1.階段一、個人資料事故鑑別

藉由全面鑑別組織個人資料環境，評估風險來源及找出存在之弱點後，評估個人資料事故潛在結果。

完整而全面鑑別是重要的，現階段未被鑑別出之風險，將不會進行下一步風險分析，故應有適合組織的鑑別方式。

1.1鑑別環境

鑑別組織現在的個人資料環境，評估存在的風險來源，藉以列出一個風險清單，以供後續個人資料風險分析使用。

風險來源如：間諜、順手牽羊者、未預警停電、洪水、病毒、木馬程式等。組織對風險影響的認定程度，與組織文化及實體環境有很大的關連。

1.2找出管理弱點

找出會造成個人資料被竊取、竄改、毀損、滅失或洩漏等傷害之弱點，弱點問題可能發生於：

程序(包含管理面、組織文化、人為因素、行政、實體規劃)；

資訊(包含技術面、軟體與硬體)。

1.3評估個人資料事故潛在的結果

個人資料事故潛在的結果測定，可以藉由估算事故發生頻率的方式來加以界定。

2.階段二、個人資料風險分析

個人資料風險分析，提供風險成因、風險來源、其事故積極和消極的後果、事故發生的可能性等「風險屬性」，並綜合所有個資風險屬性，分析出重要程度，使風險得以被分析。

什麼是「風險屬性」？

以「個人資料檔案價值」說明，指在不同組織、業務特性及法規上，個人資料檔案對於組織在個人資料管理上的價值皆有程度上的不同。決定個人資料檔案價值，可作為組織評估其所保有的個人資料檔案重要性的屬性。

例如，依個資法，將個資分為「一般個資」，及重要性較高之「特種個資」。故含有特種個資之個人資料檔案，重要性較高。

應注意，一個個人資料檔案可以有多種事故；一種個人資料事故亦可能會影響多個個人資料檔案。另外，現行的管制措施、管制成效等因素也應納入考慮。

2.1階段三、個人資料風險評量

個人資料風險評量，係根據個人資料風險分析的結果，組織綜合考量處理風險所需的成本、影響組織營運的程度、所需技術門檻或適法性等因素，決定那些個人資料風險需要處理或是優先處理的決策。

個人資料風險評量的結果，可能導致組織針對該風險施行更精確或高階的分析，同時也可能導致組織對風險不採取任何處理或不適用的決定。

例如，客戶資料庫電子檔案風險分析的結果為高風險，依組織現有人員取得權限管理、資料庫防護及檔案遺失備份皆已做到資料安全極致，依組織規模及資源無法似銀行等使用高級保密等級防護，則管理階層可決定接受其風險，不採取任何處理。

2.2個人資料風險處理

完整執行個人資料風險評估作業後，依據組織現況訂定之不可接受風險進行處理，擬訂風險處理計畫，並控管執行進度與施行成效，各單位須依所訂定之因應對策加以改善。

3個人資料風險評估結果審查

3.1監督與審查

個人資料風險評估執行的過程中，組織應有監督和審查的流程，以確保風險控制及處理之規劃及運作具成效，並可從風險評估發生的事件、變化、趨勢、成功和失敗中分析和學習風險評估的方式，獲得進一步的資訊以改進風險評估或能夠識別新出現的風險。

應注意，監督和審查的應記錄下來，且向內外部溝通與報告。

3.2整體持續改善

個人資料風險評估的結果，除了呈現組織對於風險趨向、程度、全面性的理解外，更將組織面對的風險，處理在可接受的風險範圍內，作為持續改進個人資料風險管理的基準。

例如：透過組織的個人資料防護目標、衡量、審查和系統化流程，可隨時修改並持續改進個人資料風險管理系統。