資 訊 安 全

1

1

資 訊 安 全資 訊 安 全行政院研究發展考核委員會行政院研究發展考核委員會吳啟文吳啟文

9999 年年 1010 月月

2

2

資訊安全簡介資訊安全簡介 資訊安全的本質

無孔不入整體資訊安全是建構於一系列環環相扣的保護機制下攻擊或破壞者只要找出其中最弱的一環，就可以完全瓦解整個保護機制

覆巢之下無完卵只要最弱的一環被瓦解，所有的政府重要資料都可能被竊取或破壞

沒有百分之百的安全必須對可能造成問題的弱點加以防護

3

3

什麼是資訊安全？什麼是資訊安全？

IntegrityAvailability

Confidentiality機密性

完整性可用性

資訊安全在保護單位的資訊資產，避免遭受各種威脅及降低可能危害，確保單位永續運作

4

4

什麼是資訊安全？什麼是資訊安全？ (( 續續 )) 機密性：確保資料受到妥善保護，只有經授權的人，方能允許存取資訊

保護業務上機敏資料 ( 如元首出訪行程、人事資料、機密公文等 ) 保護個人隱私資料 ( 如身分證字號、出生年月日等 ) 保護網路傳送資料之機密性 ( 如信用卡號碼等 )

5

5

什麼是資訊安全？什麼是資訊安全？ (( 續續 ))

完整性：確保資料之正確性，不會被意外或蓄意改變 確保報稅資料在傳送過程中不被竄改 確保網頁資料不被竄改 確保資訊系統資料不被竄改

6

6

什麼是資訊安全？什麼是資訊安全？ (( 續續 ))

可用性：確保所有經授權的使用者，在需要時，均可以獲得相關資訊或服務 確保網站服務 24 小時不間斷 確保網際網路服務 24 小時不間斷

7

7

其它安全性服務其它安全性服務 不可否認性 (Non-repudiation)

防止存心不良的使用者否認其所做過的事，例如收發電子公文、線上交易等 鑑別性 (Authenticity)

如何辨別使用者身份，例如帳號、身份字號、自然人憑證等 可歸責性 (Accountability)

所有資訊資產應有專人負責管理，且管理紀錄必須是可追溯的 可靠性 (Reliability)

資訊的正確性與系統運作穩定度

8

8

　　資訊安全的挑戰資訊安全的挑戰 高階主管的支持 員工的資安意識 不方便 時間 人力 財力

9

9

推動資訊安全認知與訓練推動資訊安全認知與訓練 人們無法正確認知及看待風險 電腦系統有一項危機是它們很少出錯，以致於出錯時，人們不知道該如何處理 人們要求安全，可是又怕麻煩 「使用者相信電腦」這樣的想法有危險性 人類能做出聰明的安全決定是受到質疑的 內賊難防 社交工程學難防 人員通常是資訊安全上最弱的一環 所有人員均應建立資安意識與認知 所有人員均應依所負責職務不同接受適當的資安訓練

10

10

威脅 詐騙

實體破壞

非法存取資料 個資外洩無法正常提供服務 機密資料被竊取 電腦遭竊

駭客內賊

非法入侵

風險

天然災害偷竊

使用者遭詐騙網頁遭竄改

資通安全的威脅資通安全的威脅 vsvs 風險風險

11

11

面臨的資安威脅種類面臨的資安威脅種類P2P 分享軟體、無線網路風險、社交工程攻擊、網頁掛馬、網站釣魚、隨身碟風險、社群網絡等

資安威脅不斷

12

12

當前政府當前政府資安威脅資安威脅模式翻新模式翻新應變不易應變不易設備微型設備微型管理不易管理不易

社交工程社交工程防不勝防防不勝防

公務家辦公務家辦擴增風險擴增風險

鎖定目標鎖定目標精準攻擊精準攻擊

認知不足認知不足警覺不夠警覺不夠駐外機構駐外機構鞭長莫及鞭長莫及 人力預算人力預算專業不足專業不足

當前政府資安威脅當前政府資安威脅

13

13

政府機關資料外洩主要管道政府機關資料外洩主要管道 以社交工程手法寄發惡意電子郵件 網頁惡意掛馬：網頁插入惡意連結內容，使用者不自覺下載惡意程式 外接式儲存裝置安全問題 使用 P2P軟體、 IM (Instant Message)即時通訊軟體、社群網站可能造成個人資料外洩風險

14

14

收收 E-mailE-mail 可能的風險可能的風險

1. 駭客設計攻擊陷阱程式 ( 如特殊Word 檔案 )

2. 將攻擊程式埋入電子郵件中3. 寄發電子郵件給特定的目標

4. 受害者開啟電子郵件5. 啟動駭客設計的陷阱，並被植入後門程式

6. 後門程式逆向連接，向遠端駭客報到

Internet

7. 遠端駭客進行資料竊取

15

15

「社交工程」攻擊定義「社交工程」攻擊定義 利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法 早期社交工程是使用電話或其他非網路方式來詢問個人資料，而目前社交工程大都是利用電子郵件或網頁來進行攻擊 透過電子郵件進行攻擊之常見手法

假冒寄件者 使用與業務、時事相關或令人感興趣的郵件內容 含有惡意程式的附件 利用應用程式之弱點 (包括所謂零時差攻擊 )

16

16

社交工程攻擊之防範社交工程攻擊之防範 建立社交工程防範技術措施 (Engineering) 辦理相關宣導及法治認知 (Enforcement) 加強資安訓練與演練 (Education)

17

17

使用者防護停看聽使用者防護停看聽 (1)(1)

停 ─ 使用任何電子郵件軟體前，必須先確認以下設定 必須安裝防毒軟體，並確實更新病毒碼 審慎開啟郵件及其附件或連結 必須取消郵件預覽功能，避免無意開啟郵件 設定過濾垃圾郵件機制 建立電子郵件驗證機制 ( 推動電子識別證 )

18

18

使用者防護停看聽使用者防護停看聽 (2)(2)

看 ─ 收到郵件後，必須注意 郵件主旨是否與本身業務相關 其餘郵件不建議開啟，如需開啟應確認郵件來源

聽 ─ 若懷疑郵件來源，必須進行確認 透過電話或電子郵件向寄件人於開啟前確

認郵件真偽

19

19

上網可能面對的風險上網可能面對的風險

網站 server

掛馬

用戶

駭客惡意程式網站

瀏覽網頁

導向惡意程式網站下載並安裝惡意程式遙控受害電腦

20

20

惡意網頁─網頁掛馬惡意網頁─網頁掛馬 駭客入侵 ( 知名的 ) 網站，在不更動原

有的畫面下，修改網站內容，加入惡意程式碼

使瀏覽該網站的使用者被植入惡意程式 進而竊取個人資料或當成跳板主機 平均每日可偵測到 29,700 個新感染的惡意網站 (約 70%合法網站含惡意程式 )

21

21

最新被掛馬網站最新被掛馬網站

資料來源：資安之眼 (http://www.itis.tw/)

2010-03-19 www.x-linkage.com.tw 彪網電子商務科技股份有限公司2010-03-19 www.genuine.tw 京典國際資訊2010-03-19 www.high-top.com.tw 煜頂精密股份有限公司2010-03-19 ll-gdb.com.tw 吉得堡早餐連鎖加盟2010-03-19 dogbaby.com.tw 小寶貝寵物安親班2010-03-19 woman.utchat.com.tw 慾望城市聊天室2010-03-19 summitek.com.tw 正晟科技有限公司 2010-03-19 a3.com.tw 昱立科技2010-03-19 powervison.com.tw 全威創意媒體2010-03-19 jetsignal.com.tw 傑 信工業股份有限公司2010-03-19 www.izumi.com.tw IZUMI 美麗健康之活泉2010-03-19 www.leemama.com.tw 李媽媽艾草之家2010-03-19 torls.com.tw 陶斯髮型美學館2010-03-19 taiwandirectory.com.tw 台灣目錄網2010-03-19 wfda.org.tw 中華民國世界土風舞總會2010-03-19 kksc.com.tw 超鴻科技有限公司

22

22

網頁掛馬的危害網頁掛馬的危害 對網站擁有者而言

因管理不善導致他人被入侵而負上法律責任 商譽的損失

對一般使用者而言 資料失竊

隱私資料、信用卡資料、線上遊戲虛擬寶物等 被當跳板主機

可能面臨法律責任

23

23

網站惡意掛馬預防方法網站惡意掛馬預防方法安裝修補程式使用防毒軟體不隨意瀏覽網站提高 IE 的安全性設定，停用 Script和 ActiveX 元件下載經常檢視重要機器其開機執行程序狀態，例如：使用 ProcessExplorer 、 Autoruns 等程式或其它廠商開發之工具來比對降低網頁瀏覽權限危機意識與正確的資安觀念

24

24

外接式儲存裝置 外接式儲存裝置 USB隨身碟 (USB 大姆哥 ) USB 外接硬碟 數位相機或行動電話記憶卡 (CF 、 SD 、

MMC 等 ) MP3隨身聽 光碟片 (CD 、 DVD) 其它 USB 儲存裝置

25

25

USBUSB隨身碟的風險 隨身碟的風險 自動播放：尋找 Autorun.inf檔案，並執行該檔案所描述之動作，會自動執行惡意程式並將惡意程式複製至系統磁碟機內，再進一步擴散

感染

用戶 A 用戶 B

擴散

26

26

隔離網路設備感染方式 隔離網路設備感染方式

感染

外網 內網

感染

偷竊 偷竊

27

27

網路犯罪案例網路犯罪案例 (1/4)(1/4) 網路色情類型－散布或販賣猥褻圖片的色情網站

據報載，有一高中生開設色情網站，以招募會員的方式，提供會員觀賞猥褻圖片，半年內賺了一百萬元，但終被警方查獲 另外，報上也指稱警方破獲台灣地區最大的 GOG

O「浮聲豔影」色情貼圖網站，該網站並跨國連結上百個國外色情網站，且提供未成年少年少女色情圖片，供網友上網觀看 開設色情網站的行為觸犯兒童及少年性交易防治條例第 33條「電腦網路散播色色情廣告」罪及刑法第二百三十五條「散布猥褻圖畫影像」罪。如果所提供的是未滿十八歲之人的猥褻圖片，則觸犯了兒童及少年性交易防制條例第二十八條第一項的罪

28

28

網路犯罪案例網路犯罪案例 (2/4)(2/4) 網路煽惑他人犯罪－網路上教製炸彈

民國 86 年 9 月，某私立大學資訊系陳姓學生，在學校網站建立「無政府份子文件集」個人網頁。他並將國外相關討論群組中介紹各種炸藥製造方法、過程與威力的文章，轉載張貼於個人網頁上，供不特定人觀看、討論 由於各類炸彈或爆裂物非經中央主管機關許可，任何人不得製造，若有未經許可為製造者，即屬犯罪，對於該行為人應依槍砲彈藥刀械管制條例第十一條規定科以刑責 台北地院認為陳姓學生將介紹炸彈等爆裂物之製作方法的文章轉載張貼在其個人網頁上，顯係刺激慫恿他人犯製造炸彈等爆裂物之犯罪，而該個人網頁並未設定密碼，不特定人進入電腦網際網路後，均得任意再進入陳姓學生之個人網頁閱覽上開文章，陳姓學生刺激慫恿之煽惑行為已置於不特定人得以共聞共見之公然狀態，係觸犯刑法第一百五十三條第一款之以文字公然煽惑他人犯罪，且因其先後多次以文字公然煽惑他人犯罪之犯行，時間緊密，犯意概括，為連續犯，以一罪論，並加重其刑，結果是判決十個月，緩刑三年，並交付保護管束

29

29

網路犯罪案例網路犯罪案例 (3/4)(3/4) 網路誹謗與公然侮辱－邱姓學生誹謗教授案

邱姓學生於 86 年 9 月補修趙姓教授的課程，因不滿趙姓教授的教學及考試方式，於同年 11 月兩度在網際網路校園版的電子布告欄上，以「另一種形式之強暴」為題，張貼文章，指摘趙姓教授利用學生上課作成之摘要、抄襲學生所作之報告，作為學術論著。邱姓學生並另以大字報的方式將文章張貼於政大的言論廣場上 台北地院認為邱姓學生的行為同時觸犯刑法三百零九條第一項的公然侮辱罪，與三百十條第二項的加重誹謗罪，為想像競合犯，應從一重（加重誹謗罪）處斷。且因被告前後兩次誹謗行為，為連續犯，以一罪論，並加重其刑。判決結果是處邱姓學生拘役五十五天

30

30

網路犯罪案例網路犯罪案例 (4/4)(4/4) 「放颱風假一年」 國三生惡搞 【 2010/09/23 聯合報】

凡那比颱風期間，網路出現偽冒人事行政局發布各縣市停班停課「一年」的假網頁，刑警局循 IP 位址追查，9 月 22 日凌晨傳喚國中三年級的吳姓學生到案，吳稱一時好玩，搞出「放颱風假一年」的惡作劇

偵九隊深入追查，發現假網頁的 IP 位址在台北市內湖區的家用電腦，鎖定就讀國三的吳姓學生涉案。吳姓學生說，他下載人事行政局的網頁原始檔案，修改後上傳到自己的部落格，沒想到被網友重覆轉貼散播 刑事局偵九隊長李西河說，吳姓學生在校成績中等、略顯叛逆，雖然是惡作劇，但他篡改人事行政局網頁，仍依偽造文書罪嫌函送法辦

31

31

案例分析案例分析 11 考生遭冒填志願大學分發擬採自然人憑證【資料來源：自由時報 98/8/9】

大學考試入學分發放榜前，○○高中彭姓學生疑因日常嫌隙，自掏腰包多花 210 元繳登記費，冒用身分為同班盛姓同學選填志願，但因只填了國立台灣大學醫學系一個志願，導致盛同學高分落榜，分發委員會表示，盛同學可以外加名額方式重新分發，分發會也會檢討志願登記流程 大學考試現行的登記方式是考生繳款成功後，就可取得繳款帳號及考生通行碼，考生在開放登記志願時間內上網登入選填系統，利用身分證字號、指考准考證號碼、繳款帳號與通行碼四種號碼，才可選填志願 受害學生父親認為，身分證字號在許多場合都會公開，准考證號碼則是考區試場與座位的編號，繳款帳號與通行碼也只要買一本分發資訊，「這四個號碼都不具密碼功能，也不能由考生變更」有違資訊安全的基本原則 彭同學冒名填志願的事件，凸顯大學選填志願流程的資訊安全保護不足，大學分發會考慮改採「自然人憑證」方式，以確保學生權益

32

32

重點摘要重點摘要 自然人憑證足以辨識使用者身份，可以避免身分被冒用 帳號密碼的設定，應該避免使用他人容易取得的資料，以確保資訊安全 個人應該妥善保管個人資料，避免被有心人士作為他用

33

33

法律觀點法律觀點 (1/2)(1/2) 本案例涉嫌以盛姓學生身分證字號及指考准考證號碼，及購買分發資訊即可取得的繳款帳號與通行碼，冒用盛姓學生名義登入大學考試入學分發網站選填志願，屬於無故輸入他人帳號密碼，入侵他人電腦及相關設備，可能會構成刑法第 358 條入侵電腦罪，可能面臨 3 年以下有期徒刑之刑責 在這個資訊化時代，過去必須以人工處理的工作，現在都可以透過電腦來處理，不但可以節省人力、時間及成本，也可以提高事情處理的準確度 但是電腦的使用往往是透過輸入帳號及密碼來登入，只要能夠輸入正確的資料，就能夠登入系統並行後續作業，換言之，電腦是認帳號密碼，而不是認人，所以帳號密碼的安全性顯得非常重要

34

34

法律觀點法律觀點 (2/2)(2/2) 本案例突顯帳號密碼安全性的問題。大學指考填選志願，必須輸入個人身分證字號、准考證號碼、繳款帳號及通行碼。前兩者是屬於個人資料，但身分證字號及准考證號碼均屬於容易取得的資料，至於繳款帳號及通行碼，只要購買分發資訊就可以取得，繳款帳號與通行碼並未與考生個人身分作連結，是以冒用身分填選志願並非難事 為防止類似事件發生，可以考量以自然人憑證作為身分驗證的工具。自然人憑證相當於網路身份證，以自然人憑證作為個人身分確認工具，將是對於個人資料保護大幅度提升保護強度。而個人只須要妥善保管自然人憑證，就可以避免遭他人冒用，可以提高資訊的安全性，避免類似事件再度發生。不過應注意的是，自然人憑證目前申請核發年齡為 18 歲，對於未滿 18 歲之考生應如何處理，也是這個機制可以再考量或與自然人憑證管理中心協商的地方

35

35

管理管理 TipsTips 使用者申請註冊程序：大考中心應再衡量於申請過程當中使用者所提出身分證明文件是否適當，是否僅為註冊者自己知曉或可取得之識別，若是透過網路申請，可於寄送准考證或成績單之時另付一識別碼或密碼或使用自然人憑證註冊，均可加強身份之識別 使用者登入程序：應考量更能確認使用者身分之登入驗證機制，可同上採用自然人憑證做為身分識別之方式，惟此案例中係從註冊時即為冒名註冊，此部分做法較無法預防上述案例，但因注意 使用者個人資料之保存：使用者應於平日即多注意個人資料之保存與使用，如身分證字號、生日及電話，以免遭有心人士利用，另密碼的選用也應避免採用以上的資訊

36

36

案例分析案例分析 22 設計假網頁牟利，小駭客才十七歲【資料來源：中國時報 97/8/20】

就讀某高中的「小可」扮網路駭客，受人委託製作假網頁（即釣魚網站）程式牟利，刑事局偵九隊到住處查緝時，他稱不知道遭人利用。警方依妨害電腦罪將「小可」等人函辦 17歲的「小可」 2 年多前迷上設計駭客程式，加上主修資訊，專研電腦程式設計，很快的就在駭客界小有名聲。 97 年 2 月間，因販售木馬程式與開設「網路徵信社」盜取他人帳號與密碼被判刑的嫌犯許○○，以 4,000 元的代價請「小可」幫忙設計「奇摩」與「無名小站」假網頁程式，讓「小可」成為警方查緝的目標 許○○利用該網站騙取 236 個帳號與密碼，已由奇摩通知被害人修改，減輕損害

37

37

重點摘要重點摘要 小可設計駭客程式，製作假網頁牟利，已經觸犯「刑法」妨害電腦使用罪章的第 362 條製作犯罪電腦程式罪 未滿 18 歲之人刑事犯罪，應依「少年事件處理法」之規定辦理 使用電腦網路雖便利，但仍要提高警覺，以免被人竊取資料，造成嚴重損失

38

38

法律觀點法律觀點 (1/2)(1/2) 台灣號稱科技之島，有著蓬勃的資訊產業與技術人才，由於電腦網路之使用便利，截至民國 97 年 1 月 31 日為止，台灣地區上網人口已突破 1,500 萬人，個人上網部分 (12 歲以上民眾 ) 上網率達 68.51％。這樣的數據除肯定台灣網路發展成效與資訊操作能力的普遍提升外，更值得注意的是網路對日常生活的影響。因此，日後除重視更多元的網路應用軟體與創新服務內容發展外，還應該包括相關的網路規範與權利義務，避免網路便利帶來的副作用 很多人由於從小接觸電腦，年紀很輕就擁有高超的電腦技術，可是由於心智還不成熟，或是過份沉溺於電腦網路世界，對於外界的事務，缺乏適當的認知，於是往往誤用技術，被人利用而不自知，成為網路犯罪集團的一份子或幫凶

39

39

法律觀點法律觀點 (2/2)(2/2) 以本案的小可而言，年紀輕輕僅 17 歲，就有高超的電腦程式設計功力，卻被犯罪集團利用，為其設計假網頁（即釣魚網站）程式。小可的行為因為是設計供犯罪集團使用的程式，至少已經觸「刑法」妨害電腦使用罪章第 362 條製作犯罪電腦程式罪，而如果小可知道他所設計的「奇摩」與「無名小站」假網頁程式，是為與犯罪集團一同竊取帳號與密碼，更有可能與犯罪集團構成「刑法」第 359 條破壞電磁紀錄罪的共同正犯。由於小可尚未滿 18歲，還是少年，因此他的犯罪行為會依照「少年事件處理法」的規定，由少年法院審理 電腦網路使用雖然便利，但是也潛藏著風險，為避免被人竊取帳號與密碼等資料，造成重大的損失，平常使用網路就應該提高警覺，不隨便下載不明程式，不上不熟悉的網站，才能安心享受電腦網路帶來的便利

40

40

管理管理 TipsTips

應實作防範惡意碼的監測、預防及復原控制措施以及適切的使用者認知程序 網路應適切地加以管理與控制，使其不受威脅，並且維護使用網路的系統與應用程式的安全，包括輸送中資訊

41

41

個人資料保護法個人資料保護法 99 年 4 月 27 日立法院三讀修正通過， 5 月 26日總統公布 為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。 ( 個人資料保護法第 1條 )

蒐集：指以任何方式取得個人資料 ( 個人資料保護法第 2條第 3款 ) 處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送 ( 個人資料保護法第 2條第 4款 ) 利用：指將蒐集之個人資料為處理以外之使用 ( 個人資料保護法第 2條第 5款 )

42

42

個人資料範圍個人資料範圍 個人資料：係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別個人之資料 個人資料若非自主地被揭露於外界，如同個人隱私遭受侵犯，將對當事人形成困擾而造成負擔，故需加以保護

43

43

個人資料保護法修正重點個人資料保護法修正重點 (1/5)(1/5) 擴大保護客體

為落實對個人資料之保護，將保護客體予以擴大，將非經電腦處理之個人資料 (即人工資料 ) 一併納入保護 普遍適用主體

刪除非公務機關行業別之限制，使任何自然人、法人或其他團體，除為單純個人或家庭活動之目的而蒐集、處理或利用個人資料外，皆須適用本法 公務機關及非公務機關，在中華民國領域外對中華民國人民蒐集、處理或利用個人資料者，亦適用本法

44

44

個人資料保護法修正重點個人資料保護法修正重點 (2/5)(2/5)

增修行為規範 增訂醫療、基因、性生活、健康檢查及犯罪前科等五類資料為特種資料，除符合法定要件外，原則上不得蒐集、處理或利用 書面同意內涵明確化，特定目的外利用個人資料需當事人書面同意者，應另以單獨書面同意方式為之 不論是直接或間接蒐集資料，除符合得免告知情形者外，均須明確告知當事人蒐集機關名稱、蒐集目的、資料類別、利用方式、資料來源等相關事項 違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除或停止蒐集、處理或利用其個人資料 從事商品行銷之非公務機關，應於首次行銷時免費提供當事人表示拒絕之方式

45

45

個人資料保護法修正重點個人資料保護法修正重點 (3/5)(3/5) 強化行政監督

為加強防制個人資料之濫用，中央目的事業主管機關或直轄市、縣（市）政府，發現非公務機關違反本法規定或認有必要時，得派員攜帶執行職務證明文件，進入檢查，如發現有違法情事，並得採取必要處分 促進民眾參與

為結合民間力量，發揮本法保護個人資料之功能，財團法人或公益社團法人符合本法規定者，得提起團體訴訟，以協助隱私權益遭侵害之當事人進行民事或行政救濟

46

46

個人資料保護法修正重點個人資料保護法修正重點 (4/5)(4/5)

調整責任內涵 民事責任：提高基於同一原因事實應對當事人負損害賠償責任之總額 2億 ( 被害人不易或不能證明其實際損害額時，得請求法院依侵害情節以新臺幣 5 百元以上 2 萬元以下計算 ) 刑事責任：非「意圖營利」者得科處 2 年以下有期徒刑 (告訴乃論 )；「意圖營利」者得科處 5 年以下有期徒刑 (非告訴乃論 ) 行政責任：非公務機關之代表人、管理人或其他有代表權人，除能證明已盡防止義務者外，並應課以同一額度之罰鍰，以加強其監督之責任

47

47

個人資料保護法修正重點個人資料保護法修正重點 (5/5)(5/5)

隱私保護與新聞自由之平衡 本法乃個人資料保護之基本法律，惟新聞自由的尊重，乃現代民主國家的重要表徵，為期兼顧「個人隱私」與「新聞自由」之平衡，對於大眾傳播業者基於新聞報導之公益目的而蒐集個人資料，自得免為告知當事人；另外，與公共利益有關或個人資料取自於一般可得之來源者，非公務機關對個人資料亦得為蒐集或處理

48

48

個人資料保護生命週期個人資料保護生命週期

傳遞

蒐集

處理

利用

儲存

個人隱私資料

資料銷毀

管理 技術稽核程序

政策運作

控制 加密 存取流程

防禦審查 矯正 監督檢查

規劃 執行

改善 檢查

49

49

個人資料保護作法個人資料保護作法 個人資料資訊分類分級，依等級不同採取不同管控措施

存取權限 加密機制 必要時採取網路隔離

筆記型電腦、行動隨身碟等儲存設備因攜帶方便、容易遺失，應設定密碼保護或資料加密，並儘可能避免存放機密公務資料，並妥善保管 避免將個人基本資料放於網路上流傳或散播

50

50

資訊安全資訊安全、、人人有責人人有責 資訊單位：建構安全的系統與環境 業務單位：遵守安全規定使用系統 稽核單位：依據規定獨立稽核是否落實執

行 人事單位：協助資安組織與人力建置 會計單位：協助籌編預算 政風單位：公務機密維護

51

51

結語結語 我國政府機關資安威脅趨勢

結合社交工程攻擊為我政府機關公務資訊遭竊之最主要威脅 鎖定目標、假冒身份及公務相關訊息之偽冒電子郵件防不勝防 各機關對外服務之系統安全已有顯著進步，但網站應用程式安全仍存有漏洞

個資法通過後對政府機關造成影響與衝擊，相關權責主管機關應妥善研擬相關配套措施

52

52

結語結語 (( 續續 )) 政府資訊安全工作除了健全的基礎設施外，最重要的是先做好個人的資訊安全，只要機關同仁養成良好的使用習慣，人人隨時做好資訊安全第一線防護，機關內部資訊安全就能得到保障，進而提升我國整體資訊安全防護 資通安全不僅是「技術」問題，更重要的是「管理」議題，如何建立資安政策、規範及相關規定，以及如何落實執行，並建立資安意識定期演練

53

53

參考網站參考網站 技術服務中心

http://www.icst.org.tw/ 政府資安作業共通規範

http://www.giscc.org.tw/giscc/ 電子化政府網路文官學院

http://elearning.nat.gov.tw/ 資安法律案例宣導彙編

http://www.icst.org.tw//點選「技術文獻」 (再點選「法律彙編」 ) 線上安全網

http://www.icst.org.tw/online_security/home.htm 資安宣導影片

http://www.youtube.com/icstwebmaster?gl=TW&hl=zh-TW

54

54

報 告 完 畢報 告 完 畢敬 請 指 教敬 請 指 教