All Rights Reserved by NII 產業發展協進會 財團法人中華民國國家資訊基本建設產業發展協進會 資訊安全管理與個人資料保護 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 大綱 風險管理與資訊安全 個人資料保護 All Rights Reserved by NII 產業發展協進會

企業風險管理 公司層級之管理 資訊科技(IT) 資訊科技已經由企業基礎建設進化成為不可或缺的經營管理工具 生產 銷售及收款 薪工 固定資產 融資 投資 採購及付款 資訊科技(IT) 研發 公司層級之管理 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 科技風險管理 資訊安全管理是科技風險管理的重要工作項目 變更 驗證 認證 與授權 機密性 隱私 信任 基礎 完整性 彈性 可用性 復原能力 專案 管理 採購 資訊科技風險 準確性 審查 聲譽 競爭優勢 營運風險 科技風險 策略風險 組織風險 作業風險 財務風險 執行力 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 資訊安全需求之來源 企業的業務需求(Business requirement) 客戶的期望 合作廠商的要求 法規的要求(Legal requirement) 政府法令(電腦處理個人資料保護法、刑法、民法) 主管機關規定(公開發行公司建立內部控制制度處理準則) 企業內部風險管理的需求(Risk control requirement) 公司治理 人力資源風險 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 資訊安全考量 機密性（Confidentiality） 確保涉及企業營運相關機密資訊只有經授權者可取得或揭露 完整性（Integrity） 確保重要資訊，在維護與處理過程保持其正確、完整且不受竄改。 可用性（Availability） 確保經授權的使用者在需要時可及時取得資訊。 可歸責性（Accountability） 確認某事件或行為可追溯至該行為或事件的承辦與負責人員或單位。 可靠性（Reliability） 確保相關重要資訊系統之穩定，並都能有預期之產出。 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 資訊安全管理之內容 Risk management 風險管理 Platform security 平台安全 Physical Security 實體安全 Fallback Planning 還原計劃 Firewall & connectivity management 防火牆與連線安全 Certificate registration & management 認證註冊與管理 Business continuity Management 企業永續運作管理 Availability 可用性 Confidentiality 機密性 Password management 密碼管理 Monitoring & intrusion detection 監督與入侵偵測 Authentication & access control 身份驗證與存取控制 Incident response & crisis management 意外事件回應與犯罪管理 Integrity 正確性 Encryption 加密 Virus prevention & detection 病毒防治與偵測 Personnel security 人員安全 Network Security 網路安全技術 Penetration testing 滲透測試 Infrastructure security management 基礎建設安全管理 All Rights Reserved by NII 產業發展協進會

Manageable Secure Infrastructure 資訊安全管理三要素 資安 處理技術 Technology 資安 管理程序 Process 人員資安知識與能力 People Manageable Secure Infrastructure All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 資訊安全管理執行方法 確認管理範圍 風險評估及管理 確認控制目標 選擇控制點 執行管理計劃 建立控制方法 落實管理程序 教育訓練及宣導 規劃 Plan 執行 Do 文件 方法 工具 標準 風險再評估 紀錄及追蹤檢討 定期稽核 績效評估 執行適當修正 實施成果報告 確認目標達成 持續改善 檢查 Check 改善 Action All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 電腦處理個人資料保護法修訂草案 修法背景 法務部為因應急速變遷之社會環境，特別彙整國內學界與實務界的相關修法建議，並參考其他國家之個人資料保護相關法令來針對本法進行修訂 修訂草案共有55條，並將本法名稱修訂為「個人資料保護法」 草案修正方向 擴大保護客體 普遍適用主體   增修行為規範 強化行政監督 妥適調整罰則 促進民眾參與 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 電腦處理個人資料保護法修訂草案(續) 修法重點說明 擴大保護客體： 為落實對個人資料之保護，將保護客體予以擴大，不再以經電腦處理個人之資料為限。 普遍適用主體： 刪除非公務機關行業之限制，使任何自然人及法人或其他團體，除為單純個人或家庭活動之目的而蒐集、處理或利用個人資料外，皆須適用本法。 公務機關及非公務機關，在中華民國領域外對中華民國人民蒐集、處理或利用個人資料者，亦有本法之適用。 調整責任內涵： 對於違法蒐集、處理或利用個人資料者，區別其是否具有「意圖營利」之主觀要件，科予程度不等之刑事責任。 為提昇法益保護之周延程度，中華民國人民在我國領域外觸犯本法之罪者，亦適用本法。 提高對非公務機關所課之罰緩額度；非公務機關之代表人、管理人或其他有代表權人，除能證明已盡防止義務者外，並應課以同一額度之罰緩，以加強其監督之責任。 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 電腦處理個人資料保護法修訂草案(續) 實際影響 將買賣個人資料行為從告訴乃論罪修改為公訴罪，並提高刑責，最高為五年有期徒刑 寄廣告信、垃圾郵件將觸法，未經個人同意，網路公司或個體戶大舉販賣蒐集的大筆電子郵件信箱供寄發垃圾郵件等行為，均將觸犯本法，檢警接獲檢舉後必須主動追查 若是公務員涉案，依法得加重其刑二分之一，最重可處七年半徒刑，與刑責已接近涉及貪瀆案 重罰意圖營利而違法的行為，修訂草案大幅加重「意圖營利而違法蒐集、利用或盜賣個人資料者」的刑責，由原本二年以下徒刑，提高為五年以下徒刑，且併科由原先四萬元大幅提高為五百萬元罰金 All Rights Reserved by NII 產業發展協進會

個人資料生命週期管理 (Personal Data Life Management) 蒐集 使用 清除 C. I. A. 儲存 存取 傳輸 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 個人資料管理重點(一) 蒐集 蒐集個人資料之理由、方法與告知義務 確認個人資料之正確性及內容是否為法律定義之「得以直接或間接方式識別該個人之資料」 使用 符合法律之使用規範 符合組織政策之內部使用規範(例如：交叉行銷) 存取 存取個人資料之權限管理 委外或外包廠商之資訊安全管理 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 個人資料管理重點(二) 傳輸 個人資料傳輸過程中之安全(加密或安全網路) 儲存 個人資料新增及修改之作業程序 存放個人資料場所及設備之安全管理 備份或歸檔後之資料安全 清除 個人資料刪除或報廢之安全處理程序 其它 客訴、法律糾紛、懲處程序 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 個人資料保護之PDCA架構 Act 維持管理制度 矯正預防行動 持續改進 Plan 建立個人資料保護策略及計畫 Check 檢視管理制度 稽核執行記錄 執行有效性評估 Do 制定保護原則 建立管理方法 執行管理措施 教育訓練 All Rights Reserved by NII 產業發展協進會

個人資料保護管理措施 (以JISQ15001:2006為例) Do 對組織全員進行宣導 確認個人資料涵蓋範圍 辨識相關法令及規定 鑑別風險並管理風險 確認必要資源 制定相關規範 實施教育訓練 落實執行相關控管措施 Plan Check & Act 將政策及目標文件化 建立專責組織 建立執行計畫 監督檢視管理成效 執行矯正預防措施 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 JISQ vs. ISO27001 ISO 27001 資訊安全管理內容 JISQ 15001の Plan 將政策及目標文件化 建立專責組織 建立執行計畫 資訊安全政策 資 訊 安 全 管 理 稽 核 資訊安全組織 資訊資產分類與管理 人員安全 資訊安全事件管理 實體與環境安全 通訊與操作管理 存取控制 系統發展與維護 業務持續運作管理 法令規章之遵循 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 JISQ vs. ISO27001 ISO 27001 資訊安全管理內容 JISQ 15001の Do 對組織全員進行宣導 確認個人資料涵蓋範圍 辨識相關法令及規定 鑑別風險並管理風險 確認必要資源 制定相關規範 實施教育訓練 落實執行相關控管措施 資訊安全組織 資 訊 安 全 管 理 稽 核 資訊安全政策 資訊資產分類與管理 人員安全 資訊安全事件管理 實體與環境安全 通訊與操作管理 存取控制 系統發展與維護 業務持續運作管理 法令規章之遵循 3.4.3.2 安全管理措施 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 JISQ vs. ISO27001 ISO 27001 資訊安全管理內容 JISQ 15001の Check & Act 資訊安全政策 資 訊 安 全 管 理 稽 核 資訊安全組織 監督檢視管理成效 執行矯正預防措施 資訊資產分類與管理 人員安全 資訊安全事件管理 實體與環境安全 通訊與操作管理 存取控制 系統發展與維護 業務持續運作管理 法令規章之遵循 All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 保護個人資料小提醒 員工資料亦受法律保護 所有調閱活動應依照標準作業程序進行 不在電話裡隨便透露個人資料 非信任之網站，勿隨意留下個人資料 以碎紙機銷毀各式帳單、收據、信件、藥單等 不點選不明人士傳送的網址 提防偽裝之網頁、電子報與信件 不委託他人代辦貸款及信用卡 影印文件交付時註明用途(表示不適用於其他用途) All Rights Reserved by NII 產業發展協進會

All Rights Reserved by NII 產業發展協進會 簡報完畢，敬請指教 All Rights Reserved by NII 產業發展協進會