我國企業之資訊安全事件探討－以法令面分析

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：5

、訪客IP：18.189.2.122

姓名

施奕萱(Yi-Xuan Shi) 查詢紙本館藏

畢業系所

會計研究所

論文名稱

我國企業之資訊安全事件探討－以法令面分析
(Discussion on Information Security Incidents in Taiwan from a Legal Perspective)

相關論文

★ 企業社會責任與會計績效指標之關聯性：考量網頁呈現效果	★ 企業社會責任揭露與網頁呈現對企業財務績效之關聯性
★ 企業社會責任與投資人評價之關聯性: 考量網頁呈現效果	★ 採用iXBRL對散戶持股比率與交易量之影響
★ 首次發行代幣公司網站呈現方法與交易量之研究	★ iXBRL是否能降低資訊不對稱？
★ 財務報表API之可行性	★ 功能型與證券型代幣發行白皮書相似度對發行成功與否之影響
★ 首次代幣發行白皮書之主題分析對首次代幣發行之影響	★ 資訊安全事件與公司長短期績效-以臺灣資訊安全事件為例
★ 資訊安全之決定因素-考量家族企業與董事會背景	★ 首次代幣發行白皮書可讀性對募資成功與否之影響
★ 網站資訊揭露對首次代幣發行之影響	★ 公司申請法人機構識別碼對股東權益資金成本之影響
★ COVID-19對於實質盈餘管理之影響	★ COVID-19對資產減損之影響

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

至系統瀏覽論文 ( 永不開放)

摘要(中)

資訊安全議題隨著資訊科技的進步受到關注及重視，但資訊安全的事件仍是不斷地發生。另外，資訊安全事件發生時，公司方也時常試圖撇清其責任與賠償。因此，本研究透過瞭解我國資訊安全現況，包含資訊安全相關法令以及事件特性，釐清資訊安全事件及其相關法令的關係，以及各方所須負責的法律責任，進一步探討我國企業設置資訊安全的誘因。而研究結果發現，我國目前資訊安全法令之誘因程度可能不足夠。第一，並非所有事件類型都有相對應的資訊安全法令予以規範；第二，裁罰對象並非以企業為主；第三，即便企業受裁罰，裁罰金額仍不大。因此，企業若發生資訊安全事件所須負起的法律責任和裁罰，可能不足以促使企業增加資訊安全防護。能否補強此問題，有待未來法令的新增與修改。

摘要(英)

Despite of increasing attention on information security issues, information security incidents still continue to occur. In addition, companies often try to avoid their responsibilities and sanctions on information security breaches. Therefore, this study analyzes the current situation of information security in Taiwan, including the laws related to information security and the characteristics of information security incidents, to discover the insufficiency of Taiwan′s information security laws. The study finds that current penalties for information security breaches are low in Taiwan for certain types of information security incidents. I also find that there is even no penalties for some companies. Overall, my findings show that Taiwan′s laws do not charge enough penalties for firms to address information security.

關鍵字(中)

★ 資訊安全
★ 資訊安全事件
★ 法律責任
★ 法律裁罰

關鍵字(英)

★ Information Security
★ Information Security Incidents
★ Legal Responsibility
★ Sanctions

論文目次

摘要 i
ABSTRACT ii
誌謝 iii
目錄 iv
表目錄 v
圖目錄 vi
一、緒論 1
1-1 研究動機與目的 1
1-2 研究架構 3
二、資訊安全 4
2-1 資訊安全定義 4
2-2 資訊安全IT治理與內部控制 5
2-3 資訊安全事件 7
三、我國資訊安全相關法令介紹 8
3-1 資訊保護 8
3-2 資訊公開 16
3-3 資訊監察 17
3-4 資訊應用 17
四、資訊安全事件與相關法令 20
4-1 事件各方角色之法律權利與責任 20
4-2 資訊安全之法令誘因 30
4-3 未來相關法令 33
五、我國企業資訊安全事件 37
5-1 事件基本特性 38
5-2 事件報導特性 43
5-3 資料外洩特性 45
5-4 事件實際裁罰 48
六、結論與建議 51
參考文獻 52
附錄一中華民國行業標準分類 56
附錄二資訊安全事件類型參考分類 58

參考文獻

中文書籍與論文

林淑芸與金旻珊，「美國COSO內部控制相關報告之介紹」，證券暨期貨月刊，第33期，5-12頁，2015年。
金融聯合徵信中心，「歐盟個人資料保護規則」，金融與徵信叢書，第77期，2017年。
范姜真媺，「日本資訊公開法有關個人資訊之保護」，銘傳大學法學論叢，第6期，59-93頁，2006年。
蔡碧家，「政府資訊公開與個人資料保護之關係－以公務人員個人資料為例」，行政院人事行政總處人事月刊，第330期， 13-19頁，2013年。
顏雅倫與賴文智，「電子簽章法之重點及其衝擊」，網路資訊雜誌，第121期， 91-95頁，2001年。

中文法令規章

中小企業認定標準，2015年3月修正
中華民國刑法，第一章法例，2015年12月修正。
中華民國刑法，第二十八章妨害秘密罪，2013年12月修正。
中華民國刑法，第三十六章妨害電腦使用罪，2003年6月增訂。
中華民國行業標準分類，2016年1月修正。
公開發行公司建立內部控制制度處理準則，2014年修正。
民法，第二編債，2010年5月修正。
政府資訊公開法，2005年12月發布。
保險法，2018年5月修正。
個人資料保護法，2015年12月修正。
通訊保障及監察法，2018年5月修正。
財團法人中華民國證券櫃檯買賣中心證券商營業處所買賣有價證券審查準則，2018年5月修正。
電子簽章法，2001年12月發布。
資通安全管理法草案，三讀版本，2018年5月三讀通過。
銀行法，2018年1月修正。
臺灣證券交易所股份有限公司有價證券上市審查準則，2018年3月修正。
審計準則公報，第四十八號，2010年11月發布。
營業秘密法，2013年1月修正。

其他中文參考文獻

行政院資通安全處，資通安全管理法與發展藍圖，2017年9月，https://s.itho.me/egov/
2017/A-1320.pdf (最後點閱時間：2018年6月4日)
行政院國家資通安全會報技術服務中心，資通安全法律案例宣導彙編第13輯，2016年12月，https://www.nccst.nat.gov.tw/Law?lang=zh (最後點閱時間：2018年5月10日)
法務部，歐盟資料保護一般規則(GDPR)與我國個人資料保護法之重點比較分析，2018年5月，http://pipa.moj.gov.tw/cp.asp?xItem=1521&ctNode=379&mp=1 (最後點閱時間：2018年6月8日)
國家發展委員會，歐盟一般資料保護規則簡介，2018年4月，https://www.ndc.gov.tw/ content_List.aspx?n=49C4A38DD9249E3E(最後點閱時間：2018年6月8日)
資安人雜誌，企業資安需求表，未知，https://www.informationsecurity.com.tw/ SecondhandMarket/sdetail.aspx?sid=20 (最後點閱時間：2018年5月18日)
賽門鐵克，網路安全威脅研究報告，2017年4月，https://www.savetime.com.tw/ whatsnew/ISTR22-TW.pdf (最後點閱時間：2018年5月21日)
iThome，2016年CIO大調查，2016年2月，https://www.ithome.com.tw/article/103978
(最後點閱時間：2018年5月28日)

英文書籍與論文

Anderson, J. M., “Why we need a new definition of information security”, Computers & Security, Vol 22, No.4, pp.308-313, 2003.
Cavusoglu, H., B. Mishra, and S. Raghunathan, “The effect of internet security breach announcements on market value: Capital market reactions for breached firms and internet security developers”, International Journal of Electronic Commerce, Vol 9, No.5, pp.70-104., 2004.
Chapman, D. B., E. D. Zwicky, and D. Russell, Building internet firewalls, O′Reilly & Associates, Inc., USA, 1995.
Cichonski, P., T. Millar, T. Grance, and K. Scarfone, “Computer security incident handling guide”, NIST Special Publication, Vol 800, No.61, pp.1-147, 2012.
Dhillon, G., and J. Backhouse, “Technical opinion: Information system security management in the new millennium”, Communications of the ACM, Vol 43, No7, pp.125-128, 2000.
Doherty, N. F., and H. Fulford, “Do information security policies reduce the incidence of security breaches: an exploratory analysis”, Information resources management journal, Vol 18, No.4, pp.21, 2005.
Ernest Chang, S., and C. B. Ho, “Organizational factors to the effectiveness of implementing information security management”, Industrial Management & Data Systems, Vol 106, No.3, pp.345-361, 2006.
Gordon, L. A., M. P. Loeb, and L. Zhou, “The impact of information security breaches: Has there been a downward shift in costs?”, Journal of Computer Security, Vol 19, No.1, pp.33-56, 2011.
IBM, IBM Data Security Support Programs, International Business Machines Corporation, USA, 1984.
ISACA, COBIT 5: A Business Framework for the Governance and Management of Enterprise IT, Information Systems Audit and Control Association, USA, 2012
ISO and IEC, ISO/IEC 17799, British Standards Institution, UK, 2000.
ISO and IEC, ISO/IEC 27002, International Organization for Standardization, Switzerland, 2005.
IT Governance Institute, Board briefing on IT Governance, Information Systems Audit and Control Foundation, USA, 2001.
Russell, D., and G. T. Gangemi, Computer security basics, O′Reilly Media, Inc., USA, 1991.
Schneider, E. C., and G. W. Therkalsen, “How secure are your system”, Avenues to Automation, pp.68-72, 1990.
Smith, M., “Computer security-threats, vulnerabilities and countermeasures”, Information Age, Vol 11, No.4, pp. 205-210, 1989.
Sohal, A. S., and P. Fitzpatrick, “IT governance and management in large Australian organisations”, International Journal of Production Economics, Vol 75, No.1-2, pp.97-112, 2002.
Von Solms, B., and R. Von Solms, “From information security to… business security? ”, Computers & Security, Vol 24, No.4, pp.271-273, 2005.
Von Solms, R., “Information security management: the second generation”, Computers & Security, Vol 15, No.4, pp.281-288, 1996.

指導教授

顏如君

審核日期

2018-7-16

推文