新版個人資料保護法的適用範圍自以往針對於電腦處理的面向擴大到非電腦處理相關的個人資料亦納入保護範圍，資訊安全也不會再被誤解為電腦專有名詞。其中連帶責任的裁罰之立法意旨雖為良善，但各方機關與企業在評估其風險與適用之餘，對於如何舉證已盡良善保護責任，以及相關證據如何有效保全，常常有莫衷一是，不知如何入手的困擾。本文嚐試以三階段進程的模式提出見解，希望可讓企業有易解的概念之餘，亦可做為實施策略與應用程序。