Download presentation
Presentation is loading. Please wait.
1
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
嶺東科技大學 資訊安全與灰色理論研討會 大學生資安面面觀-資安案例解析 恩可埃技術服務有限公司 國家資通安全白皮書建言專家顧問 黃建岡 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
2
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
主題:什麼是大學生面臨資通訊安全問題? 手機安全嗎? 住屋安全嗎? 電腦安全嗎 線上交易? 你安全嗎? 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
3
朝陽科技大學台灣產業策略發展博士學位學程博士生 逢甲大學商學博士學位學程經營管理組博士生
個人簡介-學經歷與曾獲殊榮 中興大學食品科學系學士 美國密西根大學語言與國貿碩士 朝陽科技大學台灣產業策略發展博士學位學程博士生 逢甲大學商學博士學位學程經營管理組博士生 68 居仁國中學習二胡 70 考入 中興國樂團 任二胡團員 72 台中一中三年級全國音樂比賽 成人組 高胡冠軍 二胡亞軍 73 全國音樂比賽 成人組 高胡冠軍 二胡亞軍 74 全國音樂比賽 成人組 高胡冠軍 二胡亞軍 77 任東海大學、靜宜大學 國樂指導老師 77 中興大學最高榮譽 菁莪獎 東引酒廠 品質經理 80 省立交響樂團附設國樂團首席 86 無量壽健康素食股份有限公司廠務經理 87 挪威船籍社DNV-ISO主導稽核員兼經理 美國衛生基金會(NSF)亞洲區副總裁兼台灣總經理 94-95 德國萊茵TUV技術服務有限公司系統稽核部經理 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
4
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
個人簡介-曾獲殊榮 93 創立恩可埃技術服務有限公司,以輔導ISO9000國際標準顧問為主要業務。 93年 執行93-023彰化縣警察局「本局所屬單位ISO9001:2000服務品質系統認證輔導」計畫 執行行政院衛生署藥物食品檢驗局「實驗室內部稽核訓練班」計畫 執行 號經濟部商業司辦理「研修電器商品及資訊、通訊、消費性電子商品標示基準」計畫 執行BD93046P199PE中山科學研究院龍潭青山廠890館「測試實驗室CNLA ISO/IEC17025認證輔導」計畫 執行IG 財政部關稅總局「資訊安全管理系統轉版」 執行THB-96D-012交通部台中港務局「資通安全管理系統服務案」 執行96-N097-A高雄港務局「資訊安全管理系統導入建置委外服務」 擔任96B008中油公司天然氣事業部營業處資訊組「資訊組資通安全管理制度(ISMS)建置暨輔導驗證」顧問 擔任96B008中油公司天然氣事業部管線處資訊組「資訊組資通安全管理制度(ISMS)建置暨輔導驗證」顧問 執行12自來水公司鯉魚潭給水廠「資訊安全管理系統認證轉版」 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
5
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
個人簡介-曾獲殊榮 執行96H11行政院衛生署藥物食品檢驗局「資訊安全管理系統委外服務案」 執行9653交通部公路總局「資訊安全管理系統(ISMS)建置委外服務案」 執行964H101-2自來水股份有限公司總管理處「資訊安全管理系統認證延續維護專案」 執行F 苗栗縣警察局「資通管理整合建置委外服務案」 執行97005財政部台北關稅局「財政部台北關稅局資訊安全管理系統(ISMS)建置案」 執行97BE0300財政部高雄關稅局「資訊安全管理系統建置服務案」 執行 高雄市立凱旋醫院「資訊安全管理系統導入 執行N 原子能委員會核能研究所「資訊安全管理系統 執行97B022-05行政院農委會林業試驗所資訊安全管理制度導入」 執行97A32財政部印刷廠「資訊安全管理系統導入暨驗證委外服務」 執行 勞工退休基金監理會「資訊安全管理制度建置暨輔導驗證委外服務案」 執行98A1082台南縣政府「資訊安全管理系統運作維護服務案」 執行 台中市政府地政處「資訊安全管理系統(ISMS)複評暨維護案」 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
6
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
國家資通安全會報技術服務中心 資安通報 針對JAVA弱點攻擊頻率於今年第三季驟然提升 美國積極利用社群網站監控特定人士動向 英國政府將網路攻擊威脅視為目前國家防禦重心 麻省理工學院研發攻擊回復系統 美國暫緩海外電子投票系統上線作業 Comcast 將其殭屍電腦警訊系統服務推展至全美用戶 美國國家安全局建議於網際網路上設置「安全區域 中國申請行動電話及SIM卡必須出示身分證件 美國政府與民間資安資訊情報分享成效不彰 西班牙調查空難肇因是否為惡意程式感染 個聯合國會員共同提出網路安全防護控制法案 美參議員建請美國與中國共同領導與重視全球網路安全議題 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
7
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
西班牙調查空難肇因是否為惡意程式感染 西班牙法院針對2008年西班牙馬德里機場的空難展開調查 空難造成機上172名乘客有154人不幸罹難。 查閱西班牙航空公司內部文件指出總部的中央控制系統負責接收由飛機上傳遞出的機件錯誤訊息之主機因感染惡意程式而沒有發出警訊。 正常情況下,該主機在接收到同一架飛機所傳遞的同一個機件錯誤訊息3次即會發出警訊通知相關人員,將該架飛機停飛並予以檢修。 空難發生前2天接收到由肇事飛機所傳遞之第3筆相同機件錯誤訊息,但是卻因為感染惡意程式而沒有發出警訊。 目前法院已要求西班牙航空提供該主機於空難事件發生前後的所有相關紀錄檔,以釐清該起空難發生之真正原因及責任歸屬。資料來源:InformationWeek 技術服務中心整理 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
8
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
國家資通安全會報技術服務中心 資安通報 十萬網站疑似遭駭客以SQL Injection攻擊 澳洲政府提出管制網路電信業者之規範 美國網路司令部警告國防網路已被駭客視為滲透入侵首要目標 微軟計畫提供零時差弱點詳細技術資訊予全球政府相關技術機構 美國太空總署將資安重心由認驗證轉移至即時威脅通報 美國將開始即時監控政府部門網路資訊 朝野提復議再修正 個資法三讀通過 針對公用事業系統的惡意攻擊持續增加 殭屍網路Kneber感染75,000台電腦 近百組織的資料經P2P外洩 西班牙破獲控制1300萬台電腦的殭屍網路 Facebook提供會員免費安裝防毒軟體 中國駭客試圖入侵印度政府電腦 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
9
2010-04-20-美國將開始即時監控政府部門網路資訊
根據美國行政管理與預算局(Office of Management and Budget) 4月21日所發布備忘錄,美國針對2002年所頒布的聯邦資訊安全性管理法案(The Federal Information Security Management Act of 2002)進行修改。 所有政府部門必須提供即時網路資訊至美國國土安全部所設置維運的網路閘道CyberScope。 美國白宮並將在5月7日針對此議題提供全國政府部門教育訓練,預計此措施最快將由6月開始, 藉時CyberScope將接收分析來自全國政府的即時網路資訊。 但此議題也受到美國國會與美國國家標準技術研究院(National Institute of Standards and Technology)強烈抨擊,認為此舉會更加惡化原本已經是天文數字的財政赤字。 相較於美國政府機關各自透過ISP連網,我國政府早已建置GSN供各機關連網,並可由GSN骨幹針對電子郵件、網頁安全與網路入侵等威脅以集中化的方式進行偵測與防護。 同時技術服務中心的GSOC部署範圍也已涵蓋了大部分的A級機關,並提供資安威脅預警,在資安防護作為上較美國更為經濟有效。 資料來源:InformationWeek eID= &subSection=News 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
10
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
緊縮通訊自由 [國際] 中國政府修法監控電信與網際網路,緊縮通訊自由 中國政府計劃修改現行法律,要求電信公司與網際網路服務業者偵測到有使用者在其服務網路範圍內討論國家機密時,必須立即通報。 中國國家機密保護法中將加入「如果發現傳輸中的資訊含有國家機密,須立即截斷終止該項傳輸」與「如果發現國家機密已遭到洩漏,相關業者必須提供該事件的紀錄並立即通知政府執法單位」等修正文字。 不過中國政府對於「國家機密」的定義非常廣泛,包含地圖、GPS定位座標甚至經濟相關數據都涵蓋在內。 我國政府在通訊自由保障方面有「通信保障及監察法」與「電信法」,明定政府實施通信監察的要件、程序以及相關的配合措施,使國家機關之通信監察得以法制化。 其立法目的係為保障人民秘密通訊自由不受非法侵害,同時並保障通信安全及維護使用者權益。資料來源:The Washington Post 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
11
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
公用事業系統 [國際] 針對公用事業系統的惡意攻擊持續增加根據國際組織Repository of Industrial Security Incidents (RISI)所做的調查報告顯示,使用於監控操作國家自來水、廢水處理、供電及天然氣等公用事業系統近五年來遭受網路惡意攻擊的次數持續增加中。 自來水及廢水處理系統相關的資安事件在五年間成長了300%, 供電及天然氣系統相關的資安事件在同期間也成長了30%。 其中25%的資安事件是外部駭客或內部人員蓄意入侵,其他75%則平均地分散在硬體設備故障及惡意程式攻擊。 一些沒有與網際網路連結的公用事業系統,也有被惡意程式感染的資安事件發生。原因在於內部人員使用藏有惡意程式的USB儲存裝置或是筆記型電腦存取相關系統介面,導致惡意程式經由這些設備進入系統。這些沒有與網際網路連結的公用事業系統,普遍並未定時更新作業系統及應用程式的修補程式。公用事業系統的安全防護,迫切需要被相關單位重視。 (資料來源 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
12
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
標錯價 又出現網路商品標錯價事件,此次出包的是知名家具連鎖店「特力和樂」HOLA,網路上千元禮券竟然賣0元,不正常的交易高達64億張,除了向消費者致歉,HOLA表示會在3天內和下標民眾聯絡後續處理事宜。 而門市人員接獲通知後也相當錯愕,且因適逢週休二日,總公司沒人處理,因此該錯誤訊息至少在網路上連登了2天,直到今天上午10點才將錯誤網頁拉掉,數千筆訂單如果依約出貨,業者至少損失數兆。 台北市政府法規委員會主委葉慶元昨(1)日宣布,戴爾公司兩度在網路上標錯商品價格事件,台北市政府加重處罰100萬元,獲得經濟部訴願決定的支持,未來網路業者如發生錯標事件,應以錯標價格出售為原則,以免遭受裁罰。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
13
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
認知-Google搜尋服務 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
14
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
List Country name 2009 Feb 3891` 2010 May 6443 2010 Oct 6942 1 Japan 1983 3499 3657 2 India 335 494 509 3 UK 364 444 454 4 Taiwan 165 373 376 5 China 48 188 495 The following:Register Search –V188 Feb 2009 (Version 167 SEP 2007 to 199 May 2010)ISMS International User Group (established 1997) and the World of Information Security Management Systems 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
15
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
2、社交工程 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
16
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
社交工程攻擊之定義 利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法 早期社交工程是使用電話或其他非網路方式來詢問個人資料,而目前社交工程大都是利用電子郵件或網頁來進行攻擊 透過電子郵件進行攻擊之常見手法 假冒寄件者 使用讓人感興趣的主旨與內文 含有惡意程式的附件 利用應用程式之弱點(包括零時差攻擊) 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
17
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
傳統網路攻擊模式 使用者 機關內部網路 駭客 網際網路 Router 路徑二 防火牆 路徑一 伺服器 為了避免駭客入侵使用者的主機 現在的企業都會使用防火牆禁止伺服器主動連線到使用者的電腦(路徑一) 或者使用獨立的線路給使用者使用(路徑二) 因此駭客無法直接的攻擊使用者的電腦 機關對外網路 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
18
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
最新攻擊模式 使用者 機關內部網路 路徑二 駭客 網際網路 Router 電子郵件 防火牆 路徑一 伺服器 為了避免駭客入侵使用者的主機 現在的企業都會使用防火牆禁止伺服器主動連線到使用者的電腦(路徑一) 或者使用獨立的線路給使用者使用(路徑二) 因此駭客無法直接的攻擊使用者的電腦 機關對外網路 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
19
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
社交工程攻擊模式 Internet 駭客設計攻擊陷阱程式(如特殊Word 檔案) 受害者開啟電子郵件 後門程式逆向連接,向遠端駭客報到 將攻擊程式埋入電子郵件中 啟動駭客設計的陷阱,並被植入後門程式 寄發電子郵件給特定的目標 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
20
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
社交工程攻擊之防範 訂定防範社交工程SOP 加強資安訓練與宣導 建立社交工程防範措施 辦理相關演練 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
21
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
96年度電子郵件社交工程演練 演練時間 96年6月1日至30日 演練對象 18個中央部會,合計10,799人 郵件主題 「政治新聞」、「影劇新聞」、「情色主旨」及「休閒娛樂」 郵件類型 「惡意網頁連結」及「惡意Word檔」 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
22
演練電子郵件(3) 惡意網頁連結(情色主旨) 非色情
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
23
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
演練結果 開啟郵件及點閱郵件之網頁連結人數比 共1,969人開啟郵件,佔總人數之18.23% 共1,053人點閱郵件之網頁連結或開啟Word檔,佔總人數之9.75% 開啟郵件及點閱郵件之網頁連結數量比 共3,484封郵件被開啟,佔總郵件量之5.38% 共1,484封郵件之網頁連結被點閱或Word檔被開啟,佔總郵件量之2.29% 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
24
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
演練結果-奇怪 有人一天開啟#3郵件24次 好心下載並送出聯連結 更有人回報以下圖片 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
25
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
演練結果分析 95年度及96年度演練結果對照表 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
26
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
攻擊手法的演變(2) 過去駭客的手法-置換網頁 駭客為了出名, 會讓你知道網頁已經被竄改過 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
27
駭客為了金錢利益,在不破壞網頁情形下,加入惡意程式碼,讓瀏覽網頁的使用者被安裝木馬程式
攻擊手法的演變(3) 現在駭客的網頁置換-惡意掛馬 駭客為了金錢利益,在不破壞網頁情形下,加入惡意程式碼,讓瀏覽網頁的使用者被安裝木馬程式 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
28
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
什麼是網頁惡意掛馬? 駭客入侵(知名的)網站 不更動原有的畫面下,修改網站內容,加入惡意程式碼 使瀏覽該網站的使用者被植入惡意程式 進而竊取個人資料或當成跳板主機 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
29
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
階梯數位學院網站又被植入惡意連結 階梯數位學院網站又被植入惡意連結,此惡意程式為 Lineage 和 Agent 變種,請各位暫時不要瀏覽這個網站,以免中毒 惡意連結是放置在首頁 (其他頁面可能要仔細檢查一下囉) 中的: 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
30
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
網頁惡意掛馬攻擊模式 掛馬 瀏覽網頁 網站server 用戶 導向惡意 程式網站 遙控受害電腦 下載並安裝 惡意程式 惡意程式網站 駭客 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
31
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
網頁惡意掛馬的原因 網站伺服器的弱點或管理不當 不當的設定與管理 不安全的預設網站路徑與紀錄檔檔案配置 沒有更改預設的管理者密碼 不當設定讓使用者能存取任何網頁目錄 過於寬鬆的網頁權限設定 沒有刪除不必要之網站或虛擬目錄 SQL Injection 利用SQL語法可以串連的特性,串連惡意的SQL語法執行新增、修改內容或刪除資料表等攻擊動作,意圖危害網站的正常作業 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
32
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
網站惡意掛馬預防方法 安裝修補程式 使用防毒軟體 不隨意瀏覽網站 提高IE的安全性設定,停用Script和ActiveX元件下載 考慮IE以外的瀏覽器 經常檢視重要機器其開機執行程序狀態,例如:使用ProcessExplorer、Autoruns等程式或其它廠商開發之工具來比對 降低網頁瀏覽權限 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
33
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
網站惡意掛馬預防方法(續) 危機意識與正確的資安觀念 預防詐騙手法的攻擊 提高警覺,加強危機意識 不隨意開啟或下載電子郵件或軟體 定期做系統更新與資料備份工作 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
34
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
3.資安案例解析及處理建議 何為資安 ? 為何是你? 為何老是你? How are you? How old are you ? LAC Course Objectives No.1 (01/01) 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
35
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
主管資安觀念及危機處理課程 A 三 機密由下列人員親自核定: (一) 前二款所列之人員或經其授權之主管人員。 (二) 中央各院之部會及同等級之行、處、局、署等機關首長。 B C D 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
36
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
怎麼辦-免費防毒系統 Avira AntiVir® PersonalEdition Classic Avira has over 30 million users worldwide – and what can we do for you? 全球3000 萬人使用 Free virus protection for Windows 2000/XP/Vista 32Bit and 64Bit and for Linux/FreeBSD/Solaris ClamWin是一套功能非常優秀的免費防毒軟體 軟體名稱:avast! antivirus難得一見的內建中文語系的免費防毒軟體 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
37
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
資安案例解析:保密防諜人人有責 我兵推資料 流入中國網站自由時報 / 2008/04/25 〔記者施曉光、許紹軒/台北報導〕國民黨立委江連福今將召開記者會爆料指稱,國防部兵推資料疑似洩密,內容多達十餘頁,這些原以光碟與紙本方式給參與演習的高階將領參考的資料,如今卻在中國網站流傳,且被譯成簡體字版本,造成國防部反過來被對岸推演,國家安全陷入危機。 :中國網軍入侵漢光演習資料外洩:USB隨身碟:漢光演習軍機外洩 分享軟體(P2P)一直是資安危害項目:國內最近兩起事件都是由於FOXY分享軟體造成資料外洩 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
38
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
警公務電腦安裝分享軟體 機密筆錄竟外洩供人下載 東森新聞報╱社會中心/綜合報導 :59 :警局筆錄外洩凸顯P2P軟體威脅詐騙集團: 夾帶惡意文件國內政府機關資訊安全再度出現漏洞,至少有八個警察機關的電腦因灌有P2P(檔案分享)的FOXY軟體,警用電腦裡的筆錄與偵查報告竟也被人「分享拿走」,網友利用FOXY軟體的「搜尋」功能,只要打上「筆錄」二字,便可取得完整的警察筆錄,至少有八份筆錄與一份偵查報告外洩。 數量(台數) 木馬 P2P 中木馬比率% 修復比率% 60 10 1 18 100 29 2 3 17 33 4 21 23 8.6 28 7 11 16 6 82 13 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
39
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
防治惡意程式-警訊系統 警訊系統的建置 ※ 防火牆 ※ 防毒系統 ※ 入侵偵測系統 IDS/IDP ※ 後門清道夫/木馬清除系統 你家呢? 建置後? 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
40
王令麟收押禁見 Pchome 2007-08-14 01:21/黃靜萍
檢察官俞秀端還提出另份東森內部簡訊顯示「剛老闆在問的公文箱就是週五晚上他指示要曉菁送回家的一些機密文件老闆自己要看完後銷燬的,剛小吳已拿給我了,我會保管好,萬一老闆有在問,你就可以直接說:已在我手上,隨時有事CALL我」、「要通知你們館前九樓不知有無清乾淨,早上已經中間抽屜都碎完了」。台北地方法院表示,根據簡訊內容,認定有湮滅證據的事實 電信業者表示,所有的簡訊內容,都必須經由電信業者的機房轉發,取得簡訊的內容,並不困難,電信業者在政府的要求下,就是利用系統搜尋關鍵字,再加以阻攔發信,因此,取得簡訊收發內容,其實遠比監聽通話內容更方便,不法行為根本無所遁形。但是個人的通訊內容,都受法律保障,根據通信監察法的規範,司法調查機關發出監聽票之後,也只有辦案人員可以參閱內容。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
41
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
資安案例解析 頭城大里火車車禍,司機員闖紅燈釀禍,但是如果ATP列車自動防護系統緊急發揮作用,悲劇是可以避免,但ATP故障停用,台鐵指出,這套花了39億採購的系統,平均一天故障率有12到13次,TVBS記者要拍攝ATP自動防護系統,遇上這列火車,系統故障。2010 May 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
42
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
資安案例解析 【記者許志煌/台北報導】 交通部高速鐵路工程局局長龐家驊昨天表示,台鐵ATP〈列車自動防護系統〉,通常來說是鐵路必備的設備,就鐵路安全來說,也是failsafe〈故障安全防護裝置〉。也就是說,當列車行駛當中前面有狀況,「它的號誌一定是紅燈」。他說,鐵路也黃、紅、綠燈的機制,當看到紅燈,列車絕對不能往前走,而ATP是與號誌連鎖。 龐家驊指出,以高鐵來講,也是有這一裝置。除了行控中心會做適度掌控以外,高鐵還有一項防追撞的機制。而若是像前方十五公里處有列車的話,高鐵列車一定會事先知道,駕駛座一定會做處理,也會適度把速度降下來。所以,他說,ATP機制對鐵路來說,是很重要的機制。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
43
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
華航名古屋空難 導因重飛失誤 1994 聯合報記者郭錦萍/台北報導 華航CI-140空中巴士A R型班機於日本名古屋機場上空,機師要求重新降落,機頭抬高上衝,墜毀於跑道前,機上271人有264人死亡 七人重傷的華航空難事件中,被日警依「業務過失致死」罪嫌移送名古屋地檢偵辦的四名華航高級職員,今天獲不起訴處分。 事後調查報告發現,空難的原因是正副駕駛2人完全相反的操作,副駕駛在操縱飛機降落時,不小心誤將飛機設定在重飛,才會造成飛機失速墜毀,而2003年日本法院作出一審判決,認定華航有重大疏失。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
44
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
華航大園空難 導因重飛失誤 1998 聯合報記者郭錦萍/台北報導 國內歷來死亡人數最多的大園空難,民航局調查,空難最主要的原因是飛機在下降途中高度始終過高,飛行員知道,航管人員也曾提醒,但一直未有效修正,也因此導致飛機進入跑道範圍時必須重飛;但沒有按規定步驟,甚至關鍵程序弄反,造成飛機仰角過高、失速,最後失事。 華航這起空難發生在八十七年二月十六日晚間,機上旅客和組員有一九六人,飛機由峇里島起飛,抵達中正機場時墜毀,機上所有人員及地面六人,共二百零二人死亡。 調查報告指出,與事件最直接相關的現象是,飛機在下降全程中始終高於平常下滑道約一千呎。航管人員曾要求飛機下降至四千呎,飛行組員並沒有確認收到,航管員也沒有再進一步確認;之後進場台管制員曾質問飛機是否太高,但正好組員開始更換波道,未收到訊息。 執行落地前檢查時,有一駕駛員推了駕駛盤,肇致跨越功能作用,使得自動駕駛解除,隨後組員又取消了自動駕駛解除警告聲。 在八時零五分十三秒時呼出「GO LEVER,重飛」,重飛後十一秒間駕駛盤及仰角調整片沒有任何動作。之後機長下令收起落架,再收襟翼;但標準作業程序應是先收起一段襟翼以後再收起落架,這也導致連續警示聲響起,但這時發動機已增加至全推力,導致飛機仰角姿態急速增加。飛機到達仰角四十度時,飛行員試圖挽救,飛行操縱面在此刻已因空速過低而無效應。八時零五分卅六秒,先是聽到失速警告,之後發出空氣動力噪音,最後飛機完全失速。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
45
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
華航空難 導因金屬疲勞 2002 91年5月25日華航CI611空難事件究竟肇因為何,可望在美國波音公司人員於這兩天內抵達澎湖馬公,並檢視搜救人員尋獲的機骸後,得到初步的研判。民航局長張國政並指出,目前民航局已協調國軍派遺獵雷艦搜尋黑盒子下落,並要求國籍波音 型飛機全面停飛。 華航空難澎湖地檢署於完成全國首例跨國偵訊後,偵查終結,對結構工程師孫○○提起公訴 孫○○於民國69年間擔任中華航空公司修護工廠總工程師室結構工程師,為從事飛機修護業務之人,該公司機型 B 、登記號碼B-18255飛機於民國69年2月7日在香港發生機尾觸地事件,於當日以不加壓方式飛渡返台,次日完成暫時性修理後繼續飛航任務,後於民國69年 5月23日至26日期間在台北市松山機場華航公司修護工廠完成永久性修理。孫○○為負責本件結構修理之工程師,明知依波音公司結構修理手冊規範,應將未超限之刮痕打磨平整,將超限損傷部位蒙皮移除,再加上補片,能注意而疏未注意,竟決定以直接覆蓋蒙皮方式修補,致該機刮痕日積月累,造成金屬疲勞,產生貫穿性裂痕。華航公司CI611定期班機(B-18255)於民國91年5月25日下午3時7分由桃園中正國際機場起飛,預計飛往香港赤角國際機場,因上述貫穿性裂痕造成飛機失壓解體,於台北時間15時29分墜於澎湖縣馬公市東北方約23浬處海面,機上共載有225人全數罹難。 判處被告有期徒刑2年,緩刑5年。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
46
一枚螺絲帽脫軌 華航那霸機場爆炸 華航空難3分鐘起火爆炸零傷亡奇蹟 2007 20090901
(亞洲時報/空戒僧)8月20日上午9時30分,台灣華航CI120的波音 航班在日本沖繩那霸機場降落時起火爆炸。 157名乘客(乘客中有2個小嬰兒)得救了,8名機組人員得救了。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
47
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
國票百億大盜十一月假釋?! 文/江元慶 犯下台灣最大宗金融犯罪金額的「國際票券」前營業員楊瑞仁,就要被提報假釋了。 楊瑞仁在國票案中吞占國票一百零二億二千萬元,被處以十三年的徒刑,併科罰金三十億零三百萬元這個易服勞役的「天價」,相當於是他在牢中蹲一天牢,抵換的金額高達一千六百六十六萬多元。半年的易服刑期就能折抵三十億元,聯電今年上半年的稅後盈餘是三十億九千零二十萬元,兩相對照下,楊瑞仁個人所創造出來的「犯罪價值」之高。 國際金融票券金融公司一百億風暴事件 。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
48
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
假交易真退錢例 年1月27日,聯合報9版,記者陳金章/台北報導。 年10月間,任職屈臣氏晴光店收銀員的范OO小姐,因使用信用卡刷卡購物 三萬元而沒錢可繳,就使用店內刷卡機刷卡及按「退貨」鍵數次,聯合信用卡中心又將她的刷卡金額三萬元向商家扣款轉到她的帳戶中。 3. 范小姐因故離職後,從1998年10月21日起到1999年1月16日止,使用慶豐及台新兩家銀行信用卡共盜刷一百六十多萬元。 年1月16日,聯合信用卡中心發現屈臣氏晴光店單日兩筆刷卡金額分為 四十九萬多元及三十九萬多元,總額近九十萬元,遠超過該店平常營業總額,同時該店已有數日未進帳,誤認該店已倒閉而遭不法集團盜刷,經電話查詢後,發現該店仍在營業,於是雙方共同查帳比對,發現此一漏洞,而且查出盜刷者後報警處理,於1999年1月26日查獲范小姐,范小姐坦承犯案後已被移送檢方偵辦。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
49
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
提款機領取現款 1.資料來源:1999年10月9日聯合報9版,記者劉明岩、林榮/連線報導。 2.華僑銀行彰化分行1999年10月8日傍晚發現彰化市金馬路忠孝加油站的跨行提款機遭異常提領,於1999年10月8日19時許向彰化分局中正路派出所報案。 3.台中六信人員表示,最近電腦更換程式,因操作人員不熟悉新程式,電腦判讀錯誤,從1999年10月8日1時44分起至1999年10月8日9時止,造成系統失靈。 4.台中六信客戶張OO先生於1999年10月8日6時至8時間,在彰化市金馬路忠孝加油站提款機領取現款時,發現不但未受跨行之領取金額限制,餘額還有290多億元,張先生一口氣領了131次,領走提款機內全部的262萬元。 5.台中六信表示,被溢領300多萬元,已追回100多萬元。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
50
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
4,000萬筆信用卡資料外洩事件 1. 資料來源:2005年6月19日,中國時報A1要聞,尹德瀚/綜合17日外電報導。 2. 總部設於美國亞利桑那州土桑的信用卡系統清帳(Card Systems Solutions)公司表示,2005年5月22~23日發現公司之電腦系遭受惡意程式入侵,立即通知美國聯邦調查局並採取措施加強其安全。 3. 萬事達卡國際(MasterCard International)公司於2005年5月17日表示,逾4,000萬筆信用卡資料失竊,其中約1,390萬筆屬於萬事達卡的信用卡帳號,約2,200萬筆屬於威士卡(Visa)信用卡帳號,其餘分屬美國運通卡等品牌之帳號。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
51
信用卡產業資料安全標準(Payment Card Industry,簡稱PCI)
1.整合萬事達卡(MasterCard)之場地資料安全防護(Site Data Protection,簡稱SDP)與威士卡(Visa)的持有者資料安全計畫(Visa Cardholder Information Security Program,簡稱CISP)之信用卡產業(Payment Card Industry,簡稱PCI)資料安全標準,於2004年12月14日正式公布,萬事達卡、威士卡、美國運通卡、大來卡等均遵循。 2.相關機構於2005年6月30日完成PCI資料安全標準之規定。 資料來源:(2005/06/21)。. 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
52
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
駭客為何要入侵我的機器? 因為有漏洞 在網路上的IP被駭客鎖定 知道有機密要來竊取 CPU太強(2GHz、雙核心處理器、……) RAM記憶體太多(4GB) 電腦不太有人去關心 24h不關機的 常常去一些怪怪的網站的(去釣魚網站、惡意網站) 收到有毒的信件 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
53
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
駭客入侵後 借你的電腦使用 ※CPU常就會100分百… ※RAM常常都是不夠用 ※網路常常不順暢 ※硬碟總是空間不足 借你的資料使用 ※信用卡很好刷…刷…刷..不過都不是你刷的 ※到處留情、留言 ※攻擊別人的電腦 ※竊取公文、對長官的簡報資料、通訊錄等 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
54
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
惡意程式入侵的四大途徑 1.惡意網頁 ※利用瀏覽器的ZeroDay漏洞做出有惡意的網頁,當使用者瀏覽時就直接植 入惡意程式 ※無目標式的大量植入 ※80Port 2.惡意文件 ※利用Word/PPT等的ZeroDay漏洞做出內夾惡意程式的文件,透過 直 接目標式攻擊使用者,只要開啟文件, 就直接植入惡意程式。 ※有目標式的重點植入 ※25Port 3.移動式磁碟 ※利用Windows的Autorun.inf機制,當插入USB Disk時就自動啟動惡意程 式,並藉此散播,具有Worm的特性。 ※USB Port 4.IM/P2P ※故意將惡意程式分享到網路上,引誘人下載執行 ※使用P2P不知不覺把機密資料分享到網路上 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
55
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
相關法令宣導-守法 (電腦處理)個人資料保護法 國家機密保護法 行政院及所屬各機關資訊安全管理要點 行政院及所屬各機關資訊安全管理規範 依據94~97年建立我國通資訊基礎建設安全機制計畫 電子簽章法 通訊保障及監察法 著作權法 中華民國刑法(第三六章 妨害電腦使用罪) LAC Course Objectives No.1 (01/01) 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
56
相關法令宣導 我國刑法第360 條規定:「無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」 我國在2004 年增訂刑法第36 章 「妨害電腦使用」罪章,將網路入侵犯罪正式納入刑罰體系; 而賦予民眾個人資料自主權的個人資料保護法 (原電腦處理個人資料保護法) 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
57
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
法令宣導 我駐韓代表部辦公室電腦在2004 年8 月時,疑遭竊聽及盜截機密資料。據了解,我國駐韓代表部公室與外交部連線的電腦,在前幾個月,確實遭到「駭客」的攻擊,所以調查小組人員此次來韓,也將順道調查「駭客」入侵代表部辦公室電腦的事件,並加強安全上的管理。 觸犯刑法第358 條之無故入侵電腦罪及第360條之無故干擾電腦罪。 對於入侵公務機關電腦或其相關設備的行為加重處罰。故刑法第361 規定:「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」 刑法第359 條之無故取得電磁紀錄罪,依其資料內容是否涉及到國防機密,還可能成立刑法第111 條或國家機密保護法第34 條之刺探收集國防秘密罪。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
58
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
借你的資料使用 ※信用卡很好刷…刷…刷..不過都不是你刷的 可分別以刑法「妨害電腦使用罪章」中之各罪,及偽造文書罪、詐欺 罪等來處罰。 然而就網路交易所生損失而言,依據「個人電腦銀行業務及網路銀行業務服務契約範本」,對於駭客破解授權者代號或密碼而入侵網路系統所導致之損失,是由銀行來負責; 但若是使用者代號、密碼或憑證等被第三人冒用或盜用時,客戶仍須負舉證責任。 由於網路是開放性系統,與自動櫃員機屬於封閉性系統的情形不同,加上消費者個人電腦的安全防護機制水準不一; 因此,如果疏失並不在於銀行,銀行將不會理賠,所以對消費者使用來說,實應小心注意。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
59
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
在消費者端應防範及注意的事情有: 1、常檢查固定使用的網路交易信用卡(建議使用固定的一 張信用卡當作網路交易卡,並且限定信用額度)紀錄是否異常。 2、避免開啟來路不明的電子郵件及檔案,並且安裝防毒軟體以避免駭客入侵。 3、安裝防火牆以偵測駭客入侵竊取機密資料。 4、不要在不明的地下網站做線上交易。 5、不要在網咖或公用電腦上做線上交易或轉帳。 6、切勿用懶人密碼,例如以生日、身份證字號…等,以免輕易被破解。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
60
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
消費盜刷信用卡儲值的虛擬貨幣 一詐騙盜刷集團,該集團嫌犯以盜取的被害人資料,冒名向發卡銀行申辦信用卡,還開通發卡銀行的網路銀行服務功能,在ezPay及PayPal線上付費網站上網註冊,取得授權碼後,立刻刷卡儲值。其後嫌犯再以被害人信用卡資料向拍賣網站購物,消費盜刷信用卡儲值的虛擬貨幣,向賣家購買高價的3C 產品,或者直接把儲值的虛擬貨幣轉匯到另外一個人頭虛擬帳戶,並轉匯到銀行的人頭戶,從ATM 提款機領走現金。 透過「線上付費網站」來進行。目前各「線上付費網站」在民眾申請會員資格後,取的被害人資料,偽填信用卡申請書後向發卡銀行冒名申辦信用卡的行為,乃將構成偽造署押及偽造文書罪。在各線上付費網站註冊,盜刷獲取虛擬貨幣等行為,並造成發卡銀行及線上付費網站損失,則可構成詐欺罪及偽造文書等罪 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
61
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
網路釣魚 黃姓男子,利用「網路釣魚」(phishing)的變種手法「網路豬 籠草」,涉嫌架設虛假的「中國信託」與「中華商業銀行」的網路 銀行網頁,利用相似的網址,以魚目混珠的方式,誘騙兩家網路 銀行的客戶誤信點選登入,從而套取其帳號、密碼,再憑此將被 害人存款轉至人頭帳戶,被害人多達六百多人。 屬偽造電磁紀錄之行為,應成立刑法上偽造準文書罪(按刑法第220 條規定,利用他人帳號密碼,進入銀行網站更改其 密碼之行為,則應成立刑法第359條之無故變更電磁紀錄罪 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
62
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
垃圾郵件 x姓男子--垃圾郵件造成公務機關客戶電腦主機嚴重當機和癱瘓 目前我國尚未有正式的反垃圾郵件法,亦未針對大量寄發垃圾郵件訂定任何懲罰規定,所以針對大量發送電子郵件之行為,並無直接法律依據予以懲處。但本案中「造成公司客戶電腦主機嚴重當機和癱瘓」之行為,已違反了刑法第360 條,無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,須處3 年以下有期徒刑、拘役或科或併科般10 萬元以下罰金;而受損害者,由於包含公務機關電腦主機,符合第361 條之加重要52 資通安全法律案例宣導彙編件,得加重其刑至二分之一。該男子為了大量寄發電子郵件,以吸引消費者購買其商品,誤觸刑法之規定,實得不償失。. 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
63
相關法令宣導「個人資料保護法」 (個資法第6條) 組織不應蒐集、處理或利用有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料。
(個資法第8條) 組織直接向當事人蒐集個人資料時,應明確告知當事人蒐集個人資料之目的、類別、利用方式等。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
64
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
「個人資料保護法」 第一條 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。 第二條 本法用詞,定義如下 個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 蒐集:指以任何方式取得個人資料。 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 利用:指將蒐集之個人資料為處理以外之使用。 國際傳輸:指將個人資料作跨國(境)之處理或利用。 公務機關:指依法行使公權力之中央或地方機關或行政法人。 非公務機關:指前款以外之自然人、法人或其他團體。 當事人:指個人資料之本人。。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
65
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
「個人資料保護法」 損害賠償及其他救濟 第二十八條 公務機關違反本法規定,侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 前二項損害賠償總額,以每人每一事件新臺幣二萬元以上十萬元以下計算。但能證明其所受之損害額高於該金額者,不在此限。基於同一原因事實應對當事人負損害賠償責任者,其合計最高總額以新臺幣五千萬元為限。但因該原因事實所涉利益。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
66
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
個人資料保護法 第四十條 違反第六條、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 第四十一條 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。 第四十四條 本章之罪,須告訴乃論。但犯第四十條第二項之罪者,或對公務機關犯第四十一條之罪者,不在此限。 第四十九條 非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
67
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
智慧財產權 何謂:智慧財產權 人類心智發展所產生的成果,透過法律賦予發明人的一種「排他性」權利。 隨著資訊內容豐富化,資訊傳輸方式的多樣化, 使資訊的取得與利用過程面臨新的智慧財產權問題, 該如何因應,乃成為資訊社會健全化的重要課題。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
68
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
智慧財產權 國內某光碟月刊之負責人,自台灣學術網路(TANet)上之電子佈告欄(BBS)中下載(Download)他人所發表之著作,並大量複製於光碟片內而隨同其所出版之月刊販售。 此事被原作者得知後即提出告訴,結果檢察官經過調查後,認為該負責人違反著作權法,遂將其提起公訴。 此案雖為國內首宗涉及網路資訊智慧財產權問題之案例,然而隨著電腦網路之發達,日後類似之問題必然會增多,而且會更趨於複雜。因此如何在邁向資訊時代之同時,對於其所會產生之智慧財產權相關問題有所認識並加以檢討,實為一重要之課題。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
69
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
智慧財產權 一般而言,資訊之內容可能涉及之智慧財產權,主要為著作權與營業秘密。 由於傳輸之資訊主要為文字、圖形、影像、聲音及電腦程式,因此絕大部份之資訊均會涉及著作權之問題,如果其符合我國著作權法之保護要件,則會受到保護,但是有些資訊並不屬於著作權法保護之客體,例如 法律 命令 公文 傳達事實之新聞報導之語文著作等(見著作權法第九條),原則上可以被自由利用。 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
70
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
智慧財產權 智慧財產權法大致上可分為三部份: 1. 專利權制度 2. 商標權制度 3. 著作權制度 擅自以重製之方法侵害他人之著作財產權者,處六月以上三年以下有期徒刑,得併科新臺幣二十萬元以下罰金。意圖銷售或出租而擅自以重製方法侵害他人之著作財產權者,處六月以上五年以下有期徒刑,得併科新臺幣三十萬元以下罰金。 為常業者,處一年以上七年以下有期徒刑,得併科新臺幣四十五萬元以下罰金 。 擅自以公開口述、公開播送、公開上映、公開演出、公開展示、改作、編輯或出租之方法侵害他人之著作財產權者,處三年以下有期徒刑,得併新臺幣十五萬元以下罰金。 敬 請 指 教 The End 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
71
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
有三個人, 分別來自外商公司, 傳統企業 跟 RED SEA 在一次意外事故身亡後, 通通在陰曹地府碰面排隊. 閻王說 , 因為事發突然, 他們都還有一次機會可以打電話回陽間,交代一些後事. 外商公司的打電話給老婆, 交代清楚自己銀行的存款要如何處置 , 一共講了5分鐘. 講完後他問閻王說要多少錢 ? "五萬元“開了張五萬元的支票給閻王, 便瀟灑地走回座位 傳統公司的心想, 五分鐘五萬元? 那講短一點吧! 打電話給小老婆 , 交代清楚自己的股票要如何處置,只講了2分鐘. 講完後他問閻王說要多少錢 ? “五十萬元-現金” 很貴, 但還是小case啦 ! 如何付現?燒五十萬元給小王 =WHO did ? 最後, 輪到RED SEA員工,他心想 , 好像講的越短反而越貴, 那當然要多講一點 ! 他也沒什麼存款要跟老婆交代, 也沒時間, 更沒有錢可以養小老婆,倒是有一堆做不完的公事, 當下撥了電話回公司給同事跟老闆,把自己還沒做完的工作都交代的一清二楚.結果一共講了20個小時之久 . 講完後他問閻王說要多少錢? "二十元" 他嚇了一跳 , 有沒有搞錯啊, 講那麼久才20元? 便跟閻王再確認一下 . 閻王回答說: "因為 …... 從地獄打到地獄是市內電話, 只收基本費!" 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
72
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
Present – LEE Present- Water Present - Horse Good Student 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
73
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
鄭弘儀 金斧頭 銀斧頭 鐵斧頭 S 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
74
恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證
木蘭從軍 親人來訪 軍醫神威 終身遺憾 恩可埃技術服務有限公司 資安政策 提供優質服務、維護資訊安全 公司通過ISO27001驗證 2019/4/16
Similar presentations