http://leohong.blog.ithome.com.tw/post/8674/177732

完成前章所提之個資盤點後，接下來就必須對機關所持有之個人資料（包括委外蒐集、處理或利用之個人資料）進行全面性之衝擊暨風險風析。此一步驟是透過了解所有個人資料檔案所處之環境（包括儲存媒體、儲存環境、誰在什麼時間、哪種場合、以什麼方式進行存取）之可能弱點，分析出所可能遭受之威脅（例如：駭客攻擊、內部員工非法盜用、...），同時找出這些威脅對機關所可能會形成之衝擊，此即為個人資料檔案之風險分析。

對機關而言，與個人資料保護法相關之衝擊可區分為下面兩類：
 程序上衝擊：未遵循個人資料保護法規範
 個人資料檔案衝擊：未妥善管理與保護所使用之個人資料

但未遵守個人資料保護法或未能妥善管理與保護個人資料，對機關所帶來的衝擊並不會有任何不同，機關除了必須面臨法律（刑責、民事責任、行政罰鍰）外，一旦被公佈，對機關名譽造成之傷害，可能遠超過實質上的損失。例如：電子商務購物業者未能妥善保管消費者資料，一旦此類消息被公開且證實，消費者對在該購物網站消費出現疑慮，即會讓消費者轉移消費對象，此時業者損失的不僅僅是行政罰鍰與民事賠錢金額，更嚴重的是賴以營運的消費者大量離開，嚴重影響營運。

會讓機關遭致衝擊的，絕不僅是因個人資料保護不週，被惡意程式竊取非法他用，更多的是因為人為觀念不正確而導致後續所有的防護機制出現漏洞。

不論是哪一種因素而陷機關於個資議題衝擊，皆會對機關造成嚴整傷害，要如何減少這些衝擊呢？應由機關因應個人資料保護法之作業程序以及個人資料檔案之弱點分析進行分析，此部分將留待下一章探討。本章將先設立一些評鑑衝擊之參考標準，以作為後續風險分析以及採取因應措施時，作為優先權判定之依據。

標準請參考: http://leohong.blog.ithome.com.tw/post/8674/177732