《行政人员资讯安全训练教材资讯安全基本认知课件.pptx》由会员分享,可在线阅读,更多相关《行政人员资讯安全训练教材资讯安全基本认知课件.pptx(84页珍藏版)》请在三一办公上搜索。
1、南亚技术学院行政人员信息安全训练教材信息安全基本认知,主讲人信息管理系助理教授 xx,1,谢谢观赏,2019-6-19,目录,何谓信息安全信息安全知识网络安全人员与环境安全资料与存取安全系统安全信息安全相关法令建立ISMS,2019-6-19,2,谢谢观赏,学术单位的信息安全,为什么学校单位需要信息安全学生学籍资料成绩信息教师与员工相关个人信息学校单位所拥有的信息特色大多属于非机密性具敏感性且涉及隐私及个人资料保护法相关规定,2019-6-19,3,谢谢观赏,何谓信息安全,有效的防止信息遭到窃取、窜改、毁损、灭失或遗漏。简言之,就是确保信息的CIA:Confidentiality 机密性:保护
2、信息不被非法存取或揭露。Integrity 完整性:确保信息在任何阶段都没有不适当的修改或损毁。Availability 可用性:经授权的使用者能适时的存取所需信息。,2019-6-19,4,谢谢观赏,信息安全的范围,保护及维护资料的安全,包含:资料的使用资料的传递资料的处理资料的储存,2019-6-19,5,谢谢观赏,信息安全管理重点,2019-6-19,6,谢谢观赏,信息安全案例与知识,网络安全电子邮件垃圾邮件网络购物公用计算机使用人员与环境安全资料与存取安全系统安全,2019-6-19,7,谢谢观赏,电子邮件:e-mail 附件不是执行档也有危险?,2019-6-19,8,谢谢观赏,电子
3、邮件防范措施,1.不任意开启来路不明的电子邮件及其附加档案,不论附档名为何,最好直接这类邮件删除。2.设定作业系统的自动更新机制(如Windows Updates),进行系统漏洞修补,使计算机系统随时保持最新的安全状态。3.安装防毒软件并定期更新病毒码,以防阻e-mail可能夹带的计算机病毒。4.安装个人防火墙,以防阻e-mail中可能夹带的间谍程序窃取信息。5.即使邮件是来自于熟识者,在打开附件档案前,仍应使用防毒软件扫瞄后才可开启,尤其是转寄邮件。,2019-6-19,9,谢谢观赏,电子邮件名词解释(1/3),back door后门程序 后门指的是可以“绕过”、“规避”计算机内部安全系统的
4、另一个管道。可能是在软件设计时,程序设计师方便未来进入系统维护所留下的程序,也可能是计算机遭受到入侵而被植下的程序。许多黑客会经由后门绕过安全验证,非法进入计算机进行破坏或窃取资料。Hacker 黑客Hacker计算机黑客原是指计算机很强的人;Cracker则表示有犯罪记录或行为的计算机高手。但是后来大家却混淆了这两个字的含意,而将凡是在网络上利用技术危害他人的人,统称为黑客。,2019-6-19,10,谢谢观赏,电子邮件名词解释(2/3),木马程序是一种后门程序,也是目前非常流行的病毒程序,与一般的病毒不同,它不会自我繁殖,也不会刻意地去感染其他文件。木马程序具有隐蔽、自动启动、欺骗、自我恢
5、复、破坏、传输资料的行为特征,并透过伪装吸引用户下载执行或安装,提供种木马者打开被种者的计算机门户,使种木马的人可以任意毁坏、窃取被种者的文件或操作画面,甚至远端操控被种者的计算机。木马程序最终的目的就是搜集情资、等待时机执行破坏任务、当作跳板进行渗透。手段包含匿踪、占领、远端遥控、截听封包、记录键盘输入资料、破坏、传递情资、提供封包转送达到跳板功能等。绝大部分的木马程序所具备的功能与目的,不仅具备单一功能、单一目的,而是具备混合功能(hybrid)与多目标导向。netbus殭尸网络是一种木马程序,可提供植入者能在远端遥控被植入者计算机,作为攻击者的傀儡计算机,隐藏其攻击轨迹。,2019-6-
6、19,11,谢谢观赏,电子邮件名词解释(3/3),anti-virus计算机防毒软件 防毒软件是一种程序,安装于计算机内能够检测入侵计算机的计算机病毒、木马程序与计算机蠕虫,当检测到病毒时,程序会将病毒进行隔离或删除,以避免病毒程序对计算机系统进行破坏。firewall防火墙 网络防火墙用以管制外部使用者对内部网络及网站的连结和存取,并执行稽核作业。装设防火墙就如同住户为了住家安全性,特意加上一层的门禁系统。防火墙会控制和监控所有外部和内部网络的交通;包括让内部使用者可以对外取得整体的服务,而对于外来使用者则以选择性的条件加以检验,只允许经授权的使用者连线使用,阻挡可能进入企业内部网络的黑客、
7、病毒和计算机虫。,2019-6-19,12,谢谢观赏,垃圾邮件:垃圾邮件防范DIY,2019-6-19,13,谢谢观赏,垃圾邮件防范措施(1/2),1.绝不回信2.在搜寻引擎中键入你的e-mail,检查看看是否你的e-mail是否很容易让垃圾邮件布者取得;若可能,尽可能地移除掉email曝光的机会。3.将你的邮件软件设定为不显示图片,某些厂商会在发送html格式含图片的电子邮件时,加上网站信(Webbeacons),用来计算开启电子邮件的数目、或者统计哪个电子邮件地址开启了哪些邮,关闭垃圾邮件的图片显示可以阻断Web beacons功能。,2019-6-19,14,谢谢观赏,垃圾邮件防范措施(
8、2/2),4.绝不按下垃圾邮件提供的超连结。5.绝不使用其取消订阅的功能,因为当你按下取消订阅时也同时让垃圾邮件散布者确认你的e-mail是有效的。6.在任何网站上留下你的电子邮件资料时,先阅读该网站的隐私权政策,确保你的电子邮件资料不会用作其他用途。7.设定2个email账号,其中一个为日常通讯用途,另一个则用来订阅电子报、或用来参加网络活动填问卷。,2019-6-19,15,谢谢观赏,网络购物:纠纷与诈骗,网络购物,购买一个皮包,汇钱后却迟迟没收到商品,李小姐遇到诈骗,个人资料通通被网络钓鱼网骗取!,2019-6-19,16,谢谢观赏,网络购物防范措施,1.向个人卖家购物,一定要保留双方关
9、于买卖的对话纪录或通联纪录。2.保留汇款单据。3.向商家索取发票,通常合法商家会开立发票,选择有发票的商家较有保障。4.如使用在线刷卡,在刷卡后立即与银行确认消费纪录。5.了解自己的权益,依消保法规定,消费者可于收受商品七日内退回,无须说明理由及负担任何费用。6.如果发现受骗或被盗刷等情况,应通知刷卡银行并报警处理。,2019-6-19,17,谢谢观赏,网络购物:网拍诈骗增多,买卖两头空,2019-6-19,18,谢谢观赏,网络购物防范措施,1.选择有信誉之交易对象,仔细了解对方的信用风评等,并注意网址的正确性,避免落入仿冒网站。2.利用问与答的机制,于询问时留意卖家专业度,可了解卖家是否够真
10、心投入、认真经营。卖家若将网络开店视为长期经营,势必会重视客户反应及商品质量。3.从卖家出货速度、反应问题速度,决定未来是否再向这个卖家购买商品。4.当拍卖商品具有预订性质时,为求谨慎,建议向有口碑店面或信用优良的商家订购,以防预订诈骗。5.不论是卖家还是买家,坚持面交,一手交钱一手交货,当场确认物品及金额无误后才能银货两讫。,2019-6-19,19,谢谢观赏,公用计算机:使用他人计算机没清除记录,账号密码遭窜改,2019-6-19,20,谢谢观赏,防范措施:,1.使用计算机后随手清除网页浏览记录及cookie资料,并清除在网站上所留下的个人资料。2.养成不使用自动记忆账号密码的功能。3.避
11、免使用他人或公共计算机,上网处理重要或私密事务。4.使用他人或公共计算机时,特别注意坐在或站在你旁边的人,因为他们可以轻易地从计算机荧幕上看到你所输入的账号、密码或其他个人资料。5.若经常使用公共计算机,更换密码的要更高。,2019-6-19,21,谢谢观赏,名词解释,cookies网络纪录 cookies是存在浏览器中的小型文字档,记录使用者浏览网页的信息,例如:浏览的网站位址、使用者曾经输入的信息等,当使用者下次再度使用浏览器时,计算机能自动显示最近使用过的网页。cookies 也会纪录使用者的账号与密码,因此在使用者再次进入相同页面时,不需要重新输入名称与密码。由于cookies 的功能
12、会记录重要的个人资料与网络使用习惯,通常网站都会在其隐私权政策中详述其透过cookies搜集使用者信息的用途。,2019-6-19,22,谢谢观赏,信息安全案例与知识,网络安全人员与环境安全防范员工外泄客户资料防范社交工程的攻击 公司机密外泄的处理 报废计算机的资料安全 资料与存取安全系统安全,2019-6-19,23,谢谢观赏,人员与环境安全,案例一、员工偷偷外泄客户资料 案例二、防范社交工程的攻击 案例三、公司机密外泄的处理 案例四、报废计算机的资料安全,2019-6-19,24,谢谢观赏,员工偷偷外泄客户资料,2019-6-19,25,谢谢观赏,防范措施:,1.针对资料保密、客户隐私权等
13、相关法令对所有员工进行教育倡导,尤其是计算机处理个人资料保护法的了解,说明若将客户资料外泄或私自盗卖,最重可处三年以下有期徒刑。2.依职务需求授予资料或档案的存取权限,避免非相关职务人员皆能存取隐私资料。3.针对员工使用私人储存媒体进行规范,例如禁止员工使用USB随身碟或磁盘,如此可避免员工因职务上的便利,将机密带离公司。4.限制员工电子邮件可夹带档案的大小,以避免员工透过电子邮件外泄大量公司料。,2019-6-19,26,谢谢观赏,防范社交工程的攻击,2019-6-19,27,谢谢观赏,防范措施:,1.尽量避免加入不明来源的MSN 使用者,不接受不明联络人的档案。2.使用扫毒程序在点阅信件之
14、前确认件的安全性。3.限制如果系统主动对外发信必须通过系统管理员同意。4.对权限加以分级控管,非属于个人份事宜不应掌握账号密码等特殊权限,以免因为不了解安全等级而不慎外流重要信息。5.安装个人防火墙,阻挡不明程序尝试对外连线。,2019-6-19,28,谢谢观赏,名词解释,social engineering 社交工程社交工程主要是利用人性的弱点而进行诈骗。社交工程是一种非技术性的入侵,是藉由与人透过社交手段进行犯罪行为。现代病毒已开始结合社交工程概念,例如ILOVEYOU病毒就是透过在电子邮件中以我爱你为附加档案的档名,诱导使用者打开附件,然而在使用者打开附件的同时,即被植入病毒,这就是利用
15、社交工程入侵计算机的一个范例。,2019-6-19,29,谢谢观赏,公司机密外泄的处理,2019-6-19,30,谢谢观赏,防范措施,1.信息分级授权:将企业内部资产与信息列册并评鉴机密等级,依等级订定授权。2.权限控管:授权不能泛滥,应依职务分级授予存取、传递、交换等权限,并期审查权限适当性,以及保留存取权限稽核资料。3.签订安全保密合约:与员工签订合约,除了可供违约时的责任追溯与求偿外,具有一定的预防遏阻作用。4.随身碟禁用规定:为防止员工私自复制司机密资料,可限制员工使用行动碟、MP3随身碟等储存装置。5.安全通报与处理机制:若员工发现同仁有异常行为,应透过安全通报机制立即反应,预防危安
16、事件发生。,2019-6-19,谢谢观赏,31,名词解释,authorization 授权授权,指的是将资源系统的使用权限授与特定人员的过程。获得授权的人员具有使用特定资源系统的权限。通常系统管理员会按企业相关规定或政策,来给予使用者不同的授权,以及使用者能使用资源系统的的权限与层级有多大。,2019-6-19,32,谢谢观赏,报废计算机的资料安全,2019-6-19,33,谢谢观赏,防范措施:,1.计算机报废前,针对整个计算机系统或内含信息的进行备份。2.将上述的备份移转至新的机器或其他备份装置中。3.执行完整的信息设备报废处理程序,包括针对计算机硬盘执行重新格式化、相关作业软件、资料及具有
17、版权之系统软件;针对磁碟或光盘片等储存媒体进行实体销毁,如切碎、折损等。,2019-6-19,34,谢谢观赏,名词解释,Malicious URL injection网页隐藏式恶意连结又称为网页恶意挂马或网页挂马。指黑客窜改所攻击的网页,植入恶意连结,或者是设立恶意网站,透过宣传手法,利用一般人的好奇心吸引观众到站浏览,使用者只要连上网站,就会转落入黑客预先设计好的陷阱,被植入木马程序。进而被窃取计算机中的资料或机密造成损失。,2019-6-19,35,谢谢观赏,信息安全案例与知识,网络安全人员与环境安全资料与存取安全定期检查存取权限 账号借他人使用出包 使用者密码管理 设定优质密码保障资料安
18、全 10大企业信息安全内贼现象 笔记型计算机资料安全管理 储存媒体的保存 系统安全,2019-6-19,36,谢谢观赏,定期检查存取权限,2019-6-19,37,谢谢观赏,防范措施:,员工离职前应提醒其保密义务及法律责任。员工离职后应立即取消其网络存取权限。员工离职,应酌量风险决定冻结或移除其账号并变更密码。针对公司重要系统主机应定期检查账号及密码之设定。针对公司重要系统主机应定期检查存取权限及存取纪录。,2019-6-19,38,谢谢观赏,账号借他人使用出包,2019-6-19,39,谢谢观赏,防范措施,(1)个人账号不可借任何人使用,包括像公务资料系统、网站、e-mail、网络金融、IS
19、P账号等。(2)不要将账号密码随手记录于纸本随意置;更不要将密码写在便利贴贴在计算机荧幕边。(3)不要告诉任何人您的账号密码,包括像对方来电表示自己是信息部门人员、银行客服人员等。(4)重要系统、网站在登入时,应留意一下系统提醒的连线历史纪录是否有不明的登入纪录。,2019-6-19,40,谢谢观赏,使用者密码管理,2019-6-19,41,谢谢观赏,防范措施(1/2),一、防御的技巧(1)签署保密声明:要求使用者签署对个人账号密码保密之声明。(2)强制变更密码:确保一开始即提供使用者安全之临时密码,也应强制使用者在第一次登入系统时立刻更改。(3)在提供新的、替换或临时密码前,须验证使用者身分
20、。(4)以安全的方式将密码交给使用者,勿交由第三方转交或使用明码传送。(5)密码不得以无保护形式储存于任何实体设备或便携式设备中。,2019-6-19,42,谢谢观赏,防范措施(2/2),二、解决的技巧(1)网页开发时,结合自然人凭证之机制,于使用者(买方或卖方)登入或登出时均启动确认身分之机制;目前仅有以信用卡/转帐付款时,才启动确认身分之机制,显然是不足的。(2)应有健全的通报机制,例如例假日或非上班时段,可增列语音或发送简讯的处置机制,由值班之客服人员判定处理优先级。应从资安事件中学习及检讨,例如透过客服系统,定期统计及汇整出相关事件发生之来由及解决方案,作为改善及提升服务质量之依据。,
21、2019-6-19,43,谢谢观赏,设定优质密码保障资料安全,上传私密照片到网络相簿,遭他人窃取帐密并恶意散布私密照片,2019-6-19,44,谢谢观赏,优质密码防范措施(1/2),1.密码长度建议至少六码以上,且最好可参杂数字、英文字母、特殊符号、大小写。2.应尽量避免使用易猜测或公开信息为设定,例如个人姓名、出生年月日、身分证字号机关、单位名称或其他相关事项使用者ID、其他系统ID计算机主机名称、作业系统名称电话号码英文或是其他外文字典的字汇专有名词空白,2019-6-19,45,谢谢观赏,优质密码防范措施(2/2),3.应保护密码,维持密码的机密性,勿使用同一套密码行遍天下,以避免所有
22、关的登入资料同时都被破解。4.需定期更新密码,建议更新频率至少为三个月一次。5.不使用过于复杂而不易记忆的密码,以免担心遗忘,而必须将密码写下,却可能提高了密码外泄的风险。,2019/6/19,46,行政人员资安教育,46,谢谢观赏,2019-6-19,10大企业信息安全内贼现象,2019-6-19,47,谢谢观赏,10大企业信息安全内贼现象,恶意窃取或损坏资料类型:1.窃取身份资料:员工存取或偷窃公司客户的身份证号码等隐私资料。2.窃取机密资料:员工阅览公司机密资料,并将资料复制至其随身碟或透过电子邮件送出公司。3.毁损资料:员工进入公司的研发或业务重要资料夹,刻意毁损企业具有价值的智慧财产
23、。4.财务欺骗行为:员工直接在公司信息系统中窜改自己的薪资纪录、或假冒发出采购单等行为。,2019-6-19,48,谢谢观赏,10大企业信息安全内贼现象,违背政策的不当使用类型:5.不当的资料存取:员工将不可携出公司的工作相关资料带回家处理。6.滥用特殊权限:员工利用其特殊的系统存取权限执行非业务相关工作,如本案例中所提到银行技工滥用权限从事舞弊之行为。7.非法将数据库备份至光盘或随身碟中。未授权存取系统黑客类型:8.SQL攻击:员工利用 Web 程序的表格档案窜改程序以取得不该取得的资料。9.软件攻击:员工利用公司使用的应用程序或软件弱点进行攻击。无意的资料错误处理类型:10.因人为操作错误
24、而将敏感资料删除或而无法复原。,2019-6-19,49,谢谢观赏,名词解释,access control 存取控管存取控管是一种对于资料或信息系统使用的安全控制措施,类似守门人的功能。计算机系统管理者可利用密码或其他身分验证的方式,来对于计算机系统的使用者进行授权/拒绝的存取与控管。换言之,存取控制在指派与控制使用者之权限(如使用者的身份、使用系统之时间等条件)。存取控管可提供资源系统使用安全功能,降低黑客入侵或资料不当外泄的风险。,2019-6-19,50,谢谢观赏,笔记型计算机资料安全管理,2019-6-19,51,谢谢观赏,防范措施:,1.使用防护锁或移动感应器来降低笔记型计算机失窃机
25、率。2.计算机开机设定保护密码 3.重要资料使用加密措施,防止未经授权存取。4.定时备份重要资料于其它储存媒体中,并予以妥善保存。,2019-6-19,52,谢谢观赏,储存媒体的保存,2019-6-19,53,谢谢观赏,防范措施:,1、使用磁碟阵列等可靠度较高的设备。2、建立巢状架构,避免单点损坏之风险。3、建构异地备援。4、建立备援储存计划,采用正常、复制、差异、”增量与每天等正规方式储存资料,并标示好时间与日期。5、过期资料应使用强力消磁设备消磁,严禁随意丢弃。6、建立好销毁流程规范,严格要求。7、作好机房人员进出控管,建立授权名单,可以考虑进一步使用指纹辨识系统。8、资料内容加密。,20
26、19-6-19,54,谢谢观赏,名词解释,disaster recovery plan 灾难复原计划灾难复原,是指当任何紧急事件(如地震、台风、人为疏失等)发生时,包含人员与信息系统都应于第一时间立即因应处理,2019-6-19,55,谢谢观赏,信息安全案例与知识,网络安全人员与环境安全资料与存取安全系统安全防范计算机黑客的入侵 遭遇计算机黑客入侵的因应对策,2019-6-19,56,谢谢观赏,防范计算机黑客的入侵,2019-6-19,57,谢谢观赏,防范措施,1.系统作业更新:时常进行系统程序修正或更新,防范程序漏洞导致入侵事件。2.权限设定检视:权限设定宜审慎,避免不合适或错误的设定,给予
27、黑客入侵机会。3.日常作业备份:完善的备份,是降低入侵破坏伤害的基本防线,方式包含备份于USB储存设备,及硬盘等外接装置,或将档案压缩后置于档案服务器。4.稽核轨迹管理:启动各种系统、应用程序、网络设备的事件稽核功能,使所有存取纪录皆有迹可查。5.时间校正:所有计算机与网络设备应设定自动校正时间,避免因时间纪录不一致,影响入侵事件的分析。,2019-6-19,58,谢谢观赏,遭遇计算机黑客入侵的因应对策,2019-6-19,59,谢谢观赏,防范措施,1.系统备份:一旦发生黑客入侵,首要之务在于立即进行系统备份,一方面保存重要档案资料,另一方面,也保存受害证据,以供日后告发之用。2.系统隔离:包
28、含以防火墙将受害计算机隔离封锁、移除受害计算机网路连线、关闭受害系统与无关账号,以避免灾害扩大。3.稽核纪录:清查作业系统、服务程序、防火墙、入侵侦测,及网络设备等所有可能留下的稽核纪录,以作报警处理之用。4.分析追查:从上述各事件纪录,追查入侵的IP来源、入侵过程与方法。5.复原与改善:将受损计算机进行复原,并针对入侵事件,改善与强化资安工作。,2019-6-19,60,谢谢观赏,名词解释,何谓P2P软件?(点对点通讯传输工具)传统HTTP/FTP传送档案方式,采用户与主机的通讯模式(Client-Server Mode)。新制P2P档案传送,采取用户与用户的通讯模式,可以同时连接多个下载点
29、,分散式下载档案。使得P2P可以快速完成档案下载的目标。Skype也是P2P的一种应用工具。档案分享是目前 P2P 最主要的一种应用,P2P 档案分享软件本身是合法的,合不合法则是在分享的档案。,2019-6-19,61,谢谢观赏,P2P软件可能安全问题,P2P软件可能影响的网络安全问题P2P工具包,可能被恶意人员放置木马后门程序,与病毒蠕虫。P2P软件本身的漏洞,造成黑客入侵。使用P2P软件,误将本机目录开放共享。使用P2P软件下载影音档案,多半为mp3与mpeg,avi等档案,可能造成侵权行为。防范措施下载任何工具软件,从原厂官方网站取得。不要在公众或公务计算机下载P2P档案。使用P2P工
30、具,要缩短暴露在网际网络的时间。使用任何网络工具(包含P2P档案下载工具),不应侵害他人权益,入侵他人计算机或是侵害著作权。P2P技术是技术潮流,不反对P2P发展,而是反对在办公室与校园,使用P2P档案下载。,2019-6-19,62,谢谢观赏,资通安全相关法令,63,谢谢观赏,2019-6-19,资通安全相关法令,国家机密保护法电子签章法刑法(防骇条款)计算机处理个人资料保护法档案法著作权法行政院及所属各机关信息安全管理要点机关公文电子交换作业办法智慧财产权Intellectual Property Rights(IPR),2019-6-19,64,谢谢观赏,妨害计算机使用罪简介,随着信息科
31、技快速发展,网际网络应用日益普及与多元,除了带给我们许多生活上的便利,但也衍生一些资通安全问题,特别是网络犯罪行为已有增多趋势。网络犯罪行为大约可归类下列三种以网络作为犯罪工具网络诈欺、网络恐吓等以网络作为攻击标的窜改档案、阻断式服务攻击、黑客入侵、计算机病毒等。以网络作为犯罪场所如色情、诽谤、赌博等为避免计算机犯罪与维护网络秩序,特于刑法中设立相关法令条文以为管理-刑法第36章妨害计算机使用罪章。,2019-6-19,65,谢谢观赏,妨害计算机使用罪主要内容(1),第358条无故入侵计算机罪无故输入他人账号密码、破解使用计算机之保护措施或利用计算机系统之漏洞,而入侵他人之计算机或其相关设备者
32、,处三年以下有期徒刑、拘役或科或并科十万元以下罚金。本条主要目的为遏止黑客入侵行为。第359条无故取得、删除或变更他人电磁纪录罪无故取得、删除或变更他人计算机或其相关设备之电磁纪录,致生损害于公众或他人者,处五年以下有期徒刑、拘役或科或并科二十万元以下罚金。本条主要目的为确保计算机内部电磁纪录安全。,2019-6-19,66,谢谢观赏,妨害计算机使用罪主要内容(2),第360条无故干扰计算机系统罪无故以计算机程序或其他电磁方式干扰他人计算机或其相关设备,致生损害于公众或他人者,处三年以下有期徒刑、拘役或科或并科十万元以下罚金。本条主要目的为维护计算机及网络运作正常。第361条对公务机关犯罪之加
33、重对于公务机关之计算机或其相关设备犯前三条之罪者,加重其刑至二分之一。本条主要目的为确保国家安全。,2019-6-19,67,谢谢观赏,妨害计算机使用罪主要内容(3),第362条制作供犯罪程序罪制作专供犯本章之罪之计算机程序,而供自己或他人犯本章之罪,致生损害于公众或他人者,处五年以下有期徒刑、拘役或科或并科二十万元以下罚金。本条主要目的为防止犯罪工具之利用与扩散。第363条告诉乃论第三百五十八条至第三百六十条之罪,须告诉乃论。本条主要目的为集中司法资源对抗重大犯罪。,2019-6-19,68,谢谢观赏,个人资料保护法制简介,侯望伦,69,谢谢观赏,2019-6-19,什么是隐私权(Priva
34、cy)?,The Right To Be Let Alone隐私权的种类身体隐私权通讯隐私权领域隐私权信息隐私权个人资料自决权任何人对于其相关之个人资料,如不涉及公益 原则上均得自我决定是否公开或提供他人利用,2019-6-19,70,谢谢观赏,个人资料之定义,个人资料:指自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。,2019-6-19,71,谢谢观赏,个人资料当事人之权利,查询及请求阅览请求制给复制本请求补充或更正请求停止计算机处
35、理及利用请求删除,不得预先抛弃或以特约限制,2019-6-19,72,谢谢观赏,预防措施_1,防止蓄意窃取敏感资料者立即封锁机密资料外传行为,并通知IT管理员纪录员工是否有外传机密资料的行为,如写出管道、使用计算机、登入帐号、写出位置与违规时间等。提防授权者公器私用根据调查,78%的资料外流来自内部授权的使用者,企业必须纪录授权者接触机密资料的行为与时间,并且强迫要求输入密码加密以落实离开控管后的保护。提防组织内的粗心使用者当员工企图将机密资料以USB、email、IM或FTP等管道传输出去时,系统会立即在其的计算机视窗示警,以此教育使用者并记录其行为。,2019-6-19,73,谢谢观赏,预
36、防措施_2,提防机密资料存放终端计算机透过定期终端计算机扫描的方式,预防、避免员工将只能存放在档案服务器中的机密文件拷贝至个人计算机里。可搭配辅助举证的资料有办法确认资料外泄者是否平日即有权限存取机密或敏感资料、档案?是否有系统可以记录资料外泄者平常存取、复制的档案资料与持门禁卡进出公司的时间?贵单位是否有明文规定机密或敏感资料不得存于USB?以及当单位陷入涉嫌外泄个资时,能否即刻拿出相关的登入纪录与录像机的纪录等佐证资料?,2019-6-19,74,谢谢观赏,建立ISMS,75,谢谢观赏,2019-6-19,ISMS规范与控制项,信息安全政策订定与评估信息安全组织信息资产分类与管制人员安全管
37、理与教育训练实体与环境安全通讯与作业安全管理存取控制安全系统开发与维护之安全信息安全事件之反应及处理业务永续运作管理相关法规与施行单位政策之符合性,2019-6-19,76,谢谢观赏,ISMS建置步骤-规划,依据该单位之类型、规模、资源、业务性质等特性,定义ISMS之范围;考虑相关法律、法规以及合约之要求,于适度评估风险及应对措施后,订出经由管理阶层核准之ISMS政策;并拟定一份适用性声明书文件。,2019-6-19,77,谢谢观赏,ISMS建置步骤-执行,施行单位应确实实施控制措施,以符合控管的目标,并执行训练与认知计划,确保侦测安全事件的能力,以及迅速回应和应对处理的时效。,2019-6-
38、19,78,谢谢观赏,ISMS建置步骤-考核,施行单位应针对ISMS进行监控程序与其他控制措施,实时鉴别资安事件的发生、处理顺序与解决方法;定期审查ISMS之有效性(建议一学年至少一次),并将相关有显著影响之活动与事件记录下来。,2019-6-19,79,谢谢观赏,ISMS建置步骤-改善,施行单位应定期实行改进活动,采取适当的矫正与预防措施,并得到管理阶层之同意,并确保各项措施达到预期目标。,2019-6-19,80,谢谢观赏,ISMS建置步骤,2019-6-19,81,谢谢观赏,2019-6-19,82,谢谢观赏,行政人员的协助与参与重点,参与教育训练协助信息资产盘点协助风险分析提出安全需求定期实施查核协助持续改善,完成PDCA循环,2019-6-19,谢谢观赏,83,2019-6-19,84,谢谢观赏,
