資通安全威脅與管理.

Presentation on theme: "資通安全威脅與管理."— Presentation transcript:

1 資通安全威脅與管理

2 報告大綱 資訊安全威脅趨勢 資訊安全管理 個人資料保護

3 資訊安全威脅趨勢 威脅 風險 非法 存取資料 無法正常 提供服務 網頁 遭竄改 電腦 遭竊 使用者 遭詐騙 個資 外洩 機密資料 被竊取
實體破壞 非法入侵 威脅 偷竊 天然災害 內賊 詐騙 駭客 風險 非法 存取資料 無法正常 提供服務 網頁 遭竄改 電腦 遭竊 使用者 遭詐騙 個資 外洩 機密資料 被竊取

4 面臨的資安威脅種類 P2P分享軟體、無線網路風險、社交工程攻擊、 網頁掛馬、網站釣魚、隨身碟風險、社群網絡等 資安威脅不斷

5 當前政府資安威脅 當前政府 資安威脅 鎖定目標 社交工程 精準攻擊 防不勝防 設備微型 模式翻新 管理不易 應變不易 公務家辦 認知不足
擴增風險 認知不足 警覺不夠 鎖定目標，精準攻擊 中國組織型駭客有計畫地鎖定重要目標，入侵我政府機關網站或個人電腦進行戰略情蒐，竊取政府重要機敏資料或影響系統運作。 社交工程，防不勝防 駭客運用社交工程電子郵件或偽冒身分電子郵件侵入個人電腦，使用者不慎開啟夾帶惡意(後門)程式附件檔，隨時洩露機敏機料。機關同仁不當上網，無意間下載惡意軟體或後門程式。 在家加班，擴增風險 家中上網環境較不安全，家中電腦與辦公室電腦交叉感染。 設備微型，管理不易 隨身攜帶的資料儲存設備微型化、通訊網路無線化，管理不易，易造成洩密。 隨身碟等行動儲存媒體管理鬆散 模式翻新，應變不易 大陸駭客攻擊模式、手法及行為模式隨時翻新，針對台灣採取「定製」性的攻擊，非一般商業性安全解決方案可以有效解決。 認知不足，警覺不夠 面對新型態的社交工程攻程，公務同仁的安全認知與警覺心仍不足。 機關(構)不瞭解自身弱點及相對威脅 使用者警覺性不夠或以為事不關己、行為未落實 公務機密維護的死角 高階首長、主管及秘書辦公室的上網電腦或其他設備。 高階首長、主管及秘書家中的上網電腦或其他設備。 駐外機構，鞭長莫及 政府駐外機構上網電腦或其他設備。 委外廠商，程度差異 受政府委託處理資訊業務的廠商或學研機構。 人力預算專業不足 資訊(安)人力不足、專業待加強 預算不足 主導稽核員人力未充分再訓練與運用 我國資安防護弱點 網路攻擊可能癱瘓重要民生資訊基礎建設 駐外機構 鞭長莫及 人力預算 專業不足

6 政府資通安全相關問題 外部威脅 內部問題 組織型駭客針對性攻擊 鎖定特定對象或單位 攻擊型式變化快速 政府資安人力、經費及能量相對不足
資安事件通報意願不高 委外開發軟體及品質管理問題 資訊作業委外處理衍生資安管理問題 人員資安意識不足 各機關橫向聯繫機制尚待建立 資安相關法令尚未完備

7 政府機關資料外洩主要管道 以社交工程手法寄發惡意電子郵件 網頁惡意掛馬：網頁插入惡意連結內容，使用者不自覺下載惡意程式
外接式儲存裝置安全問題 使用P2P軟體、IM (Instant Message)即時通訊軟體、社群網站可能造成個人資料外洩風險

8 收E-mail可能的風險 Internet 駭客設計攻擊陷阱程式(如特殊Word 檔案) 受害者開啟電子郵件
後門程式逆向連接，向遠端駭客報到 遠端駭客進行資料竊取 將攻擊程式埋入電子郵件中 啟動駭客設計的陷阱，並被植入後門程式 寄發電子郵件給特定的目標

9 「社交工程」攻擊定義 利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法
早期社交工程是使用電話或其他非網路方式來詢問個人資料，而目前社交工程大都是利用電子郵件或網頁來進行攻擊 透過電子郵件進行攻擊之常見手法 假冒寄件者 使用與業務、時事相關或令人感興趣的郵件內容 含有惡意程式的附件 利用應用程式之弱點(包括所謂零時差攻擊)

10 社交工程攻擊具針對性

11 社交工程電子郵件附件檔案

12 社交工程─時事相關惡意電郵(1)

13 社交工程─時事相關惡意電郵(2)

14 社交工程─時事相關惡意電郵(3)

15 社交工程─公務相關惡意電郵(1)

16 社交工程─公務相關惡意電郵(2)

17 社交工程─公務相關惡意電郵(3)

18 社交工程─偽冒身份惡意電郵(1)

19 社交工程─偽冒身份惡意電郵(2)

20 社交工程─偽冒身份惡意電郵(3)

21 電子郵件＋數位簽章

22 社交工程攻擊之防範 建立社交工程防範技術措施(Engineering) 辦理相關宣導及法治認知(Enforcement)
加強資安訓練與演練(Education)

23 使用者防護停看聽(1) 停 ─ 使用任何電子郵件軟體前，必須先確認以下設定 必須安裝防毒軟體，並確實更新病毒碼 審慎開啟郵件及其附件或連結
必須取消郵件預覽功能，避免無意開啟郵件 設定過濾垃圾郵件機制 建立電子郵件驗證機制(推動電子識別證)

24 取消郵件預覽功能 圖中右下方即為Outlook提供的信件預覽功能。使用者只需點選信件，信件的內容就會出現在右下方供使用者預覽。就如稍早所說，若此郵件內容是惡意圖片或內容，此時已經遭受駭客攻擊。

25 取消郵件預覽功能(續) 因此我們強烈建議使用者將此功能關閉。關閉預覽功能後，使用者點擊信件，就不會再預閱信件內容。使用者可以在未開啟該信件的情況下，判斷其是否為可疑信件，若確定為正常信件可選擇開啟(雙擊)，可疑信件則可直接刪除。

26 關閉郵件自動下載圖片與其他內容 如圖，當我們開啟信件後，信件內容若有外部圖片，電子郵件軟體會自動連線至網際網路下載圖片。若此為惡意圖片，則當使用者開啟信件的同時，下載的惡意圖片就已經發作，使用者必然措手不及。

27 關閉郵件自動下載圖片與其他內容(續) 因此我們建議使用者務必「關閉信件自動下載圖片及其他內容」的功能。在關閉此功能後，電子郵件軟體不會下載網際網路上的外部資訊，使用者開啟信件後僅會看到若干無法顯示圖片或內容的方格，即可知道此信件內容會連結至網際網路上。 通常此類信件不是惡意信件即是垃圾信件，建議使用者可直接刪除。

28 不以HTML模式開啟郵件 在此信件內文中，僅是一般的文字內容，並無圖片或其他外部資訊，但使用者開啟此信件，仍然會遭受後門程式的入侵。
原因在於此信件是以HTML格式編寫而成，雖然表面上都是文字敘述，但背後的HTML語法是不是也像表示這樣乾淨呢? 我們來檢視此信件的原始檔。

29 以純文字模式開啟郵件 有鑑於這類的攻擊手法，使用者應該以純文字模式開啟信件。在純文字模式下，HTML語法預設是無法執行的，駭客的惡意語法及連結，自然也起不了作用。

30 使用者防護停看聽(2) 看 ─ 收到郵件後，必須注意 聽 ─ 若懷疑郵件來源，必須進行確認 郵件主旨是否與本身業務相關
其餘郵件不建議開啟，如需開啟應確認郵件來源 聽 ─ 若懷疑郵件來源，必須進行確認 透過電話或電子郵件向寄件人於開啟前確認郵件真偽

31 使用者端郵件安全管理 良好的網路及 郵件使用習慣 安裝防毒軟體 隨時更新防毒碼 郵件系統 安全性設定 提高 安全意識 @

32 上網可能面對的風險 掛馬 瀏覽網頁 網站server 用戶 導向惡意 程式網站 遙控受害電腦 下載並安裝 惡意程式 惡意程式網站 駭客

33 惡意網頁─網頁掛馬 駭客入侵(知名的)網站，在不更動原有的畫面下，修改網站內容，加入惡意程式碼 使瀏覽該網站的使用者被植入惡意程式
進而竊取個人資料或當成跳板主機 平均每日可偵測到29,700個新感染的惡意網站(約70%合法網站含惡意程式)

34 最新被掛馬網站 資料來源：資安之眼(http://www.itis.tw/) 2010-03-19 www.x-linkage.com.tw
彪網電子商務科技股份有限公司 京典國際資訊 煜頂精密股份有限公司 ll-gdb.com.tw 吉得堡早餐連鎖加盟 dogbaby.com.tw 小寶貝寵物安親班 woman.utchat.com.tw 慾望城市聊天室 summitek.com.tw 正晟科技有限公司 a3.com.tw 昱立科技 powervison.com.tw 全威創意媒體 jetsignal.com.tw 傑 信工業股份有限公司 IZUMI美麗健康之活泉 李媽媽艾草之家 torls.com.tw 陶斯髮型美學館 taiwandirectory.com.tw 台灣目錄網 wfda.org.tw 中華民國世界土風舞總會 kksc.com.tw 超鴻科技有限公司 資料來源：資安之眼(

35 網頁掛馬的危害 對網站擁有者而言 對一般使用者而言 因管理不善導致他人被入侵而負上法律責任 商譽的損失 資料失竊 被當跳板主機
隱私資料、信用卡資料、線上遊戲虛擬寶物等 被當跳板主機 可能面臨法律責任

36 網站惡意掛馬預防方法 安裝修補程式 使用防毒軟體 不隨意瀏覽網站 提高IE的安全性設定，停用Script和ActiveX元件下載
經常檢視重要機器其開機執行程序狀態，例如：使用ProcessExplorer、Autoruns等程式或其它廠商開發之工具來比對 降低網頁瀏覽權限 危機意識與正確的資安觀念

37 釣魚(Phishing)網站的危害 新興之網路詐騙手法，讓使用者不自覺洩漏個人資料、重要資訊。主要在竊取使用者的銀行帳號密碼、信用卡號與身分證字號等資料，再伺機詐騙金錢 平均每天有1250萬封釣魚郵件，被用來作為釣魚攻擊的網站有72%為金融單位

38 網頁釣魚風險 http://www.landbank.com.tw http://www.1andbank.com.tw 釣魚網頁
2.連結不到 例如： 遊戲X子 　vs. 聯X銀行 　vs. 土X銀行網址?? 3.連結釣魚 網頁 透過搜尋引擎 經由電子郵件連結 1.連結

39 網路釣魚(續)

40 網路釣魚(續)

41 外接式儲存裝置 數位相機或行動電話記憶卡 (CF、SD、MMC等) 光碟片 (CD、DVD) 其它 USB 儲存裝置
USB隨身碟 (USB 大姆哥) USB外接硬碟 數位相機或行動電話記憶卡 (CF、SD、MMC等) MP3隨身聽 光碟片 (CD、DVD) 其它 USB 儲存裝置

42 USB隨身碟的風險 自動播放：尋找Autorun.inf檔案，並執行該檔案所描述之動作，會自動執行惡意程式並將惡意程式複製至系統磁碟機內，再進一步擴散 感染 擴散 用戶A 用戶B

43 隔離網路設備感染方式 感染 感染 內網 外網 偷竊 偷竊

44 報告大綱 資訊安全威脅趨勢 資訊安全管理 個人資料保護

45 資訊安全管理 資訊安全的本質 無孔不入 覆巢之下無完卵 沒有百分之百的安全 整體資訊安全是建構於一系列環環相扣的保護機制下
攻擊或破壞者只要找出其中最弱的一環，就可以完全瓦解整個保護機制 覆巢之下無完卵 只要最弱的一環被瓦解，所有的政府重要資料都可能被竊取或破壞 沒有百分之百的安全 必須對可能造成問題的弱點加以防護

46 資通安全管理─木桶理論新解 如何決定由木板箍成的木桶其容水量大小？ 取決於其中最短的那塊木板，並非是其中最長的那塊木板或全部木板長度的平均值
這個木桶是否有堅實的底板？ 木板與木板之間是否有縫隙？ 資訊安全管理系統 資安事件通報應變機制 資訊安全管理系統驗證 資訊安全領域

47 什麼是資訊安全？ 資訊安全在保護單位的資訊資產，避免遭受 各種威脅及降低可能危害，確保單位永續運作 Confidentiality 機密性
Availability Integrity 可用性 完整性

48 什麼是資訊安全？－機密性 機密性：確保資料受到妥善保護，只有經授權的人，方能允許存取資訊
保護業務上機敏資料(如元首出訪行程、人事資料、機密公文等) 保護個人隱私資料(如身分證字號、出生年月日等) 保護網路傳送資料之機密性(如信用卡號碼等)

49 什麼是資訊安全？－完整性 完整性：確保資料之正確性，不會被意外或蓄意改變 確保報稅資料在傳送過程中不被竄改 確保網頁資料不被竄改
確保資訊系統資料不被竄改

50 什麼是資訊安全？－可用性 可用性：確保所有經授權的使用者，在需要時，均可以獲得相關資訊或服務 確保網站服務24小時不間斷
確保網際網路服務24小時不間斷

51 其它安全性服務 不可否認性(Non-repudiation) 鑑別性(Authenticity) 可歸責性(Accountability)
防止存心不良的使用者否認其所做過的事，例如收發電子公文、線上交易等 鑑別性(Authenticity) 如何辨別使用者身份，例如帳號、身份字號、自然人憑證等 可歸責性(Accountability) 所有資訊資產應有專人負責管理，且管理紀錄必須是可追溯的 可靠性(Reliability) 資訊的正確性與系統運作穩定度

52 資訊安全的挑戰 高階主管的支持 員工的資安意識 不方便 時間 人力 財力
There are many challenges surrounding the implementation of policies of any type, and even more challenges for information security policies in particular. These challenges, however, tend to fall into the 4 major categories listed here. Most commonly mentioned issues are lack of resources, documents aren’t current, no one cares about policy, and awareness training is too expensive for the results you get (or don’t get as the case may be). It is also widely understood that there is a very large gap between high level policies and what is actually implemented on a day-to-day basis. One area that is not often considered – though this is changing with all the new industry regulations – is proving that users have read and understood the policy. Many organizations also tend to focus a lot of attention on policies when they are first created and when an employee is hired, but forget that that knowledge can be lost over time. This will result in employee behavior reverting to the “way its always been done” over time rather than adhering to the policies. This behavior will also strongly influence whether or not a new employee adopts the company policies they learned about in their new hire orientation. So what is the solution for these well known, and less commonly known, issues? VigilEnt Policy Center of course.

53 推動資訊安全認知與訓練 人們無法正確認知及看待風險 電腦系統有一項危機是它們很少出錯，以致於出錯時，人們不知道該如何處理
人們要求安全，可是又怕麻煩 「使用者相信電腦」這樣的想法有危險性 人類能做出聰明的安全決定是受到質疑的 內賊難防 社交工程學難防 人員通常是資訊安全上最弱的一環 所有人員均應建立資安意識與認知 所有人員均應依所負責職務不同接受適當的資安訓練

54 報告大綱 資訊安全威脅趨勢 資訊安全管理 個人資料保護

55 個資外洩相關新聞 聯合報 2008-08-27 竊5千萬筆個資 馬扁「搜」得到
國安大漏洞！刑事局昨天破獲兩岸駭客聯手入侵政府機關網站盜取個人資料、販賣牟利，包括現任總統馬英九、卸任總統陳水扁和王卓鈞、侯友宜等國安情治首長的個人資料，只要花300元，全都一覽無遺。警方說，查獲的資料庫多達5,000多萬筆，而且「只要想到的人都有」，相當驚人！ 陳光著集團至少從健保局、教育部、戶政、各家電信公司、東森購物等多處管道入侵盜取個資，同一人的個資被重複盜取，因此累計達五千萬筆，超出台灣2,300萬人口數一倍多，是歷年破獲最大宗盜取個資集團，依妨害電腦使用罪、詐欺、洗錢等罪嫌送辦 偵九隊說，入侵駭客來自大陸，以中、北部大學網站當跳板入侵政府機關

56 上網的風險 工商時報 2008-02-19 調查局示警:60個網頁藏木馬盜取公司或個人機密資料
調查局昨天發佈重大訊息，提醒所有網路使用者注意，有不明商業駭客利用設置相關網站或部落格，內藏網頁隱藏式惡意連結（即網頁掛馬），攻擊政府機關、民間機構及個人的網站或個人電腦，一旦點選進去，重要機密如網路銀行密碼等資料可能被盜取。由於這些程式目前仍有高達37.5%防毒軟體無法偵測到，企業界和民眾利用電腦對外連結時要特別注意 這群商業駭客是透過網頁掛馬，盜取公司或個人資料，如客戶名單、網路銀行、線上購物、個人信箱的帳號密碼、電腦系統中之文件與照片、鍵盤側錄、隨身碟內之檔案資料

57 工具/應用程式的使用 蘋果日報 2008-05-05 網路報稅 500萬個資恐不保
一名納稅人日前在分享軟體Foxy搜尋報稅資料時，意外發現大批的納稅人報稅資料可供人下載，其中一筆竟是朋友的資料！《蘋果》昨調查後，發現納稅人的身分證統一編號、地址、收入等資料，竟然可以輕鬆取得，全國500多萬申報戶的個資也令人堪慮；財政部賦稅署官員聞訊後大呼：「怎麼會有這種事？」今將著手調查 Foxy本身為單純P2P分享下載軟體，Foxy軟體本身不提供、儲存、控制、編輯或修改網路上的任何可被連結或被搜尋的訊息內容或其表現形式。且Foxy本身並無木馬或病毒等不良程式內藏(Foxy使用說明)

58 個人資料(人工資料)可能外洩風險 可以幫我填張問券嗎？有精美小贈品喔～ 請讓我們瞭解您對本餐廳服務意見，本餐廳將在優惠折扣時段以簡訊告知…
摸彩活動喔～只要填下您的相關資料即可獲得XX大獎 以上情形您有想過這些資料後來去了那邊嗎？ 得到資料的單位，你覺得他們網站會不會被駭客入侵得到資料？ 會不會因為電腦使用不當，某個員工安裝了P2P軟體，導致您的個人資料被竊取，你都不知道？

59 個人隱私資料使用在哪裡？ 向政府機關申辦各項業務時 與金融機構往來時 購物時 成為活動會員時 商業促銷活動時
報稅、行駕照申請、戶籍登記與變更、醫院看診等 與金融機構往來時 申辦信用卡、開立帳戶、申辦貸款、利用電話及網路查詢金融資料或轉帳、辦理投保業務等 購物時 申辦手機門號、信用卡刷卡購物、旅遊服務、結付帳單、慈善公益捐款、電視購物、郵購或網路購物等 成為活動會員時 健身俱樂部、政黨團體、網站會員、公益團體等 商業促銷活動時 廠商抽獎活動，領取免費獎品、參觀展覽等

60 如何取得我的個人隱私資料？ 戶政資料 網路硬碟空間 交通運輸 網路論壇 交通監理站 百貨公司會員資料 保險公司 電視購物、郵網購
醫院住院紀錄 銀行、信用卡 參與政黨組織 慈善公益機構 命理資料 寺廟組織… 網路硬碟空間 網路論壇 百貨公司會員資料 電視購物、郵網購 訂閱雜誌、書報資料 稅務資料 學校單位 工作組織單位 俱樂部會員 飯店、旅遊資料

61 個人資料保護相關問題 個資法 6W1H Where Who Why What When Which How 為何我要在乎 個資法？
那些範圍須受到規範？ Where 那些人須 受到規範？ Why Who 施行時程？ 要保護什麼 個人資料？ What When 我該做什麼？ Which 個資法 6W1H 我要如何做？ How 61

62 個人資料保護 規範個人資料之 蒐集、處理及利用 避免 人格權受侵害 資料合理流通 取得平衡的衡量基準 促進 個人資料保護法

63 個人資料保護生命週期 蒐集 儲存 管理 技術 稽核 個人資料 處理 銷毀 傳輸 利用 規劃 執行 改善 檢查 程序 政策 運作 控制 加密
存取 流程 防禦 審查 矯正 監督 檢查 個人資料 處理 銷毀 傳輸 利用

64 個人資料範圍 自然人 個人資料檔案： 依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合 個人資料 姓名 出生年月日
身份證統一編號 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 醫療 基因 性生活 健康檢查 犯罪前科 聯絡方式 財務情況 社會活動 直接識別該個人之資料 間接識別該個人之資料 個人資料 64

65 特種個人資料 特種個資： 不得蒐集、處理或利用 自然人 特種個資 除非符合下列情形之一： 法律明文規定
公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施 當事人自行公開或其他已合法公開之個人資料 公務或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序 自然人 姓名 出生年月日 身份證統一編號 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 醫療 基因 性生活 健康檢查 犯罪前科 聯絡方式 財務情況 社會活動 直接識別該個人之資料 間接識別該個人之資料 特種個資 特種個資： 不得蒐集、處理或利用 65

66 個資法適用之機關與人員 當事人 公務機關 非公務機關 指個人資料之本人 依法行使公權力之中央或地方機關或行政法人
公務機關以外之自然人、法人或其他團體 66

67 個資法適用活動範圍 蒐集以任何方式取得個人資料 處理 國際傳輸 利用
為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送 國際傳輸 將個人資料作跨國(境) 之處理或利用 不適用個人資料保護法之情形 自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料 例如：親友通訊錄 公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料 例如：公用道路旁的監視器 利用 將蒐集之個人資料為處理以外之使用 67

68 該原因事實所涉利益超過新臺幣二億元者以該所涉利益為限
違反個資法之罰則 每人每一事件新台幣五百元以上，二萬元以下 新台幣二億元為限 違反個資法 致侵害當事人權利者，民事賠償每人每一事件 同一原因事實造成多數當事人權利受侵害，合計賠償總額 第41~43條 違反……或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金 意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金…… 第44條 公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一 被害人不易或不能證明其實際損害額時 該原因事實所涉利益超過新臺幣二億元者以該所涉利益為限 68

69 中央各主管機關應辦理事項 配合個人資料保護法研訂機關之隱私政策 參與修訂個人資料保護法施行細則草案
分別修正機關及所管行業所需個人資料之特定目的及資料類別 修正機關之主管相關法令 研訂機關之個人資料保護管理要點草案 落實機關個人資料保護之管理與具體執行措施

70 各機關應辦理事項 將保有個人資料檔案名稱、保有機關名稱及聯絡方式、個人資料檔案保有之依據及特定目的、個人資料類別等四項法定項目查明清楚並依法公開 訂定機關之個人資料保護管理要點 指定「專人」辦理個人資料安全維護事項 設置「個資保護聯絡窗口」 指定「召集人」，以便統一決策及執行

71 公務機關因應措施 建立專責人員及個人資料管理制度 明瞭個資法相關規定 清楚機關內作成或取得個人資料之種類及特定目的
採取有效的方法保護及管理個人資料 加強保障人民之資訊請求權

72 個人資料保護管理要點範例 72

73 清查機關保有之個人資料 個人資料之種類或檔案名稱 法令依據 特定目的 個人資料類別

74 個人資料之項目彙整表範本 項目 單位 名稱 個人資料檔案名稱 法律依據 特定目的 個人資料類別 個人資料之範圍 有否特種資料？何種特種資料？
有無監督管理之非公務機關及其名稱（現行法） 有無監督管理之非公務機關及其名稱（修正草案） ○ ○ 法務部國家賠償法研究修正專案小組委員聯絡名單 法務部組織法第10條第3款、法務部處務規程第6條第2款 011立法或立法諮詢 C001 C003 C011 C038 姓名、職業、職稱、地址、身分證字號、電話、電子郵件地址、性別 無 資料來源：法務部法律事務司 74

75 個資防護整體發展架構 運行 導入 散布 補強 國際個資管理發展趨勢、標準、作法 個資項目盤點 與隱私衝擊評鑑 個資風險評鑑 個資管理與防護
- OECD Privacy Principals - APEC Privacy Framework - ISO (FS-PIA) - ISO 27001 - ISO 27005 ISO 29100 ISO / ISO 20000 NIST SP / 53 - BS 10012 個資項目盤點 與隱私衝擊評鑑 - What (個資盤點) - Where (個資來源) - Why (使用目的) - Who (利害關係人) - How (個資流程) 個資風險評鑑 - 個資分類分級 風險評鑑結果 (普、中、高) - 風險處理對策 - 風險處理計畫 運行 導入 個資管理與防護 - 個人資料保護管理要點 - 個資保護流程與安全措施 - 個資蒐集 - 個資儲存 - 個資處理 - 個資傳輸 - 個資銷毀(淨化) Personal Identifiable Information, PII (可識別 之個人資料) 散布 PDPS P D C A 補強 - 個人資料保護法 - 個資法施行細則 - 資訊系統分類分級與 鑑別機制參考手冊 - 資訊系統分類分級與 鑑別機制參考手冊 -資訊系統風險評鑑 參考指引 - 個資法施行細則 - 電子資料保護參考指引 - 安全控制措施參考指引 國內個資相關法律、規範、標準、指引 75

76 建立個資管理PDCA持續運作(1/2) 個資防護系統(PDPS) P 規劃 D 執行 C 檢核 A 改善 法律遵循與國際接軌 流程與技術面
中華民國個人資料保護法 個資法相關施行細則 OECD Privacy Principals APEC Privacy Framework 個資防護系統(PDPS) P 規劃 D 執行 C 檢核 A 改善 法律遵循與國際接軌 流程與技術面 稽核面 ISO 29100 ISO / 27005 BS 10012 ISO 20000 NIST SP800 ISO 22307 參考指引 管理審查 稽核發現 個資事故 中華民國個人資料保護法 個資法相關施行細則 ISO 27001 BS 10012 76

77 成熟度評估、個資盤點、隱私衝擊分析、風險評鑑
建立個資管理PDCA持續運作(2/2) 法律 標準 業界參考實務 成熟度評估、個資盤點、隱私衝擊分析、風險評鑑 個資政策 管理組織 人員訓練 作業流程 技術措施 紀錄管理 合約管理 管理指標 規劃 檢核 執行 改善 召集人 個資保護聯繫窗口 個資管理專責人員 CMDB 個資管理紀錄 RACI 蒐集 處理 利用 國際 傳輸 - 政策、組織與人員確立 - 流程管理活動參考基準 - 技術控制措施參考基準 - 管理紀錄與數位證據保存 ISO 29100 ISO 27001 BS 10012 NIST SP 管理審查 矯正措施 預防方案 提升計畫 報告 稽核 監督 77

78 個資安全、人人有責 資訊單位：建構安全的系統與環境 業務單位：遵守安全規定使用系統與資料
政風單位(稽核單位)：依據規定稽核是否落實執行個資保護 人事單位：協助個資保護推動組織與人力建置 會計單位：協助個資保護預算籌編

79 資通安全關鍵成功因素 高階主管的 支持與承諾 清楚資訊安全 目標的釐定 組織安全意識 的建立 資訊安全納入 例行業務的一部份 持續不斷的
(Commitment) 清楚資訊安全 目標的釐定 (Objective) 組織安全意識 的建立 (Awareness) 資訊安全納入 例行業務的一部份 (Routine) 持續不斷的 教育訓練 (Training)

80 結語(1/2) 我國政府機關資安威脅趨勢 個資法通過後對政府機關造成影響與衝擊，相關權責主管機關應妥善研擬相關配套措施
結合社交工程攻擊為我政府機關公務資訊遭竊之最主要威脅 鎖定目標、假冒身份及公務相關訊息之偽冒電子郵件防不勝防 各機關對外服務之系統安全已有顯著進步，但網站應用程式安全仍存有漏洞 個資法通過後對政府機關造成影響與衝擊，相關權責主管機關應妥善研擬相關配套措施

81 結語(2/2) 政府資訊安全工作除了健全的基礎設施外，最重要的是先做好個人的資訊安全，只要機關同仁養成良好的使用習慣，人人隨時做好資訊安全第一線防護，機關內部資訊安全就能得到保障，進而提升我國整體資訊安全防護

82 報 告 完 畢 敬 請 指 教