All Rights Reserved by NII產業發展協進會

Presentation on theme: "All Rights Reserved by NII產業發展協進會"— Presentation transcript:

1 All Rights Reserved by NII產業發展協進會
風險處理計畫教育訓練 講師：張芝蓁 All Rights Reserved by NII產業發展協進會

2 顧問協助產製-風險評鑑表 儘速提供最終版本之威脅弱點評估表。

3 計算風險值數量(1) 將「風險評鑑表」風險值複製至空白Excel表中。 利用篩選統計各風險值之數量。
20-80法則算出需改善之前20%數量。 累計值找出落在第8高的風險值。

4 計算風險值數量(2) 將「風險評鑑表」風險值複製至空白Excel表中。 利用篩選統計各風險值之數量。
20-80法則算出需改善之前20%數量。 累計值找出落在第15高的風險值。

5 計算風險值數量(3)

6 計算風險值數量(4) 風險評鑑表排序 排序方式：風險值、衝擊值 由大到小 找出落於第15筆資產

7 計算風險值數量(5) 找出落於第15筆資產，風險值落在15。 但風險值15超過11筆。 排序風險值15：
風險值15且衝擊值4共計0筆 風險值15且衝擊值3共計14筆 構面值142：0筆 構面值132：0筆 構面值122：14筆 構面值112：0筆 風險值15且衝擊值2共計0筆 由於條件相同，故全數採納，共計18筆資產納入風險改善範圍。

8 顧問協助產製-個人資料檔案風險評鑑彙整表
將可接受風險值告知顧問。 顧問協助產製「個人資料檔案風險評鑑彙整表」

9 顧問協助產製-風險改善計畫表 顧問協助產製「風險改善計畫表」

10 風險改善計畫表 資產識別暨風險說明 風險處理 措施 風險進度追蹤 項次 單位 科別 資產編號 流程名稱 個資檔案 型式 個資階段 威脅 弱點
風險值 風險處理型式 改善活動/控制措施 負責人 預定完成日期 實際完成日期 覆核人員 風險處理進度

11 風險改善計畫表 風險說明範例 個資外洩 違反個資法 違反BS10012標準規範 違反個資法及BS10012標準規範

12 風險改善計畫表 風險處理型式 接受風險 降低風險 轉移風險 避免風險 符合組織的政策與風險接受準則，則知悉且客觀地接受風險。
參考標準選擇適當之控制措施以降低風險。 藉由加強各項作業之內控以降低風險發生之機會。 轉移風險 轉移相關之營運風險至他者，例如：承保商、供應商。 避免風險 修改作業方式或採用技術以避開風險。 經由政策或標準以禁止從事高風險交易或活動。

13 風險改善計畫表 「改善活動/控制措施」範例： 不熟悉法令法規及內部規範、教育訓練不足：
落實定期辦理個資教育訓練及法令、法規宣導。 未保護儲存資料、未控管儲存媒體、儲存媒介內之資料沒有適當刪除就丟棄或重覆使用、儲存媒介之不當存取、 儲存媒介之不當存取： 落實儲存媒介管理機制 落實個人資料生命週期管理程序 落實個人資料安全控管作業

14 風險改善計畫表 「改善活動/控制措施」範例： 未訂定保存期限、資料未依使用期限進行銷毀或刪除、資料銷毀處理程序不當或不足、缺乏回收控管機制：
落實個人資料檔案保存期限，並辦理銷毀程序 落實個人資料生命週期管理程序 落實個人資料安全控管作業 未提供履行當事人權利機制、未於法定期限內准駁 依據履行當事人權利機制，落實於法定期限內准駁。

15 風險改善計畫表 「改善活動/控制措施」範例： 未經授權下處理資料、存取權限授與不當：
落實權責單位進行權限控管並定期審查 落實個人資料安全控管作業 個人資料被竊取、竄改、毀損、滅失或洩漏、.缺乏安全防護機制、惡意行為： 落實個資被竊取、洩漏、竄改於查明後告知之程序 落實安全防護、環境控制、網路存取規劃機制 落實個人資料生命週期管理程序 落實定期辦理資訊安全教育訓練及宣導

16 風險改善計畫表 「改善活動/控制措施」範例： 缺乏實體保護、缺乏環境控制： 設備損壞、操作錯誤 未主動或依當事人之請求更正或補充個人資料
落實安全防護、環境控制、網路存取規劃機制。 設備損壞、操作錯誤 落實因應設備損壞與有效維護之管理機制 落實個人資料安全控管作業 未主動或依當事人之請求更正或補充個人資料 落實資料更新補充機制 未告知個資法要求應告知事項 落實個資法要求應告知事項、逾越特定目的與範圍之告知程序。

17 風險改善計畫表 「改善活動/控制措施」範例： 未取得當事人同意： 未於法定期限內准駁、未提供履行當事人權利機制： 未保護儲存資料：
落實取得當事人同意機制 未於法定期限內准駁、未提供履行當事人權利機制： 履行當事人權利機制，並落實於法定期限內准駁。 未保護儲存資料： 落實個人資料安全防護、環境控制、網路存取規劃機制。 落實電腦與應用系統安全管控機制。

18 風險改善計畫表 「改善活動/控制措施」範例： 未訂定保存期限： 未提供當事人表示拒絕接受行銷之方式： 未經授權下處理資料：
依據個人資料檔案保存期限，落實辦理銷毀程序 落實個人資料生命週期管理程序 落實個人資料安全控管作業 未提供當事人表示拒絕接受行銷之方式： 落實拒絕接受行銷之機制 未經授權下處理資料： 權責單位進行權限控管並定期審查

19 風險改善計畫表 「改善活動/控制措施」範例： 委外利用資料、委外蒐集資料： 個人資料被竊取、竄改、毀損、滅失或洩漏：
落實委外廠商管理及監督機制。 落實委外蒐集作業管理程序。 個人資料被竊取、竄改、毀損、滅失或洩漏： 落實個資被竊取、洩漏、竄改於查明後告知之程序 落實安全防護、環境控制、網路存取規劃機制 落實定期辦理資訊安全教育訓練及宣導 個資被竊取、洩漏、竄改未於查明後告知

20 風險改善計畫表 「改善活動/控制措施」範例： 缺乏安全防護機制： 缺乏稽核監督機制： 惡意或不當行為(外部傳送) ：
落實安全防護機制(如：資料傳輸加密、存取權限管控) 缺乏稽核監督機制： 落實稽核監督之管理機制 定期執行稽核查檢作業 惡意或不當行為(外部傳送) ： 落實安全防護、環境控制、網路存取規劃機制。 落實個人資料傳輸管理程序。

21 風險改善計畫表 「改善活動/控制措施」範例： 缺乏安全防護機制： 傳輸過程未有適當之加密或保護(資料外洩) ：
落實安全防護機制(如：資料傳輸加密、存取權限管控) 傳輸過程未有適當之加密或保護(資料外洩) ： 落實個人資料傳輸管理程序。 落實電腦與應用系統安全管控機制。 傳輸過程未有適當之保護(錯誤資訊) ： 權責單位進行權限控管並定期審查。

22 風險改善計畫表 「改善活動/控制措施」範例： 資料外洩： 蒐集特種資料： 蒐集資訊缺乏正當合理之關聯：
落實個資被竊取、洩漏、竄改於查明後告知之程序 落實安全防護、環境控制、網路存取規劃機制 落實定期辦理資訊安全教育訓練及宣導 蒐集特種資料： 落實特種個資蒐集機制(如：告知事項、取得當事人書面同意) 蒐集資訊缺乏正當合理之關聯： 落實定期審查蒐集資訊缺乏正當合理關聯之機制。

23 & Thank You !