規化以獲得對應之權值,正規化的方式可依據企業組織需求進行調整,如數量權值(WN)=Log(資料筆數+1)、新鮮權值(Wfresh)=1+(月處理量+月蒐集量)/資料筆數,獲得權值的種類,則依據企業組織於組織營運目標及政策法規的不同而有所差異,如:識別權值、個資數量權值、個資新鮮度權值、敏感度權值、用途權值,並利用上述權值以及原資產價值、原風險評鑑風險衝擊值,計算出調整後資產價值及隱私衝擊權值,計算方式可依據企業組織需求進行調整,如隱私衝
擊權值=識別權值×個資數量權值×個資新鮮度權值×敏感度權值×用途權值。權值的種類越多,隱私衝擊評估的有效性則越高,隱私衝擊權值表示當個資外洩時的衝擊程度。
回饋資產價值及衝擊值14,將進行隱私衝擊評估13所獲得之調整後資產價值及隱私衝擊權值,回饋並取代組織現有資訊安全風險評鑑方法之原有資產價值及風險衝擊值,組織再依其資訊安全風險評鑑原有方法論執行後續的風險識別、分析、評估步驟,以達成資產風險管理一致化之目的。
本發明所提供之一種與資訊安全風險評鑑結合的隱私衝擊分析方法,與其他習用技術相互比較時,更具備下列優點:
1.本發明對於已通過ISO/IEC 27001認證的企業組織,不必重新執行完整個資風險評鑑流程,即可快速識別出組織內隱含個資之資產並建立安全管控措施,以滿足新版個人資料保護的法律層面要求。
2.本發明可與現有遵循ISO/IEC 27005的資訊安全風險評鑑結合,省略個資風險評鑑資產識別步驟,並透過企業組織內原有遵循ISO/IEC 27005的資訊安全風險評鑑方法,執行後續的風險識別、分析、評估步驟,使資產風險管理流程一致化,藉此可節省人力及時間成本的耗費並簡化後續風險管理及處理。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明
專利要件,爰依法提出申請,懇請 貴局核准本件發明專利申請案,以勵發明,至感德便。
11‧‧‧擷取現有資訊安全風險評鑑資料
12‧‧‧判定隱含個資之資產
13‧‧‧進行隱私衝擊評估
14‧‧‧回饋資產價值及衝擊值
15‧‧‧原有資訊安全風險評鑑資料
Claims (5)
- 一種與資訊安全風險評鑑結合的隱私衝擊分析方法,步驟如下:步驟a:擷取現有資訊安全風險評鑑資料,係從組織內原有之資訊安全風險評鑑取得執行隱私衝擊分析所需的資料;步驟b:判定隱含個資之資產,係依據原有風險評鑑內所擁有之欄位資訊,判定並擷取可能隱含個人資料之資產項目;步驟c:進行隱私衝擊評估,係提供使用者分析步驟b所擷取之隱含個人資料之資產項目,並依據使用者所填入之資訊,進行正規化以獲得對應之權值,計算出調整後資產價值及隱私衝擊權值;以及步驟d:回饋資產價值及衝擊值,係回饋隱私衝擊權值並取代組織現有之資訊安全風險評鑑方法之原有風險衝擊值。
- 如申請專利範圍第1項所述之一種與資訊安全風險評鑑結合的隱私衝擊分析方法,其中該資訊安全風險評鑑資料係遵循ISO/IEC 27005程序所建立,其中取得資料種類的多寡則依據原有資訊安全風險評鑑所存在的資料而定,包括營運衝擊問卷、營運過程、營運過程重要性、資產項目、資產機密性、資產價值、風險威脅與弱點、風險項目、威脅的發生機率或可能性、風險衝擊值、風險值。
- 如申請專利範圍第1項所述之一種與資訊安全風險評鑑結合的隱私衝擊分析方法,其中該判定隱含個資之資產的判定基準,則依據企業組織營運目標及政策法規要求而異。
- 如申請專利範圍第1項所述之一種與資訊安全風險評鑑結合的隱私衝擊分析方法,其中該使用者所填入之資訊,為企業組織依據營運目標及政 策法規所建立供分析之資料,包括個資欄位、個資數量、個資月處理量、個資欄位敏感度、個資用途。
- 如申請專利範圍第1項所述之一種與資訊安全風險評鑑結合的隱私衝擊分析方法,其中該對應之權值,依據企業組織於組織營運目標及政策法規的不同而有所差異,包括識別權值、個資數量權值、個資新鮮度權值、敏感度權值、用途權值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102134678A TW201512862A (zh) | 2013-09-26 | 2013-09-26 | 一種與資訊安全風險評鑑結合的隱私衝擊分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102134678A TW201512862A (zh) | 2013-09-26 | 2013-09-26 | 一種與資訊安全風險評鑑結合的隱私衝擊分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201512862A true TW201512862A (zh) | 2015-04-01 |
Family
ID=53437145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102134678A TW201512862A (zh) | 2013-09-26 | 2013-09-26 | 一種與資訊安全風險評鑑結合的隱私衝擊分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TW201512862A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI672604B (zh) * | 2015-10-19 | 2019-09-21 | 日商日本電氣股份有限公司 | 資訊處理裝置、安全管理系統、安全對策提供方法、安全資訊配送方法及程式 |
-
2013
- 2013-09-26 TW TW102134678A patent/TW201512862A/zh unknown
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI672604B (zh) * | 2015-10-19 | 2019-09-21 | 日商日本電氣股份有限公司 | 資訊處理裝置、安全管理系統、安全對策提供方法、安全資訊配送方法及程式 |
| US10699019B2 (en) | 2015-10-19 | 2020-06-30 | Nec Corporation | Information processing apparatus, security management system, security measure providing method, security information distribution method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Eling et al. | What do we know about cyber risk and cyber risk insurance? | |
| Johri et al. | Exploring customer awareness towards their cyber security in the Kingdom of Saudi Arabia: A study in the era of banking digital transformation | |
| US20190295085A1 (en) | Identifying fraudulent transactions | |
| US20200134227A1 (en) | Privacy risk information display | |
| Wang et al. | The impact of use context on mobile payment acceptance: An empirical study in China | |
| Dudin et al. | Mitigation of cyber risks in the field of electronic payments: organizational and legal measures | |
| Unnikrishnan et al. | Do Perceived Risk and Trust affect Consumer Adoption of Mobile Payments? A Study of Indian Consumers. | |
| Anwar et al. | A review of information privacy laws and standards for secure digital ecosystems | |
| Mardjono et al. | Does Forensic Accounting Matter? Diagnosing Fraud Using the Internal Control System and Big Data on Audit Institutions in Indonesia | |
| Zadeh et al. | A cybersecurity risk quantification and classification framework for informed risk mitigation decisions | |
| Yang et al. | Based big data analysis of fraud detection for online transaction orders | |
| CN109345065A (zh) | 一种规避损失分析方法及装置、存储介质、计算机设备 | |
| US11314892B2 (en) | Mitigating governance impact on machine learning | |
| CN116860792A (zh) | 基于数据标签的数据确权方法及系统 | |
| TW201512862A (zh) | 一種與資訊安全風險評鑑結合的隱私衝擊分析方法 | |
| Sahnoune et al. | Watch your mobile payment: an empirical study of privacy disclosure | |
| US20190005504A1 (en) | Dynamic gating fraud control system | |
| Vadlamudi et al. | Unified payments interface–Preserving the data privacy of consumers | |
| Malek | Bigger Is Always Not Better; less Is More, Sometimes: The Concept of Data Minimization in the Context of Big Data | |
| Antonacopoulou et al. | Where was Internal Audit? Professional Misconduct and the Wells Fargo Scandal | |
| Zhao et al. | Research on online consumer building trust and sharing information through value congruence | |
| TW201721528A (zh) | 整合隱私衝擊分析與資訊安全風險評鑑的方法 | |
| US20140350999A1 (en) | System and a method for providing risk management | |
| Korauš et al. | Fraud Red Flags and the Procedure of Implementation of Forensic Audit | |
| Kassim et al. | A measurement model of risk perception in internet banking based on Malaysian context |