資安顧問服務案例說明
DESCRIPTION
萬弘資訊資安顧問服務實戰案例說明:以資訊安全實際輔導案例(資安案例),來說明大部份組織目前容易發生的資訊安全風險狀況,以及提供專業建議與預防方法,透過淺顯易懂又不失專業的描述結合生活案例進行思考,並指出最關鍵的問題與核心解決方案,期望社會大眾能以此為借鏡與學習。 服務項目如下: 1、資安顧問服務 2、個資保護管理 3、弱點掃描 4、滲透測試 5、營業秘密 6、教育訓練TRANSCRIPT
前言
資料庫存取監控案例
個人資料未識別風險案例
委外廠商資料外洩案例
委外廠商未執行監督案例
異地備份資料外洩案例
舊系統名單未刪除不當揭露案例
輔導顧問也是風險
大綱
前言
說明:
除了平日新聞媒體報導、電腦雜誌撰寫的資訊安全或個資外洩案例之外,萬弘資訊提供實際輔導過程與協助客戶解決重大資安議題之經驗與心得,期望社會大眾(不管是企業組織、政府單位或是民眾個人)更能了解伴隨資訊安全之風險發生的原因、以及預防方式,經由專業顧問師的建議觀點與客戶互動訪談討論,說明應如何有效解決問題發生的根本緣由。
客戶型態:
企業客戶
案例說明:
於資訊安全管理制度ISMS專案輔導過程中,藉由現況訪談與風險管理,協助組織發現資訊安全環境中須緊急預防之重大風險,即為:包含敏感重要資料與個人資料的資料庫,其維護方式由委外廠商進行管理,資料存取過程無法有效管理是否有未授權存取的情形發生。
建議解決方案:
資料庫管理員存取記錄未受竄改的留存,搭配日誌伺服器(log Server)
資料庫稽核設備
管理員連線與操作動作的側錄。
資料庫存取監控
資料庫存取監控
範例說明:
現實環境對於重要的資產都會安裝監視器來偵測是否有不法存取,資訊軟體環境也適用此法,諸如資料庫如此重要之資訊資產,也應有防禦機制。
客戶型態:
政府單位。
案例說明:
自從國內個人資料保護實施以後,該單位認真地進行了個人資料盤點、也進行了個資風險評估,當然每年也排定了內部查核活動,是一個非常守法的表率單位。於某次稽核過程中,仍發現有紙本個資未被界定,提醒該單位「個人資料」遺漏未界定之風險,雖然看似問題大大,但至少於法令面、資料保護的風險面而言,是最基本不過的必要事項。
建議解決方案
採用個資盤點工具檢視是否仍有遺漏之處。
重新檢視業務流程,確認是否有遺漏之處。
個人資料未識別風險
個人資料未識別風險
範例說明:
若您自助旅行預計帶著一群親朋好友出國旅遊,因疏忽造成人數計算錯誤,可想而知後續一連串問題的產生。
客戶型態:
旅行業者。
案例說明:
某旅行業者官網伺服器與內部資料傳輸伺服器(FTP),建置於同一台主機上,但資料保存與權限管理未妥善處理,導致旅客報名資料(姓名、出生年月日、身份證字號、護照號碼)與護照影本,及該公司內部報價所有資料一覽無遺呈現於google輕易可搜尋到的網際網路。
經訪談確認後,旅行業者內部人員並無資訊技術能力,完全由委外廠商協助資訊營運,故上述事件為委外廠商資料處理不當、委託廠商未執行監督所造成。
委外廠商資料外洩案例
建議事項
委外廠商合約資訊安全要求的描述。
針對委外廠商定期進行監督與查核。
網路區隔(外部網路、內部網路)。
資訊服務存取權限的審查與控管。
委外廠商資料外洩案例
沒人希望開開心心報名旅行社出團,結果自己的資料被出賣公佈於網際網路上吧?
客戶型態:
國內壽險公司、國內飲料品牌業者、國際知名化妝品品牌。
案例說明:
壽險公司、飲料業者與國際化妝品公司,委由國內某資訊行銷公司進行網路產品宣傳活動,同時進行抽獎活動,該公司蒐集大量個人資料後,卻未進行妥善保管,內部資料伺服器未進行任何保護,導致參與抽獎民眾資料不當揭露於網際網路(姓名、身份證字號、住址、聯絡方式…等等)
建議解決方案:
委外廠商合約資訊安全、法令遵循要求的描述。
針對委外廠商定期進行監督與查核。
資訊服務存取權限的審查與控管。
委外廠商未執行監督案例
委外廠商未執行監督案例
抽獎箱
範例說明:
國內個人資料保護法已定義受託機關蒐集、處理、利用個人資料視同委託機關。故應執行監督,以此案例來看,不會有當事人同意自己的所有個人資料曝露於公開網際網路(尤其是身份證字號)。
客戶型態:
某上櫃資訊軟體公司
案例說明:
公司內部重要機密資料與全公司員工保險資料備份於電信公司異地機房,但未設定權限控管,導致有意/無心的人士於網路搜尋某「特定景點」即可查詢到該公司旅遊保險資料、進而發現公司內部所有報價資料、內部組織架構等等。
建議解決方案
網路區隔(內部網路、外部網路)
權限定期審查與身份認証機制的建立
異地備份資料外洩案例
異地備份資料外洩案例
範例說明:
右圖為範例參考,如有雷同純屬巧合。僅僅說明旅遊景點的搜尋,意外找出某企業組織的風險!!!!
客戶型態:
學校單位
案例說明:
學校單位資訊組同仁不清楚業務範圍保管之資產項目,以及未落實國內個人資料保護法應盡的責任,導致舊有系統上之轉校生名單資訊不當揭露於網際網路上,經由當事人請求顧問師協助,協調該校進行資料刪除與建議管控措施。。
建議解決方案
個人資料範圍界定、與個資風險評估的建立
依據所外洩之資料,進行網路暫存檔的刪除,以確保根除。
舊系統名單未刪除不當揭露案例
範例說明:
您是否清楚進行資源回收時,丟棄物品上是否包含您的資產(鈔票、重要證件影本、或是重要單據等等)
舊系統名單未刪除不當揭露案例
案例:
曾接觸過部份所謂「資深」顧問師於客戶輔導資訊安全的過程中,遭受客戶私底下質疑專業能力不足,而不願接受其稽核的執行 。
也曾遇過資深顧問師於教育訓練場合,因專業能力不足,採用雞同鴨講方式回應問題,引起台下聽眾反彈。
最嚴重的是:於重要稽核活動中,為了貪圖時間與方便將客戶重大安全性議題視而不見,導致更大的潛在風險無法被識別與預防。
輔導顧問也是風險
說明:
經由長期觀察並與客戶互動所得到之回饋,客戶最害怕顧問公司輔導同仁空有「大量證照」、「國外學歷」,、「號稱資深」,卻缺乏最關鍵的經驗、態度與能力及與人互動的情緒管理。
顧問帶來的風險如下:
1、無實際輔導與客戶互動經驗。
2、專業能力不足,無法發現專業安全性議題。
3、答非所問,雞同鴨講,無法有效解決問題。
4、便宜行事,關鍵問題視而不見,產生更大風險。
輔導顧問也是風險
完整資完整資訊提供 訊提供
資訊安全顧問服務輔導(萬弘資訊首頁)
ISO27001:2013資安管理制度顧問輔導(資安顧問服務)
資訊安全風險管理顧問服務(資安顧問服務)
資訊安全風險管理與營運持續管理(資安顧問服務)
資訊安全營運持續管理(資安顧問服務)
資訊安全服務與文章
ISO27001pdf(資安顧問)
ISO27001:2013資安管理制度相關文章
ISO 27001:2013資訊安管理系統新版控制項介紹(資安顧問簡述)
資訊安全管理系統ISO 27001:2013本文簡介 (資安顧問簡述)
ISO 27001:2005與ISO 27001:2013重點差異說明pdf (資安顧問簡述)
ISO 27001:2013資訊安全管理系統(資安顧問簡述)
資訊安全服務與文章
個資委外監督稽核查核服務(資安顧問服務)
網路個資刪除移除服務與諮詢(資安顧問服務)
個資管理制度輔導(資安顧問服務)
個資風險管理評估服務(資安顧問服務)
個人資料管理制度輔導(資安顧問服務)
個資保護服務與文章
建立產生線上QR code製作
實用資訊分享(Android app、雲端服務、小工具)
密碼保護
實用資訊提供
資訊安全案例(Virus shield)資安顧問提供
最大風險說明與實務經驗分享(資安顧問觀點)
資訊安全例例_申請網上支付 (資安顧問案例)
個資管理制度與品牌(資安顧問案例)
資訊安全案例分享 (資安顧問實戰經驗分享)
資訊安全範例分享(資安顧問提供)
whoscall個資外洩與追蹤(資安顧問案例)
資訊安全內部稽核案例(資安顧問服務)
資訊安全內部稽核實務(備份)_資安顧問觀點
資訊安全案例分享 (資安顧問實戰經驗分享)
ISO 27001:2013資安管理制度建置實務
ISO 27001:2013轉版教育訓練
相關教育訓練
敬請指教