資通安全威脅與管理. - ppt download

4 面臨的資安威脅種類 P2P分享軟體、無線網路風險、社交工程攻擊、 網頁掛馬、網站釣魚、 ... 46 資通安全管理─木桶理論新解如何決定由木板箍成的木桶其容水量大小？ 上传 请登录 Mypresentations Profile 反馈 Logout 搜索 请登录 请登录 Authwithsocialnetwork: 注册 忘记密码？ Downloadpresentation Wethinkyouhavelikedthispresentation.Ifyouwishtodownloadit,pleaserecommendittoyourfriendsinanysocialsystem.Sharebuttonsarealittlebitlower.Thankyou! Buttons: 取消 Download Presentationisloading.Pleasewait. 資通安全威脅與管理. Publishedby测走班 Modified4年之前 嵌入 Downloadpresentation Copytoclipboard Similarpresentations More Presentationontheme:"資通安全威脅與管理."—Presentationtranscript: 1 資通安全威脅與管理 2 報告大綱資訊安全威脅趨勢資訊安全管理個人資料保護 3 資訊安全威脅趨勢威脅風險非法存取資料無法正常提供服務網頁遭竄改電腦遭竊使用者遭詐騙個資外洩機密資料被竊取實體破壞非法入侵威脅偷竊天然災害內賊詐騙駭客風險非法存取資料無法正常提供服務網頁遭竄改電腦遭竊使用者遭詐騙個資外洩機密資料被竊取 4 面臨的資安威脅種類P2P分享軟體、無線網路風險、社交工程攻擊、網頁掛馬、網站釣魚、隨身碟風險、社群網絡等資安威脅不斷 5 當前政府資安威脅當前政府資安威脅鎖定目標社交工程精準攻擊防不勝防設備微型模式翻新管理不易應變不易公務家辦認知不足擴增風險認知不足警覺不夠鎖定目標，精準攻擊中國組織型駭客有計畫地鎖定重要目標，入侵我政府機關網站或個人電腦進行戰略情蒐，竊取政府重要機敏資料或影響系統運作。

社交工程，防不勝防駭客運用社交工程電子郵件或偽冒身分電子郵件侵入個人電腦，使用者不慎開啟夾帶惡意(後門)程式附件檔，隨時洩露機敏機料。

機關同仁不當上網，無意間下載惡意軟體或後門程式。

在家加班，擴增風險家中上網環境較不安全，家中電腦與辦公室電腦交叉感染。

設備微型，管理不易隨身攜帶的資料儲存設備微型化、通訊網路無線化，管理不易，易造成洩密。

隨身碟等行動儲存媒體管理鬆散模式翻新，應變不易大陸駭客攻擊模式、手法及行為模式隨時翻新，針對台灣採取「定製」性的攻擊，非一般商業性安全解決方案可以有效解決。

認知不足，警覺不夠面對新型態的社交工程攻程，公務同仁的安全認知與警覺心仍不足。

機關(構)不瞭解自身弱點及相對威脅使用者警覺性不夠或以為事不關己、行為未落實公務機密維護的死角高階首長、主管及秘書辦公室的上網電腦或其他設備。

高階首長、主管及秘書家中的上網電腦或其他設備。

駐外機構，鞭長莫及政府駐外機構上網電腦或其他設備。

委外廠商，程度差異受政府委託處理資訊業務的廠商或學研機構。

人力預算專業不足資訊(安)人力不足、專業待加強預算不足主導稽核員人力未充分再訓練與運用我國資安防護弱點網路攻擊可能癱瘓重要民生資訊基礎建設駐外機構鞭長莫及人力預算專業不足 6 政府資通安全相關問題外部威脅內部問題組織型駭客針對性攻擊鎖定特定對象或單位攻擊型式變化快速政府資安人力、經費及能量相對不足資安事件通報意願不高委外開發軟體及品質管理問題資訊作業委外處理衍生資安管理問題人員資安意識不足各機關橫向聯繫機制尚待建立資安相關法令尚未完備 7 政府機關資料外洩主要管道以社交工程手法寄發惡意電子郵件網頁惡意掛馬：網頁插入惡意連結內容，使用者不自覺下載惡意程式外接式儲存裝置安全問題使用P2P軟體、IM(InstantMessage)即時通訊軟體、社群網站可能造成個人資料外洩風險 8 收E-mail可能的風險Internet駭客設計攻擊陷阱程式(如特殊Word檔案)受害者開啟電子郵件後門程式逆向連接，向遠端駭客報到遠端駭客進行資料竊取將攻擊程式埋入電子郵件中啟動駭客設計的陷阱，並被植入後門程式寄發電子郵件給特定的目標 9 「社交工程」攻擊定義利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法早期社交工程是使用電話或其他非網路方式來詢問個人資料，而目前社交工程大都是利用電子郵件或網頁來進行攻擊透過電子郵件進行攻擊之常見手法假冒寄件者使用與業務、時事相關或令人感興趣的郵件內容含有惡意程式的附件利用應用程式之弱點(包括所謂零時差攻擊) 10 社交工程攻擊具針對性 11 社交工程電子郵件附件檔案 12 社交工程─時事相關惡意電郵(1) 13 社交工程─時事相關惡意電郵(2) 14 社交工程─時事相關惡意電郵(3) 15 社交工程─公務相關惡意電郵(1) 16 社交工程─公務相關惡意電郵(2) 17 社交工程─公務相關惡意電郵(3) 18 社交工程─偽冒身份惡意電郵(1) 19 社交工程─偽冒身份惡意電郵(2) 20 社交工程─偽冒身份惡意電郵(3) 21 電子郵件＋數位簽章 22 社交工程攻擊之防範建立社交工程防範技術措施(Engineering)辦理相關宣導及法治認知(Enforcement)加強資安訓練與演練(Education) 23 使用者防護停看聽(1)停─使用任何電子郵件軟體前，必須先確認以下設定必須安裝防毒軟體，並確實更新病毒碼審慎開啟郵件及其附件或連結必須取消郵件預覽功能，避免無意開啟郵件設定過濾垃圾郵件機制建立電子郵件驗證機制(推動電子識別證) 24 取消郵件預覽功能圖中右下方即為Outlook提供的信件預覽功能。

使用者只需點選信件，信件的內容就會出現在右下方供使用者預覽。

就如稍早所說，若此郵件內容是惡意圖片或內容，此時已經遭受駭客攻擊。

25 取消郵件預覽功能(續)因此我們強烈建議使用者將此功能關閉。

關閉預覽功能後，使用者點擊信件，就不會再預閱信件內容。

使用者可以在未開啟該信件的情況下，判斷其是否為可疑信件，若確定為正常信件可選擇開啟(雙擊)，可疑信件則可直接刪除。

26 關閉郵件自動下載圖片與其他內容如圖，當我們開啟信件後，信件內容若有外部圖片，電子郵件軟體會自動連線至網際網路下載圖片。

若此為惡意圖片，則當使用者開啟信件的同時，下載的惡意圖片就已經發作，使用者必然措手不及。

27 關閉郵件自動下載圖片與其他內容(續)因此我們建議使用者務必「關閉信件自動下載圖片及其他內容」的功能。

在關閉此功能後，電子郵件軟體不會下載網際網路上的外部資訊，使用者開啟信件後僅會看到若干無法顯示圖片或內容的方格，即可知道此信件內容會連結至網際網路上。

通常此類信件不是惡意信件即是垃圾信件，建議使用者可直接刪除。

28 不以HTML模式開啟郵件在此信件內文中，僅是一般的文字內容，並無圖片或其他外部資訊，但使用者開啟此信件，仍然會遭受後門程式的入侵。

原因在於此信件是以HTML格式編寫而成，雖然表面上都是文字敘述，但背後的HTML語法是不是也像表示這樣乾淨呢?我們來檢視此信件的原始檔。

29 以純文字模式開啟郵件有鑑於這類的攻擊手法，使用者應該以純文字模式開啟信件。

在純文字模式下，HTML語法預設是無法執行的，駭客的惡意語法及連結，自然也起不了作用。

30 使用者防護停看聽(2)看─收到郵件後，必須注意聽─若懷疑郵件來源，必須進行確認郵件主旨是否與本身業務相關其餘郵件不建議開啟，如需開啟應確認郵件來源聽─若懷疑郵件來源，必須進行確認透過電話或電子郵件向寄件人於開啟前確認郵件真偽 31 使用者端郵件安全管理良好的網路及郵件使用習慣安裝防毒軟體隨時更新防毒碼郵件系統安全性設定提高安全意識@ 32 上網可能面對的風險掛馬瀏覽網頁網站server用戶導向惡意程式網站遙控受害電腦下載並安裝惡意程式惡意程式網站駭客 33 惡意網頁─網頁掛馬駭客入侵(知名的)網站，在不更動原有的畫面下，修改網站內容，加入惡意程式碼使瀏覽該網站的使用者被植入惡意程式進而竊取個人資料或當成跳板主機平均每日可偵測到29,700個新感染的惡意網站(約70%合法網站含惡意程式) 34 最新被掛馬網站資料來源：資安之眼(http://www.itis.tw/)2010-03-19www.x-linkage.com.tw彪網電子商務科技股份有限公司京典國際資訊煜頂精密股份有限公司ll-gdb.com.tw吉得堡早餐連鎖加盟dogbaby.com.tw小寶貝寵物安親班woman.utchat.com.tw慾望城市聊天室summitek.com.tw正晟科技有限公司a3.com.tw昱立科技powervison.com.tw全威創意媒體jetsignal.com.tw傑信工業股份有限公司IZUMI美麗健康之活泉李媽媽艾草之家torls.com.tw陶斯髮型美學館taiwandirectory.com.tw台灣目錄網wfda.org.tw中華民國世界土風舞總會kksc.com.tw超鴻科技有限公司資料來源：資安之眼( 35 網頁掛馬的危害對網站擁有者而言對一般使用者而言因管理不善導致他人被入侵而負上法律責任商譽的損失資料失竊被當跳板主機隱私資料、信用卡資料、線上遊戲虛擬寶物等被當跳板主機可能面臨法律責任 36 網站惡意掛馬預防方法安裝修補程式使用防毒軟體不隨意瀏覽網站提高IE的安全性設定，停用Script和ActiveX元件下載經常檢視重要機器其開機執行程序狀態，例如：使用ProcessExplorer、Autoruns等程式或其它廠商開發之工具來比對降低網頁瀏覽權限危機意識與正確的資安觀念 37 釣魚(Phishing)網站的危害新興之網路詐騙手法，讓使用者不自覺洩漏個人資料、重要資訊。

主要在竊取使用者的銀行帳號密碼、信用卡號與身分證字號等資料，再伺機詐騙金錢平均每天有1250萬封釣魚郵件，被用來作為釣魚攻擊的網站有72%為金融單位 38 網頁釣魚風險http://www.landbank.com.twhttp://www.1andbank.com.tw釣魚網頁2.連結不到例如：遊戲X子　vs.聯X銀行　vs.土X銀行網址??3.連結釣魚網頁透過搜尋引擎經由電子郵件連結1.連結 39 網路釣魚(續) 40 網路釣魚(續) 41 外接式儲存裝置數位相機或行動電話記憶卡(CF、SD、MMC等)光碟片(CD、DVD)其它USB儲存裝置USB隨身碟(USB大姆哥)USB外接硬碟數位相機或行動電話記憶卡(CF、SD、MMC等)MP3隨身聽光碟片(CD、DVD)其它USB儲存裝置 42 USB隨身碟的風險自動播放：尋找Autorun.inf檔案，並執行該檔案所描述之動作，會自動執行惡意程式並將惡意程式複製至系統磁碟機內，再進一步擴散感染擴散用戶A用戶B 43 隔離網路設備感染方式感染感染內網外網偷竊偷竊 44 報告大綱資訊安全威脅趨勢資訊安全管理個人資料保護 45 資訊安全管理資訊安全的本質無孔不入覆巢之下無完卵沒有百分之百的安全整體資訊安全是建構於一系列環環相扣的保護機制下攻擊或破壞者只要找出其中最弱的一環，就可以完全瓦解整個保護機制覆巢之下無完卵只要最弱的一環被瓦解，所有的政府重要資料都可能被竊取或破壞沒有百分之百的安全必須對可能造成問題的弱點加以防護 46 資通安全管理─木桶理論新解如何決定由木板箍成的木桶其容水量大小？取決於其中最短的那塊木板，並非是其中最長的那塊木板或全部木板長度的平均值這個木桶是否有堅實的底板？木板與木板之間是否有縫隙？資訊安全管理系統資安事件通報應變機制資訊安全管理系統驗證資訊安全領域 47 什麼是資訊安全？資訊安全在保護單位的資訊資產，避免遭受各種威脅及降低可能危害，確保單位永續運作Confidentiality機密性AvailabilityIntegrity可用性完整性 48 什麼是資訊安全？－機密性機密性：確保資料受到妥善保護，只有經授權的人，方能允許存取資訊保護業務上機敏資料(如元首出訪行程、人事資料、機密公文等)保護個人隱私資料(如身分證字號、出生年月日等)保護網路傳送資料之機密性(如信用卡號碼等) 49 什麼是資訊安全？－完整性完整性：確保資料之正確性，不會被意外或蓄意改變確保報稅資料在傳送過程中不被竄改確保網頁資料不被竄改確保資訊系統資料不被竄改 50 什麼是資訊安全？－可用性可用性：確保所有經授權的使用者，在需要時，均可以獲得相關資訊或服務確保網站服務24小時不間斷確保網際網路服務24小時不間斷 51 其它安全性服務不可否認性(Non-repudiation)鑑別性(Authenticity)可歸責性(Accountability)防止存心不良的使用者否認其所做過的事，例如收發電子公文、線上交易等鑑別性(Authenticity)如何辨別使用者身份，例如帳號、身份字號、自然人憑證等可歸責性(Accountability)所有資訊資產應有專人負責管理，且管理紀錄必須是可追溯的可靠性(Reliability)資訊的正確性與系統運作穩定度 52 資訊安全的挑戰高階主管的支持員工的資安意識不方便時間人力財力Therearemanychallengessurroundingtheimplementationofpoliciesofanytype,andevenmorechallengesforinformationsecuritypoliciesinparticular.Thesechallenges,however,tendtofallintothe4majorcategorieslistedhere.Mostcommonlymentionedissuesarelackofresources,documentsaren’tcurrent,noonecaresaboutpolicy,andawarenesstrainingistooexpensivefortheresultsyouget(ordon’tgetasthecasemaybe).Itisalsowidelyunderstoodthatthereisaverylargegapbetweenhighlevelpoliciesandwhatisactuallyimplementedonaday-to-daybasis.Oneareathatisnotoftenconsidered–thoughthisischangingwithallthenewindustryregulations–isprovingthatusershavereadandunderstoodthepolicy.Manyorganizationsalsotendtofocusalotofattentiononpolicieswhentheyarefirstcreatedandwhenanemployeeishired,butforgetthatthatknowledgecanbelostovertime.Thiswillresultinemployeebehaviorrevertingtothe“wayitsalwaysbeendone”overtimeratherthanadheringtothepolicies.Thisbehaviorwillalsostronglyinfluencewhetherornotanewemployeeadoptsthecompanypoliciestheylearnedaboutintheirnewhireorientation.Sowhatisthesolutionforthesewellknown,andlesscommonlyknown,issues?VigilEntPolicyCenterofcourse. 53 推動資訊安全認知與訓練人們無法正確認知及看待風險電腦系統有一項危機是它們很少出錯，以致於出錯時，人們不知道該如何處理人們要求安全，可是又怕麻煩「使用者相信電腦」這樣的想法有危險性人類能做出聰明的安全決定是受到質疑的內賊難防社交工程學難防人員通常是資訊安全上最弱的一環所有人員均應建立資安意識與認知所有人員均應依所負責職務不同接受適當的資安訓練 54 報告大綱資訊安全威脅趨勢資訊安全管理個人資料保護 55 個資外洩相關新聞聯合報2008-08-27竊5千萬筆個資馬扁「搜」得到國安大漏洞！刑事局昨天破獲兩岸駭客聯手入侵政府機關網站盜取個人資料、販賣牟利，包括現任總統馬英九、卸任總統陳水扁和王卓鈞、侯友宜等國安情治首長的個人資料，只要花300元，全都一覽無遺。

警方說，查獲的資料庫多達5,000多萬筆，而且「只要想到的人都有」，相當驚人！陳光著集團至少從健保局、教育部、戶政、各家電信公司、東森購物等多處管道入侵盜取個資，同一人的個資被重複盜取，因此累計達五千萬筆，超出台灣2,300萬人口數一倍多，是歷年破獲最大宗盜取個資集團，依妨害電腦使用罪、詐欺、洗錢等罪嫌送辦偵九隊說，入侵駭客來自大陸，以中、北部大學網站當跳板入侵政府機關 56 上網的風險工商時報2008-02-19調查局示警:60個網頁藏木馬盜取公司或個人機密資料調查局昨天發佈重大訊息，提醒所有網路使用者注意，有不明商業駭客利用設置相關網站或部落格，內藏網頁隱藏式惡意連結（即網頁掛馬），攻擊政府機關、民間機構及個人的網站或個人電腦，一旦點選進去，重要機密如網路銀行密碼等資料可能被盜取。

由於這些程式目前仍有高達37.5%防毒軟體無法偵測到，企業界和民眾利用電腦對外連結時要特別注意這群商業駭客是透過網頁掛馬，盜取公司或個人資料，如客戶名單、網路銀行、線上購物、個人信箱的帳號密碼、電腦系統中之文件與照片、鍵盤側錄、隨身碟內之檔案資料 57 工具/應用程式的使用蘋果日報2008-05-05網路報稅500萬個資恐不保一名納稅人日前在分享軟體Foxy搜尋報稅資料時，意外發現大批的納稅人報稅資料可供人下載，其中一筆竟是朋友的資料！《蘋果》昨調查後，發現納稅人的身分證統一編號、地址、收入等資料，竟然可以輕鬆取得，全國500多萬申報戶的個資也令人堪慮；財政部賦稅署官員聞訊後大呼：「怎麼會有這種事？」今將著手調查Foxy本身為單純P2P分享下載軟體，Foxy軟體本身不提供、儲存、控制、編輯或修改網路上的任何可被連結或被搜尋的訊息內容或其表現形式。

且Foxy本身並無木馬或病毒等不良程式內藏(Foxy使用說明) 58 個人資料(人工資料)可能外洩風險可以幫我填張問券嗎？有精美小贈品喔～請讓我們瞭解您對本餐廳服務意見，本餐廳將在優惠折扣時段以簡訊告知…摸彩活動喔～只要填下您的相關資料即可獲得XX大獎以上情形您有想過這些資料後來去了那邊嗎？得到資料的單位，你覺得他們網站會不會被駭客入侵得到資料？會不會因為電腦使用不當，某個員工安裝了P2P軟體，導致您的個人資料被竊取，你都不知道？ 59 個人隱私資料使用在哪裡？向政府機關申辦各項業務時與金融機構往來時購物時成為活動會員時商業促銷活動時報稅、行駕照申請、戶籍登記與變更、醫院看診等與金融機構往來時申辦信用卡、開立帳戶、申辦貸款、利用電話及網路查詢金融資料或轉帳、辦理投保業務等購物時申辦手機門號、信用卡刷卡購物、旅遊服務、結付帳單、慈善公益捐款、電視購物、郵購或網路購物等成為活動會員時健身俱樂部、政黨團體、網站會員、公益團體等商業促銷活動時廠商抽獎活動，領取免費獎品、參觀展覽等 60 如何取得我的個人隱私資料？戶政資料網路硬碟空間交通運輸網路論壇交通監理站百貨公司會員資料保險公司電視購物、郵網購醫院住院紀錄銀行、信用卡參與政黨組織慈善公益機構命理資料寺廟組織…網路硬碟空間網路論壇百貨公司會員資料電視購物、郵網購訂閱雜誌、書報資料稅務資料學校單位工作組織單位俱樂部會員飯店、旅遊資料 61 個人資料保護相關問題個資法6W1HWhereWhoWhyWhatWhenWhichHow為何我要在乎個資法？那些範圍須受到規範？Where那些人須受到規範？WhyWho施行時程？要保護什麼個人資料？WhatWhen我該做什麼？Which個資法6W1H我要如何做？How61 62 個人資料保護規範個人資料之蒐集、處理及利用避免人格權受侵害資料合理流通取得平衡的衡量基準促進個人資料保護法 63 個人資料保護生命週期蒐集儲存管理技術稽核個人資料處理銷毀傳輸利用規劃執行改善檢查程序政策運作控制加密存取流程防禦審查矯正監督檢查個人資料處理銷毀傳輸利用 64 個人資料範圍自然人個人資料檔案：依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合個人資料姓名出生年月日身份證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活健康檢查犯罪前科聯絡方式財務情況社會活動直接識別該個人之資料間接識別該個人之資料個人資料64 65 特種個人資料特種個資：不得蒐集、處理或利用自然人特種個資除非符合下列情形之一：法律明文規定公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施當事人自行公開或其他已合法公開之個人資料公務或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序自然人姓名出生年月日身份證統一編號護照號碼特徵指紋婚姻家庭教育職業病歷醫療基因性生活健康檢查犯罪前科聯絡方式財務情況社會活動直接識別該個人之資料間接識別該個人之資料特種個資特種個資：不得蒐集、處理或利用65 66 個資法適用之機關與人員當事人公務機關非公務機關指個人資料之本人依法行使公權力之中央或地方機關或行政法人公務機關以外之自然人、法人或其他團體66 67 個資法適用活動範圍蒐集以任何方式取得個人資料處理國際傳輸利用為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送國際傳輸將個人資料作跨國(境)之處理或利用不適用個人資料保護法之情形自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料例如：親友通訊錄公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料例如：公用道路旁的監視器利用將蒐集之個人資料為處理以外之使用67 68 該原因事實所涉利益超過新臺幣二億元者以該所涉利益為限違反個資法之罰則每人每一事件新台幣五百元以上，二萬元以下新台幣二億元為限違反個資法致侵害當事人權利者，民事賠償每人每一事件同一原因事實造成多數當事人權利受侵害，合計賠償總額第41~43條違反……或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金……第44條公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一被害人不易或不能證明其實際損害額時該原因事實所涉利益超過新臺幣二億元者以該所涉利益為限68 69 中央各主管機關應辦理事項配合個人資料保護法研訂機關之隱私政策參與修訂個人資料保護法施行細則草案分別修正機關及所管行業所需個人資料之特定目的及資料類別修正機關之主管相關法令研訂機關之個人資料保護管理要點草案落實機關個人資料保護之管理與具體執行措施 70 各機關應辦理事項將保有個人資料檔案名稱、保有機關名稱及聯絡方式、個人資料檔案保有之依據及特定目的、個人資料類別等四項法定項目查明清楚並依法公開訂定機關之個人資料保護管理要點指定「專人」辦理個人資料安全維護事項設置「個資保護聯絡窗口」指定「召集人」，以便統一決策及執行 71 公務機關因應措施建立專責人員及個人資料管理制度明瞭個資法相關規定清楚機關內作成或取得個人資料之種類及特定目的採取有效的方法保護及管理個人資料加強保障人民之資訊請求權 72 個人資料保護管理要點範例72 73 清查機關保有之個人資料個人資料之種類或檔案名稱法令依據特定目的個人資料類別 74 個人資料之項目彙整表範本項目單位名稱個人資料檔案名稱法律依據特定目的個人資料類別個人資料之範圍有否特種資料？何種特種資料？有無監督管理之非公務機關及其名稱（現行法）有無監督管理之非公務機關及其名稱（修正草案）○○法務部國家賠償法研究修正專案小組委員聯絡名單法務部組織法第10條第3款、法務部處務規程第6條第2款011立法或立法諮詢C001C003C011C038姓名、職業、職稱、地址、身分證字號、電話、電子郵件地址、性別無資料來源：法務部法律事務司74 75 個資防護整體發展架構運行導入散布補強國際個資管理發展趨勢、標準、作法個資項目盤點與隱私衝擊評鑑個資風險評鑑個資管理與防護-OECDPrivacyPrincipals-APECPrivacyFramework-ISO(FS-PIA)-ISO27001-ISO27005ISO29100ISO/ISO20000NISTSP/53-BS10012個資項目盤點與隱私衝擊評鑑-What(個資盤點)-Where(個資來源)-Why(使用目的)-Who(利害關係人)-How(個資流程)個資風險評鑑-個資分類分級風險評鑑結果(普、中、高)-風險處理對策-風險處理計畫運行導入個資管理與防護-個人資料保護管理要點-個資保護流程與安全措施-個資蒐集-個資儲存-個資處理-個資傳輸-個資銷毀(淨化)PersonalIdentifiableInformation,PII(可識別之個人資料)散布PDPSPDCA補強-個人資料保護法-個資法施行細則-資訊系統分類分級與鑑別機制參考手冊-資訊系統分類分級與鑑別機制參考手冊-資訊系統風險評鑑參考指引-個資法施行細則-電子資料保護參考指引-安全控制措施參考指引國內個資相關法律、規範、標準、指引75 76 建立個資管理PDCA持續運作(1/2)個資防護系統(PDPS)P規劃D執行C檢核A改善法律遵循與國際接軌流程與技術面中華民國個人資料保護法個資法相關施行細則OECDPrivacyPrincipalsAPECPrivacyFramework個資防護系統(PDPS)P規劃D執行C檢核A改善法律遵循與國際接軌流程與技術面稽核面ISO29100ISO/27005BS10012ISO20000NISTSP800ISO22307參考指引管理審查稽核發現個資事故中華民國個人資料保護法個資法相關施行細則ISO27001BS1001276 77 成熟度評估、個資盤點、隱私衝擊分析、風險評鑑建立個資管理PDCA持續運作(2/2)法律標準業界參考實務成熟度評估、個資盤點、隱私衝擊分析、風險評鑑個資政策管理組織人員訓練作業流程技術措施紀錄管理合約管理管理指標規劃檢核執行改善召集人個資保護聯繫窗口個資管理專責人員CMDB個資管理紀錄RACI蒐集處理利用國際傳輸-政策、組織與人員確立-流程管理活動參考基準-技術控制措施參考基準-管理紀錄與數位證據保存ISO29100ISO27001BS10012NISTSP管理審查矯正措施預防方案提升計畫報告稽核監督77 78 個資安全、人人有責資訊單位：建構安全的系統與環境業務單位：遵守安全規定使用系統與資料政風單位(稽核單位)：依據規定稽核是否落實執行個資保護人事單位：協助個資保護推動組織與人力建置會計單位：協助個資保護預算籌編 79 資通安全關鍵成功因素高階主管的支持與承諾清楚資訊安全目標的釐定組織安全意識的建立資訊安全納入例行業務的一部份持續不斷的(Commitment)清楚資訊安全目標的釐定(Objective)組織安全意識的建立(Awareness)資訊安全納入例行業務的一部份(Routine)持續不斷的教育訓練(Training) 80 結語(1/2)我國政府機關資安威脅趨勢個資法通過後對政府機關造成影響與衝擊，相關權責主管機關應妥善研擬相關配套措施結合社交工程攻擊為我政府機關公務資訊遭竊之最主要威脅鎖定目標、假冒身份及公務相關訊息之偽冒電子郵件防不勝防各機關對外服務之系統安全已有顯著進步，但網站應用程式安全仍存有漏洞個資法通過後對政府機關造成影響與衝擊，相關權責主管機關應妥善研擬相關配套措施 81 結語(2/2)政府資訊安全工作除了健全的基礎設施外，最重要的是先做好個人的資訊安全，只要機關同仁養成良好的使用習慣，人人隨時做好資訊安全第一線防護，機關內部資訊安全就能得到保障，進而提升我國整體資訊安全防護 82 報告完畢敬請指教 Downloadppt"資通安全威脅與管理." Similarpresentations 行銷研究單元三次級資料的蒐集. 無線寬頻分享器設定範例銜接硬體線路推斷無線基地台的IP設定無線基地台相關觀念解釋. 亞洲大學的數位學習資源與應用鍾仁宗老師101年12月4日. 國立高雄海洋科技大學電子郵件收信軟體設定說明 通訊授課:方順展. Google協作平台. Q101在701SDXLinux上的標準安裝與使用程序v2 JDK安裝教學(forWin7)SoochowUniversity HiNet光世代非固定制用戶端IPv6設定方式說明 無線射頻識別系統(RFID)基本原理及發展與應用 ASP.NET基本設計與操作建國科技大學資管系饒瑞佶2007年. 安裝JDK安裝EclipseEclipse中文化 TextToSpeech(TTS,文字轉語音)靜宜大學資管系楊子青 Word與PowerPoint的結合建功國小陳旻杰健行國小張慧如. 電子郵件人際溝通2018/12/27輔仁大學圖書資訊學系. 網路安全管理期末報告分散式阻斷服務攻擊-DDoS指導教授：梁明章教授學生：陳皓昕A OpenID與WordPress使用說明 電子商務ElectronicCommerce 國際資訊安全標準ISO27001之網路架構設計–以國網中心為例探討風險管理 網際網路與電腦應用林偉川2001/10/25. Similarpresentations Aboutproject SlidePlayer 条款 反馈 隐私 反馈 ©2021slidesplayer.comInc.Allrightsreserved. 搜索 Tomakethiswebsitework,weloguserdataandshareitwithprocessors.Tousethiswebsite,youmustagreetoourPrivacyPolicy,includingcookiepolicy. Iagree.     AdsbyGoogle