1

資訊安全教育訓練

漢昕科技股份有限公司 管理顧問處 金 崇 煥

2

簡報大綱 因應個資法之資安對策 資訊安全威脅趨勢 當前政府資安威脅 台灣個資外洩現況 個人資料保護法 各機關因應措施

3

威脅 詐騙

實體破壞

非法 存取資料

個資 外洩

無法正常 提供服務

機密資料 被竊取

電腦 遭竊

駭客

內賊

非法入侵

風險

天然災害

偷竊

使用者 遭詐騙

網頁 遭竄改

資訊安全威脅趨勢

4

面臨的資安威脅種類 P2P分享軟體、無線網路風險、社交工程攻擊、

網頁掛馬、網站釣魚、隨身碟風險、社群網絡等 資安威脅不斷

5

P2P分享軟體風險

Internet

with P2P software

手機

PDA NB

伺服器

個人PC

終端機

嚴禁使用P2P分享軟體 嚴禁使用P2P分享軟體

6

無線網路風險

OSI網路七層架構

IEEE 802.11

(WLAN標準)

(7) Application Layer

未定義

(同有線網路)

(6) Presentation Layer

(5) Session Layer

(4) Transport Layer

(3) Network Layer

(2) Data Link Layer LLC Sub-layer

MAC Sub-layer

(1) Physical Layer Physical Layer

Internet AP

無線溢波，可能 導致未授權存取

電波遭竊聽， 導致資料外洩

駭客 (Man-in-the-Middle)

7

殭屍網路攻擊

Botnet

透過綱頁掛馬、社交工程攻擊等方式，使電腦感染木馬程式，成為可遭駭客遙控之殭屍電腦

殭屍電腦執行攻擊

駭客

Command Server

殭屍電腦回報

駭客透過中繼站，利用木馬程式遙控電腦

8

當前面臨 資安威脅

模式翻新 應變不易

設備微型 管理不易

社交工程 防不勝防

公務家辦 擴增風險

鎖定目標 精準攻擊

認知不足 警覺不夠

駐外機構 鞭長莫及

人力預算 專業不足

當前面臨資安威脅

9

資通安全相關問題 外部威脅 組織型駭客針對性攻擊 鎖定特定對象或單位 攻擊型式變化快速

內部問題 資安人力、經費及能量相對不足 資安事件通報意願不高 委外開發軟體及品質管理問題 資訊作業委外處理衍生資安管理問題 人員資安意識不足 各機關橫向聯繫機制尚待建立 資安相關法令尚未完備

10

資料外洩主要管道 以社交工程手法寄發惡意電子郵件 網頁惡意掛馬：網頁插入惡意連結內

容，使用者不自覺下載惡意程式 外接式儲存裝置安全問題 使用P2P軟體、IM (Instant Message)即

時通訊軟體、社群網站可能造成個人資料外洩風險

11

「社交工程」攻擊定義 利用人性弱點、人際交往或互動特性所發展出來的

一種攻擊方法 早期社交工程是使用電話或其他非網路方式來詢問

個人資料，而目前社交工程大都是利用電子郵件或

網頁來進行攻擊 透過電子郵件進行攻擊之常見手法 假冒寄件者 使用與業務、時事相關或令人感興趣的郵件內容 含有惡意程式的附件 利用應用程式之弱點(包括所謂零時差攻擊)

12

社交工程攻擊之防範

建立社交工程防範技術措施(Engineering) 辦理相關宣導及法治認知(Enforcement) 加強資安訓練與演練(Education)

13

使用者防護停看聽(1)

停 ─ 使用任何電子郵件軟體前，必須先確認以下設定 必須安裝防毒軟體，並確實更新病毒碼 審慎開啟郵件及其附件或連結 必須取消郵件預覽功能，避免無意開啟郵

件 設定過濾垃圾郵件機制 建立電子郵件驗證機制(推動電子識別證)

14

使用者防護停看聽(2)

看 ─ 收到郵件後，必須注意 郵件主旨是否與本身業務相關

其餘郵件不建議開啟，如需開啟應確認郵

件來源

聽 ─ 若懷疑郵件來源，必須進行確認 透過電話或電子郵件向寄件人於開啟前確

認郵件真偽

15

使用者端郵件安全管理

良好的網路及 郵件使用習慣

安裝防毒軟體 隨時更新防毒碼

郵件系統 安全性設定

提高 安全意識

@

16

台灣個資外洩現況 內政部警政署刑事警察局2009年統計資料 165反詐騙諮詢專線自2009年1月到9月，共接

獲25146件詐騙投訴電話，排名第一的是個資外洩詐騙事件，件數達8865件，佔總數的35%！

網路安全信心調查： 國人信心不足，最憂個資外洩，最盼嚴懲不

法！

17

個人資料(人工資料)可能外洩風險 可以幫我填張問券嗎？有精美小贈品喔～ 請讓我們瞭解您對本餐廳服務意見，本餐廳將在優惠

折扣時段以簡訊告知… 摸彩活動喔～只要填下您的相關資料即可獲得XX大

獎 以上情形您有想過這些資料後來去了那邊嗎？ 得到資料的單位，你覺得他們網站會不會被駭客入侵

得到資料？ 會不會因為電腦使用不當，某個員工安裝了P2P軟體，

導致您的個人資料被竊取，你都不知道？

18

你的個人資料安全嗎？

我的資料儲存在哪裡？ 別人如何使用我的資料？ 哪些人看過我的資料？ 我的隱私是否有受到保障？

個人隱私資料可能儲存在

不只一個單位檔案裡？

19

個人隱私資料使用在哪裡？ 向政府機關申辦各項業務時 報稅、行駕照申請、戶籍登記與變更、醫院看診等

與金融機構往來時 申辦信用卡、開立帳戶、申辦貸款、利用電話及網路查詢

金融資料或轉帳、辦理投保業務等 購物時 申辦手機門號、信用卡刷卡購物、旅遊服務、結付帳單、

慈善公益捐款、電視購物、郵購或網路購物等 成為活動會員時 健身俱樂部、政黨團體、網站會員、公益團體等

商業促銷活動時 廠商抽獎活動，領取免費獎品、參觀展覽等

20

如何取得我的個人隱私資料？

網路硬碟空間 網路論壇 百貨公司會員資料 電視購物、郵網購 訂閱雜誌、書報資料 稅務資料 學校單位 工作組織單位 俱樂部會員 飯店、旅遊資料

戶政資料 交通運輸 交通監理站 保險公司 醫院住院紀錄 銀行、信用卡 參與政黨組織 慈善公益機構 命理資料 寺廟組織…

21

個人資料保護法

避免 促進

取得平衡的衡量基準

規範個人資料之 蒐集、處理及利用

個人資料保護法

人格權受侵害

資料合理流通

22

個人資料範圍

自然人

姓名

出生年月日

身分證統一編號

護照號碼

特徵

指紋

婚姻

家庭

教育

職業 病

歷 醫療

基因

性生活

健康檢查

犯罪前科

聯絡方式

財務情況

社會活動

直接識別該個人之資料

間接識別該個人之資料

個人資料檔案： 依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合

個人資料

23

除非符合下列情形之一：

1. 法律明文規定 2. 公務機關執行法定職務

或非公務機關履行法定義務所必要，且有適當安全維護措施

3. 當事人自行公開或其他已合法公開之個人資料

4. 公務或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序

特種個人資料

自然人

姓名

出生年月日

身份證統一編號

護照號碼

特徵

指紋

婚姻

家庭

教育

職業 病

歷 醫療

基因

性生活

健康檢查

犯罪前科

聯絡方式

財務情況

社會活動

直接識別該個人之資料

間接識別該個人之資料

特種個資

特種個資： 不得蒐集、處理或利用

24

個資法適用之機關與人員

公務機關 依法行使公權力之中央或地方機關或行政法人

非公務機關 公務機關以外之自然人、法人或其他團體

當事人 指個人資料之本人 看起來只要是 ”活”的通通

有獎

還好沒有我的事…

25

自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料 例如：親友通訊錄

公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料 例如：公用道路旁的監視器

個資法適用活動範圍

國際傳輸 將個人資料作跨國(境) 之處理或利用

利用 將蒐集之個人資料為處理以外之使用

處理 為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送

蒐集 以任何方式取得個人資料

不適用個人資料保護法之情形

26

違反個資法之罰則

違反個資法 致侵害當事人權利者，民事賠償每人每一事件

同一原因事實造成多數當事人權利受侵害，合計賠償總額

每人每一事件新台幣五百元以上，二萬元以下

新台幣二億元為限 該原因事實所涉利益超過新臺幣二億元者以該所涉利益為限

被害人不易或不能證明其實際損害額時

第41~43條 違反……或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金 意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金……

第44條 公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一

27

個人資料保護法修正重點(1/5) 擴大保護客體 為落實對個人資料之保護，將保護客體予以擴大，

將非經電腦處理之個人資料(即人工資料)一併納入保護

普遍適用主體 刪除非公務機關行業別之限制，使任何自然人、

法人或其他團體，除為單純個人或家庭活動之目的而蒐集、處理或利用個人資料外，皆須適用本法

公務機關及非公務機關，在中華民國領域外對中華民國人民蒐集、處理或利用個人資料者，亦適用本法

28

個人資料保護法修正重點(2/5)

增修行為規範 增訂醫療、基因、性生活、健康檢查及犯罪前科等五

類資料為特種資料，除符合法定要件外，原則上不得蒐集、處理或利用

書面同意內涵明確化，特定目的外利用個人資料需當事人書面同意者，應另以單獨書面同意方式為之

不論是直接或間接蒐集資料，除符合得免告知情形者外，均須明確告知當事人蒐集機關名稱、蒐集目的、資料類別、利用方式、資料來源等相關事項

違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除或停止蒐集、處理或利用其個人資料

從事商品行銷之非公務機關，應於首次行銷時免費提供當事人表示拒絕之方式

29

個人資料保護法修正重點(3/5)

強化行政監督 為加強防制個人資料之濫用，中央目的事業主管

機關或直轄市、縣（市）政府，發現非公務機關違反本法規定或認有必要時，得派員攜帶執行職務證明文件，進入檢查，如發現有違法情事，並得採取必要處分

促進民眾參與 為結合民間力量，發揮本法保護個人資料之功能，

財團法人或公益社團法人符合本法規定者，得提起團體訴訟，以協助隱私權益遭侵害之當事人進行民事或行政救濟

30

個人資料保護法修正重點(4/5)

調整責任內涵 民事責任：提高基於同一原因事實應對當事人負

損害賠償責任之總額2億(被害人不易或不能證明其實際損害額時，得請求法院依侵害情節以新臺幣5 百元以上2 萬元以下計算)

刑事責任：非「意圖營利」者得科處2年以下有期徒刑(告訴乃論)；「意圖營利」者得科處5年以下有期徒刑(非告訴乃論)

行政責任：非公務機關之代表人、管理人或其他有代表權人，除能證明已盡防止義務者外，並應課以同一額度之罰鍰，以加強其監督之責任

31

個人資料保護法修正重點(5/5)

隱私保護與新聞自由之平衡 本法乃個人資料保護之基本法律，惟新聞自由的

尊重，乃現代民主國家的重要表徵，為期兼顧「個人隱私」與「新聞自由」之平衡，對於大眾傳播業者基於新聞報導之公益目的而蒐集個人資料，自得免為告知當事人；另外，與公共利益有關或個人資料取自於一般可得之來源者，非公務機關對個人資料亦得為蒐集或處理

32

各機關應辦理事項 將保有個人資料檔案名稱、保有機關名稱及

聯絡方式、個人資料檔案保有之依據及特定目的、個人資料類別等4項法定項目查明清楚並依法公開

訂定機關之個人資料保護管理要點 指定「專人」辦理個人資料安全維護事項 設置「個資保護聯絡窗口」 指定「召集人」，以便統一決策及執行

33

各機關因應措施

建立專責人員及個人資料管理制度 明瞭個資法相關規定 清楚機關內作成或取得個人資料之種

類及特定目的 採取有效的方法保護及管理個人資料 加強保障人民之資訊請求權

34

法務部個人資料保護管理要點 規定 說明

壹、總則 第一章章名

一、法務部（以下簡稱本部）為落實個人資料之保護及管理，特設置本部個人資料保護管理執行小組（以下簡稱本小組），並訂定本要點。

明定訂定本要點及設置法務部個人資料保護管理執行小組之目的。

二、本小組之任務如下： (一)本部個人資料保護政策之擬議。 (二)本部個人資料管理制度之推展。 (三)本部個人資料隱私風險之評估及管理。 (四)本部各單位（以下簡稱各單位）專人與職員工之個人資料保護意識提升及教育訓練計畫之擬議。 (五)本部個人資料管理制度基礎設施之評估。 (六)本部個人資料管理制度適法性與合宜性之檢視、審議及評估。 (七)其他本部個人資料保護、管理之規劃及執行事項。

明定執行小組之任務。

三、本小組置召集人及執行秘書各一人，由部長指定之；委員十一人由各單位指派專人（科長以上）一人擔任。 本小組幕僚工作由本部法律事務司辦理；為強化幕僚功能，協助辦理幕僚工作，並得邀請本部各單位人員參與幕僚作業。

鑑於公務機關在個人資料保護及管理上事權統一之重要，爰明定本小組召集人、執行秘書及委員之組成，及幕僚工作之負責單位，以利有效推動個人資料保護相關事務。

四、本小組會議視業務推動之需要，不定期召開，由召集人主持；召集人因故不能主持會議時，得指定委員代理之。 本小組會議開會時，得邀請有關業務單位、所屬機關人員、相關機關代表或學者專家出（列）席。

明定本小組會議召開之期間、主持人及得 邀請出列席之人員。

資料來源：http://www.moj.gov.tw/public/Attachment/01217148267.pdf

35

清查機關保有之個人資料

個人資料之種類或檔案名稱 法令依據 特定目的 個人資料類別

36

個人資料之項目彙整表範本 項目 單位名稱

個人資料檔案名稱

法律依據

特定目的

個人資料類別

個人資料之範圍

有否特種資料？何種特種資料？

有無監督管理之非公務機關及其名稱（現行法）

有無監督管理之非公務機關及其名稱（修正草案）

○ ○ 法務部國家賠償法研究修正專案小組委員聯絡名單

法務部組織法第10條第3款、法務部處務規程第6條第2款

011立法或立法諮詢

C001 C003 C011 C038

姓名、職業、職稱、地址、身分證字號、電話、電子郵件地址、性別

無 無 無

資料來源：法務部法律事務司

37

電腦處理個人資料保護法之特定目的及個人資料之類別 代號 特定目的項目 ○○一 人身保險業務（依保險法令規定辦理之人身保險相關業務)

○○二 人事行政管理

○○三 土地行政

○○四 公立與私立慈善機構之目標

○○五 公共衛生

○○六 公共關係

○○七 火災預防與控制

○○八 戶政及戶口管理

○○九 不動產服務

○一○ 公職人員財產申報業務

○一一 立法或立法諮詢

○一二 民政

○一三 代理與仲介之管理 資料來源：http://www.moj.gov.tw/public/Attachment/15614205987.pdf

38

個人資料保護相關問題

個資法

6W1H

What

Who Where

Why

When

Which

How

要保護什麼 個人資料？

那些人須 受到規範？

那些範圍須受到規範？ 為何我要在乎 個資法？

施行時程？

我該做什麼？

我要如何做？

39

個人資料保護生命週期

傳輸

蒐集

處理

利用

儲存

個人資料

銷毀

管理 技術

稽核 程序

政策

運作 控制 加密

存取

流程

防禦

審查 矯正 監督

檢查

規劃 執行

改善 檢查

40

個人資料保護整體發展架構

Personal Identifiable Information, PII (可識別 之個人資料)

- OECD Privacy Principals - APEC Privacy Framework - ISO 22307 (FS-PIA)

- ISO 27001 - ISO 27005

- ISO 29100 - ISO 27001 / ISO 20000 - NIST SP800-122 / 53 - BS 10012

國際個資管理發展趨勢、標準、作法

國內個資相關法律、規範、標準、指引

- 個人資料保護法 - 個資法施行細則 - 資訊系統分類分級與 鑑別機制參考手冊

- 個資法施行細則 - 電子資料保護參考指引 - 安全控制措施參考指引

個資項目盤點 與隱私衝擊評鑑 - What (個資盤點) - Where (個資來源) - Why (使用目的) - Who (利害關係人) - How (個資流程)

個資風險評鑑 - 個資分類分級 風險評鑑結果 (普、中、高) - 風險處理對策 - 風險處理計畫

個資管理與防護 - 個人資料保護管理要點 - 個資保護流程與安全措施 - 個資蒐集 - 個資儲存 - 個資處理 - 個資傳輸 - 個資銷毀(淨化)

PDPS

P

D

C

A

導入 運行

補強

散布

- 資訊系統分類分級與 鑑別機制參考手冊 -資訊系統風險評鑑 參考指引

41

建立個資管理PDCA持續運作

個資政策

管理組織

人員訓練

作業流程

技術措施

紀錄管理

合約管理

管理指標

規劃

檢核

執行

改善

召集人

個資管理專

責人員

個資管理專責人員

個資管理專責人員

個資保護聯繫窗口

CMDB

個資管理紀錄 RACI

蒐集

處理

利用

國際 傳輸

成熟度評估、個資盤點、隱私衝擊分析、風險評鑑

業界參考實務

標準 法律

- 政策、組織與人員確立 - 流程管理活動參考基準 - 技術控制措施參考基準 - 管理紀錄與數位證據保存 - ISO 29100 - ISO 27001 - BS 10012 - NIST SP800-122

監督 稽核 報告

管理審查 矯正措施 預防方案 提升計畫

42

個人資料保護點線面 3點 進行個資流程與個資項目盤點 分析個資風險評鑑威脅與弱點 設定流程技術控制措施基準點

2線 內線：機關內部個資管理防線 外線：委外作業個資管理防線

1面 個資與資訊安全管理PDCA合而為同一面

43

個資流程與個資項目盤點 分析組織作業流程或服務目錄中之利害關係人角

色，以及相關活動是否有個資項目 若該服務作業流程中包括個資項目，則進一步分

析個資項目的細節，流程相關輸入(來源)與輸出(產出)內容，藉此盤點出個資項目與欄位類型 What (個資盤點) Where (個資來源) Why (使用目的) Who (利害關係人) How (個資流程)

44

個資風險評鑑威脅與弱點

個資隱私衝擊與風險評鑑參照之安全控制項目基準值包括： 法律層面上洩露不同類別與數量個資時的違法性風險 技術安全控制上參考美國NIST (National Institute of

Standards and Technology)SP800-122機密個人可識別資訊保護指引(Guide to Protecting the Confidentiality of Personally Identifiable Information)衝擊等級判定方式

「資訊系統分類分級與鑑別機制」之資訊資產之影響構面等級

45

技術控制措施基準點

個資管理之防護技術架構包括 個人資料保護生命週期不同階段活動之安全措施項目 整體環境之身份識別與存取管理 基礎設施網路安全管理

46

委外作業個資管理防線

保密切結書與契約中加入對個資法之遵循要求 契約與工作計畫書中納入對應個資風險等級在內

部流程與技術控制措施之防護基準值要求 合約與工作計畫書中納入對委外供應者進行個資

管理活動稽核之要求與權利

47

個資管理與資安管理之整合

現行ISMS制度 因應個資法之 補強過程建議

現行ISMS管理流程與技術方案

ISMS認證或實作範圍是否已涵蓋相關個

資流程？

建立個資保護管理組織角色

是進行個資隱私

衝擊分析進行個資之分類分級與風險評鑑

擴大ISMS認證或實作範圍

否

擴大ISMS認證範圍

擴大ISMS實作範圍

至少涵蓋機關相關個資流程

至少涵蓋機關相關個資流程

資安事件(故)處理程序

資訊資產分類分級與風險評鑑

安全控制措施(著重資料的「處理」活動)

控制措施須包括個資「蒐集」與「利用」等活動

強化程序中對於個資事故處理與回應的完整性

+ +

+

個資管理防護持續改善循環

個資管理相關紀錄之保存與稽核

風險評鑑結果、風險處理對策及

行動方案

48

個資安全、人人有責

資訊單位：建構安全的系統與環境

業務單位：遵守安全規定使用系統與資料

政風單位(稽核單位)：依據規定稽核是否落實執行個資保護

人事單位：協助個資保護推動組織與人力建置

會計單位：協助個資保護預算籌編

49

結語 國內外個資外洩事件之影響與衝擊宜正視及有

效因應 個資法通過後對各機關造成影響與衝擊，相關

權責主管機關應妥善研擬相關配套措施 資訊安全與個資保護是一體兩面，政府資安工

作除健全的基礎設施外，最重要的是先做好個人的資訊安全，人人做好資訊安全第一線防護，機關資訊安全就能得到保障，進而提升我國整體資訊安全及個資防護

資訊安全教育訓練簡報大綱投影片編號 3面臨的資安威脅種類 P2P分享軟體風險無線網路風險殭屍網路攻擊投影片編號 8資通安全相關問題資料外洩主要管道「社交工程」攻擊定義社交工程攻擊之防範使用者防護停看聽(1)使用者防護停看聽(2)使用者端郵件安全管理台灣個資外洩現況個人資料(人工資料)可能外洩風險你的個人資料安全嗎？個人隱私資料使用在哪裡？如何取得我的個人隱私資料？個人資料保護法個人資料範圍特種個人資料個資法適用之機關與人員個資法適用活動範圍違反個資法之罰則個人資料保護法修正重點(1/5)個人資料保護法修正重點(2/5)個人資料保護法修正重點(3/5)個人資料保護法修正重點(4/5)個人資料保護法修正重點(5/5)各機關應辦理事項各機關因應措施投影片編號 34清查機關保有之個人資料個人資料之項目彙整表範本 投影片編號 37個人資料保護相關問題投影片編號 39個人資料保護整體發展架構建立個資管理PDCA持續運作個人資料保護點線面個資流程與個資項目盤點個資風險評鑑威脅與弱點技術控制措施基準點委外作業個資管理防線個資管理與資安管理之整合投影片編號 48結語