個資法教戰守則 您不可不知的內稽內控 TrustView 產品經理 陳品翰.

Slides:



Advertisements
Similar presentations
第四章 銀髮族產業經營 第一節 銀髮族產業的發展 熟年商機  銀髮族發展產業 醫療保健 保健食品市場逼近三百億元 熟年人最擔心自己的健康問題,追求健康 是他們共同的願望,包括保健食品、養生 餐飲、健康器材、運動健身、抗衰老等都 是值得開發的市場。
Advertisements

1 專利師考照班 師資介紹 高苑科技大學 研究發展處 專線服務電話 陳小姐 校內分機 1701.
個人資料保護法說明及因應 開講了 劉嘉裕 律師.
Excel - 九十七年度教職員工資訊教育訓練 董建弘.
中華電信南區分公司 2012 教育訓練課程表 協銷與規劃設計 日期:2012/4/27 時 間 課程內容 主講人 上 午
LIGA PRECISION TECHNOLOGY CO., LTD
行銷研究 單元三 次級資料的蒐集.
各位领导、各位专家上午好! 对你们的到来,双多公司全体干部员工表示热烈的欢迎.
光機電整合 學分學程 修課說明會.
光隆家商 優質化計畫 簡報 校 長 楊瑞明 教務主任 高美麗
基隆區創意發展校園 簡報 光隆家商校長 楊瑞明 光隆教務主任 高美麗
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
JDK 安裝教學 (for Win7) Soochow University
電子商務基本概念 電子商務的定義 1-1 電子商務的特性 1-2 電子商務的演進 1-3.
Google Data API Spreadsheet
公開金鑰基礎架構 Public Key Infrastructure
個人資料保護法摘要 (非資訊中心業務報告).
無線射頻識別系統(RFID) 基本原理及發展與應用
問卷調查可提供設備連網技術服務之單位(已回覆問卷者)-(最近更新:
機台監控系統 w w w . P r o M O S . c o m .tw.
OpenID與WordPress使用說明
電子商務 Electronic Commerce
App Inventor2呼叫PHP存取MySQL
Android App簡介及 App Inventor 2體驗 靜宜大學資管系 楊子青
第二章 SPSS的使用 2.1 啟動SPSS系統 2.2 結束SPSS系統 2.3 資料分析之相關檔案 2.4 如何使用SPSS軟體.
管理資訊系統導論 資訊系統的定義與概念.
FTP檔案上傳下載 實務與運用.
指導老師:黃貞芬 老師 專題組員:B 黃育宇 B 魏志軒 B 平震宇
網路安全技術期末報告 Proxy Server
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
AOT_供應商安裝手冊.
Web Service 1.
人文與科技的結合 人文與科技的結合 Right Fax使用說明.
授課老師:楊維邦教授 組長:劉秋良 成員:李政均、郭瀚文、鄒震耀
網路隱私權 A 林學涵.
網頁資料知多少? 事 實 ? 謠言?.
教你輕鬆認識個人資料保護法 陳慧玲 講師 2018年05月02日.
虛擬傢俱館 指導老師: 高玉芬 老師 組員: B 黃琪芳 B 蔡宜眞 B 林政緯
为全面推进深化医药卫生体制改革,积极稳妥推进公立医院 改革,逐步建立我国医院评审评价体系,促进医疗机构加强自身 建设和管理,不断提高医疗质量,保证医疗安全,改善医疗服务, 更好地履行社会职责和义务,提高医疗行业整体服务水平与服务 能力,满足人民群众多层次的医疗服务需求,在总结我国第一周 期医院评审和医院管理年活动等工作经验的基础上,我部印发了.
有效執行 邁向成功的階梯 ( 摘錄自李開復先生著作 :做最好的自己 ).
学生干部角色的定位与转换 肖志文 2013年9月16日.
2011清大電資院學士班 「頂尖企業暑期實習」 經驗分享心得報告 實習企業:工研院 實習學生:電資院學士班 楊博旭.
WinPXE 無硬碟系統 6.0 安裝說明 憶傑科技股份有限公司
Google協作平台+檔案分享(FileZilla+網路芳鄰)
緩衝區溢位攻擊 學生:A 羅以豪 教授:梁明章
SAP 架構及前端軟體安裝 Logical View of the SAP System SAP Frontend 7.1安裝與登入
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
精實醫療、六標準差、全面品質管理(流程改善面面觀)
中央研究院 新增主題研究計畫 線上申請流程總覽 必須告知 總主持人所屬單位 承辦人 總主持人 分支計畫主持人 共同主持人
馬偕醫學院 圖書館
(Mobile User music–Sharing Innovation Center)
資訊安全和資訊倫理宣導 永康區復興國小教務處.
moica.nat.gov.tw 內政部憑證管理中心
新生醫護管理專科學校 教職員 使用資訊系統及電腦設備 注意事項
基本指令.
風險評估作業操作說明 中山工商人事室.
1. 查詢個人電腦版本 1.進入控制台 2.點選“所有控制台項目” 3.點選“系統”.
個資法簡介 資訊室 林顯坤.
國立台灣大學 關懷弱勢族群電腦課程 By 資訊工程 黃振修
介紹Saas 以Office 365為例 組員: 資工四乙何孟修 資工四乙 黃泓勝.
連結資料庫 MYSQL.
廖志宏 助理教授 學歷 經歷 公部門與民間產學研究計劃案 證照 De La Salle University, Philippines
問卷調查可提供設備連網技術服務之單位(已回覆問卷者)-(最近更新: )
多站台網路預約系統之 AJAX即時資料更新機制
第一章 電子商務簡介 第一篇 電子商務概論篇.
NDL委託代工流程-Etch 葉佳翰 2019/8/6.
NewsWeek No.2 人權修法懶人包 配合高中公民第1冊第3章.
NDL委託代工流程-SEM 葉佳翰 2019/8/25.
社會領域教學 相關網路資源介紹.
Presentation transcript:

個資法教戰守則 您不可不知的內稽內控 TrustView 產品經理 陳品翰

TrustView Compliance with 個資法 課程大綱 公司簡介及成功案例介紹 TrustView Compliance with 個資法 法規面 個人資料生命週期 個人資料保護需求情境分析

TrustView簡介 TrustView創立時間: TrustView專注在Enterprise-DRM領域的產品研發 2000年在台灣成立研發團隊 2007年1月於東京成立TrustView日本分公司 2009年7月於上海成立TrustView技術服務處 TrustView專注在Enterprise-DRM領域的產品研發 已取得台灣、日本及中國9項DRM相關專利 美國專利目前正在申請中 同時取得3家國際原廠的產品研發Certified Partner Microsoft-- Office PTC-- Pro/E, Windchill Autodesk -- AutoCAD 3 3

超過300家台灣及日本地區企業及政府機構 使用TrustView DLP Solution 新竹科學園區參考客戶 聯發科 頎邦科技 南茂科技 智微科技 聯詠科技 采鈺科技 鈺創科技 凌通科技 世界先進 瑞昱半導體 友達光電 華邦電子

超過300家台灣及日本地區企業及政府機構 使用TrustView DLP Solution 華碩電腦 奇美電子 偉創立 宏達國際電子 台達電子 台灣地區企業參考客戶 德勝安聯 新安東京海上 裕隆日產汽車 永信藥品 遠東紡織 日月光 中華三菱汽車 三陽/現代汽車 永豐餘 統一超商 台灣新力 台灣日立 5 5 5

政府機構 使用TrustView DLP Solution 總統府、國安局、經濟部… 軍情局、電展室、陸軍總部、調查局、中科院系、新聞局、高鐵局、健保局、國家研究院、工業局、退輔會、工研院、陸軍教準部、海巡署… 南資中心、 金融研訓院、食品研究所、農委會、藥物毒物試驗所、生物技術開發中心、資策會、財團法人醫藥品查驗中心、金屬工業研究中心…

TrustView 進入日本市場 日本地區TrustView經銷通路 日本地區企業客戶採用TrustView進行情報漏洩管理 7 7 7

TrustView Compliance with 個資法 課程大綱 公司簡介及成功案例介紹 TrustView Compliance with 個資法 法規面 個人資料生命週期 個人資料保護需求情境分析

何謂個人資料保護法 民國84年 公告 電腦處理個人資料保護法 民國99年4月27日三讀通過 個人資料保護法 目的: 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。

法規面(一) 第二十七條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

法規面(二) 第二十八條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。

法規面(三) 第二十九條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。

識別與鑑別 個人資料保護生命週期(草案) PLAN ACTION 處理 DO 利用 CHECK 蒐集 稽核 國際 傳輸 系統及通信保護 PKI 識別與鑑別 稽核 存取控制 系統及通信保護 個人資料 檔案 儲存 蒐集 處理 利用 國際 傳輸 記錄 輸入 編輯 更正 檢索 輸出 連結 複製 DB doc 傳送 (流通) 刪除 銷燬 Tape ACTION DO 本個人資料保護生命週期(草案),係參考行政院研考會「電子資料安全參考指引」內容中之「電子資料保護生命週期」,加以修訂! 係提出一個可供各方討論之框架,以明確表達組織作業需求,廠商亦可根據此一框架,提供符合特定流程需求之解決方案,以利雙方溝通。 以上純係個人之淺見,提供業界先進討論,最終亦應以行政院研考會修訂之版本為準。 個資法第七條第十五條第二款及第十九條第五款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後, 所為允許之書面意思表示。 惟此舉將會增加作業成本,不利於電子商務之發展,故建議應鼓勵採行自然人憑證及工商憑證等PKI機制,使符合電子簽章法之規定, 則電子化處理將可視同書面意思表示! 識別與鑑別、存取控制、系統及通信保護及稽核機制,係參考NIST 800-53之技術性控制措施,以強化安全機制,之原本法所稱「蒐集」、「處理」 「利用」及「國際傳輸」各階段之要求。 本生 命週期由「蒐集」開始,依法進行蒐集而產生個人資料,個人資料依其內容之不同,又可區分為屬性資料(指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、基因)及行為資料(婚姻、家庭、教育、職業、病歷、醫療、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動等) 個人經過處理,包含記錄、輸入、編輯、更正、檢索、輸出、連結、複製等程序,將會產生個人資料檔案。 經處理後之個人資料檔案將以四種型態加以儲存(資料庫、電子檔案、紙本文件、磁帶),始得加以利用。 利用過程將涉及傳輸或流通之安全。 國際傳輸:指將個人資料作跨國(境)之處理或利用,應依據主管機關之規定辦理。 個人資料檔案最終經刪除作業而消滅。 CHECK 資料來源:瑞百通首席顧問:鍾榮翰 13

個人資料生命週期 蒐集 依法進行告知義務 取得書面同意 處理 採取適當的保護措施,避免個人資料被竊取、竄改或毀損 利用 應於蒐集之特定目的內使用 特定目的外之使用應另外取得書面同意 傳遞 傳遞及交換分享中採取適當的保護措施,避免個人資料被竊取、竄改或毀損 銷毀 特定目的消失 期限屆滿 當事人要求

法規面及個資生命週期保護需求 技術面 防竊取 防竄改 防內文刪除 防洩漏 防檔案刪除 檔案銷毀機制 稽核

現行機制不足之處 無權限人員 AP Server 合法權限人員

TrustView DRM 提供的保護 功能面 防竊取 (加密 + ACL) 防竄改 (DRM權限管控) 防內文刪除 (DRM權限管控) 防檔案刪除 (Backup) 檔案銷毀機制 (動態回收文件權限、有效時間) 稽核 (人、事、時、地、物)

、光碟、磁片,或者以e-mail方式傳送 TrustView 系統架構及運作流程 Account system Database 文件管理者/政策制定者 -編輯文件 -制定文件 -加密 閱讀者 -文件解密 Client Agent Client Agent 1.身份確認 2.下載金鑰(權限) 3.事件記錄 上傳使用政策 TrustView Server 儲存文件使用政策 文件可儲存在網站伺服器、檔案伺服器 、光碟、磁片,或者以e-mail方式傳送

機密文件彈性權限的保護 機密文件 給對的人 非正確人員無法開啟 在對的時間 連線 離線 閱讀期限 做正確的行為 讀 印 存 寫

個資文件管控示意 理專部門檔 理專同仁 可編輯 Confidential 可列印 人事財務部門檔 如財報、薪資表 非人事財務部門人員 皆不可閱讀 Confidential 理財專員阿美(sa01) 企劃部門檔 企劃同仁 企劃部門人員 可修改 可列印 其他部門人員 唯讀 Confidential 21 21

DEMO 22

我要如何知道使用者對這個文件做了哪些行為呢? 23 23

Auditing稽核 Access log 內容權限行為的log 管理行為的log 24 24

個資保護需求情境分析 Internal Business Model External Business Model User Process File (DRM Protect) Database to File (API) External Business Model Offline Process File (AAC and Offline Protect) File Exchange (File Exchange Protect)

API整合 與個資處理系統緊密結合 使用TrustView API,達到加密、權限變更自動化 防護不間斷

緊密結合 帳號整合 權限整合 流程整合 上傳 編輯 修正 公佈 加密 修改 權限 LDAP 3 (須驗證) AD Notes WindChill

緊密結合架構範例 AD Database 2.背景程式呼叫API對文件加密 1.上傳機密文件 AP Server TrustView Server 2.背景程式呼叫API對文件加密 1.上傳機密文件 3.下載加密之機密文件,並受TrustView保護 Author User

個資保護需求情境分析 Internal Business Model External Business Model User Process File (DRM Protect) Database to File (API) External Business Model Offline Process File (AAC and Offline Protect) File Exchange (File Exchange Protect)

理財專員因工作需求,須將客戶資料攜出公司,但又無法連線認證,這時要如何確保個資安全? 30 30

Offline Protect (借出) 提供 有帳號離線 (借出) 31

Offline Protect (借出) (1) 鎖定特定電腦才能閱讀 32 32

Offline Protect (借出) (2)強制設定有效閱讀期限 閱讀期限五天 借出第六天 33

Offline Protect (借出) 公司 離線 TrustView Server 複製………… 列印………… 修改………… 違規複製…… 公司 複製………… 列印………… 修改………… 違規複製…… 離線 34 34

Author Auto Cipher 選擇性作者自動加密 管理者設定加密保護功能,讓防制資料外洩機制延伸至個人電腦之端點防護 機密文件作者:自動加密 非機密文件作者:不自動加密 理專人員 客戶資料處理 TrustView Server 作者新檔創建 At same Time saving 35

個資保護需求情境分析 Internal Business Model External Business Model User Process File (DRM Protect) Database to File (API) External Business Model Offline Process File (AAC and Offline Protect) File Exchange (File Exchange Protect)

File Exchange Protect 帳號與硬體雙認證 ------ 確保機密文件不外洩。 延長離線授權 離線式安全防護 ------ 真正適用於網路實體隔絕的環境。 列印浮水印------ 保護文件紙本。 七道鎖防護加倍 ------ 鎖修改、鎖複製、鎖時間、鎖列印、鎖次數、鎖時段、鎖抓圖

離線外發 – 權限設定

離線外發 – 延展離線授權

個人資料的防護機制-3A 認證Authentication (Access Control) 授權Authorization 採用業界公認標準 RSA 256bit AES 加密保護文件 可結合 Microsoft AD、PKI、指紋辨識..等系統加強認證 授權Authorization 複製、列印、修改 閱讀有效期間 防PrtScr、ScreenCapture 鎖定在特定電腦才能閱讀 稽核Auditing 從管理者到使用者、從連線到離線… 無一幸免均被log起來 40

TrustView 系統架構圖 41

Questions And Feedback

謝謝指教 43