資訊安全管理及個人資料保護宣導 課程 新版個資法討論說明 校內工作中, 如何保護使用個資隱私? 網路社會中, 如何保障自己的個資隱私? 總結
資訊安全與個資法 在台灣平均一個小時就有兩位民眾, 因個人資料外洩, 慘遭網路 電信詐騙 台灣因以為傲的寬頻網路, 是國際駭客眼中的肥羊, 更是有心駭客攻擊國際網站的灘頭堡 原本個資法只規範八種特定行業, 新版個資法是所有行業 個人一體適用 新個資法重要修正及日期 2010/04/27 個人資料保護法三讀通過總統正式公告之後, 有一年的時間可以因應 電腦處理個人資料保護法 修正為 個人資料保護法 的意涵 : 資料類型與範圍 - 電子 非電子 欄位 處理與利用方式 - 用途與使用單位 資料蒐集與傳輸方式 電腦處理個人資料保護法 1995.08.11 2001~2004 個人資料保護法修正草案訂定立法院審議 個人資料保護法三讀通過 2010.04.27 2010.05.26 總統令公布個人資料保護法 施行細則公告 ( 法務部預定 ) 2011.11.25
個人資料保護法修訂方向 修訂法案共有 56 條, 名稱修訂為 個人資料保護法 修正方向 : 擴大保護客體 普遍適用主體 增修行為規範 強化行政監督 妥適調整罰則 促進民眾參與 第一章總則第二章公務機關第三章非公務機規範關規範第四章損害賠償級團體訴訟第五章罰則第六章附則 個人資料管理生命週期? 內部作業 資料安全重視程度 協同作業 蒐集 利用處理傳輸銷毀
個資內容涵蓋哪些? 個人資料 : 指自然人之姓名 出生年月日 國民身分證統一編號 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 醫療 基因 性生活 健康檢查 犯罪前科 聯絡方式 財務情況 社會活動及其他得以直接或間接方式識別該個人之資料 個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索 整理之個人資料之集合 個人資料無所遁形的時代 - 基本類不含公務機關合法持有之各類資料 食 : 個人信用卡 餐廳優待卡 行 : 記名悠遊卡 高鐵定期票 車輛登記 ETC 住 : 社區住戶資料 訪客進出登記 出差住宿資料 樂 : 快樂購卡 網路銀行帳號 電話登記 網路 ( 電視型 錄 ) 購物資料 育 : 課程報名資料 各類活動報名資料 各類保險資料 醫療隱私資料
學校對個人資料保護責任 校園重要的個人資料 教師人事 薪資 各式名冊 學生學籍 成績 輔導 健康 各式名冊 個人資料管理者的責任 紙本的管理責任 電子資料的管理責任 個資法的衝擊分析 數位與紙本資料一樣同等價值 形象與適法性的衝擊, 將不亞於財 務衝擊 專人管理與通報要求, 將改變個資 管理之流程與權責 須特別注意非標準法定業務之資料 蒐集與使用行為 ; 蒐集與使用範圍 須符合比例原則, 不逾越特定目的 之必要範圍
校內工作中, 如何保護使用個資隱私? 外部攻擊 VS. 內部竊取 來自於外部惡意程式攻擊學校電腦主機 ( 入侵 木馬 ) 社交攻擊 網路釣魚事件 自於內部竊取或不當使用 個資紙本資料 報廢電腦 光碟片 隨身碟 等 粗心或不當的使用者 = 惡意軟體
外部攻擊 VS. 內部竊取 未經授權的外部使用者 合法授權的內部使用者 資料外洩資料遺失或竊取 防制方法 : 防預未經授權使用者存取資料 資料外洩 不慎或蓄意洩漏 防制方法存取控制 稽核紀錄 攔阻外洩事件員工資安教育 個資管理作業存取控制 紀錄內部稽核 處理個資同仁注意事項 處理個人資料檔案之資訊設備, 需設置使用者 代碼及通行碼 設定螢幕保護密碼或使用完畢後, 應立即退出 禁止與他人共用電腦系統帳號 非專責處理特定個資者不存取或查閱其個資 交換 傳遞個資檔案應予以加密 定期備份資 料檔案
靜宜大學提供資料權責分析實例講解 要求資提供資料個資流出原因程序料單位單位權責 各系所 辦活動要幫學生保險, 提供給保險公司, 及製作緊急聯絡名冊 填具申請表格並經相關主管核准 計算機及通訊中心資安規格資料輸出後檔案加密提供 衛保組 需大一新生資料 填具申請表格 計算機及通訊 提供特約醫院為 並經相關主管 中心 學生健檢 核准 各老師 教學研究成果需要學生成績做教學佐證 填具申請表格並經相關主管核准 計算機及通訊中心 網路社會中, 網路社會中如何保障自己的個資隱私?
網路上的個資防護 網路相簿 網路購物 即時通訊軟體 電子郵件的傳送 接收. 網路相簿的個資防護 將相片放在網路上就安全嗎? 基本防護設定 : 我有設定 禁止按右鍵 另存照片 我有設定 相簿鎖密碼 過濾訪客 這樣應該就安全了吧! 雖然 禁止按右鍵無法另存照片但是可利用雖然 禁止按右鍵 無法另存照片, 但是可利用 抓檔軟體, 遠端下載
網路相簿的個資防護 使用 相簿鎖密碼 過濾來訪客, 沒有密碼就無法看圖? 重點是? 你確定你的密碼設定的很完善? 不會被有心人士隨便猜一猜就猜到猜就猜? 或者只要使用網路通通都設相同的密碼? 網路相簿的個資防護注意事項 不要上傳太私密的照片 相簿要記得鎖密碼 ( 英文大小寫 數字 特殊符號 ) 不要在網路相簿網站留下太多個人資料 想要上傳照片就要知道會有被他人下載及流傳的風險 就算照片放在硬碟內也是一樣, 當電腦維修時, 同時就是資料外洩的最好時機
網路購物的個資防護 網路購物有二大風險 : 購物網站本身 : 購物網站管理不當 ( 產生漏洞 植入木馬 ) 購物程式設計不當 ( 產生被人入侵的管道 ) 購物的流程管理不當 ( 經手訂單的員工 廠商疏失 ) 消費者本身 : 電腦本身遭受感染木馬被竊取 每個網站均使用同一組帳號及密碼而洩漏 誤入假的購物網站遭騙 於網拍貪小便宜匯款卻收不到 網路購物的個資防護 定期更改密碼 多留意購物網站的公告及新聞 做任何金融交易前, 請先確認所使用的電腦當時 環境是 [ 乾淨且無毒 ] 的 確認該 [ 購物網站 ] 網站是正確的 定期更新防毒軟體的病毒碼並搭配線上掃毒
提供個人資料前的思考 我的資料將會如何被使用及保存? 哪些人將會查閱我的資料? 我的隱私是否會受到保障? 基本認知註冊 登記或輸入個人資料時, 應注意該單位或網站的公信度 隱私權保護政策 資料加密方式等, 並只填寫必要的資料, 不要輕易洩露會危害自身安全的資料 識別你交易 ( 資料提供 ) 對象安全的簡易方法 - 觀察網站所取得的安全驗證
識別你交易 ( 資料提供 ) 對象安全的簡易方法 - 觀察網站資料輸入的方式 目前金融機構提供 WebATM 供使用者輸入密碼 使用虛擬的鍵盤 ( 每次登入後的數字排列會不一樣 ) 以防止 keylogger ( 鍵盤側錄 )! 如何知道是否感染蠕蟲或木馬 隨時注意網路動作是否不正常, 電腦未操作, 網路卻異常忙祿, 多數有問題 在工具列顯示網路連線的圖示, 可以由圖示燈號監看網路狀況 [ 控制台 ]/[ 網路連線 ]/[ 區域網路連線 ] 按右鍵點選 [ 內容 ]
可疑檔案上傳分析 : 利用各家防毒軟毒軟體的掃描引擎, 同時對單一一個檔案, 作是否為病毒 木馬檔案的分析可協助檢測確認檔案本身是否異常 VirusTotal: 免費線上病毒和惡意軟體掃瞄 http://www.virustotal.com/zh-tw/ tw/ VirSCAN.org: 線上防毒引擎掃描網站 v1.00 目前支援 36 款防毒引擎 http://www.virscan.org/ Online malware scan http://virusscan.jotti.org/ 防制 USB 病毒的有效的方法 打開原本防毒軟體掃描 USB 的功能或插入後先掃毒 由於 USB 病毒變種快又多, 請勤更新病毒碼 插入 USB 進入電腦請多留意是否有隱藏檔案 一但中毒除原來防毒軟體外可搭配 USB 病毒移除工具 天啊! 我的隨身碟又中毒了 http://anti-hacker.blogspot.com/2008/02/ithome.html USB 隨身碟病毒刪除法 http://anti-hacker.blogspot.com/2007/11/usb.html
個人電腦安全性的步驟 1. 評估使用電腦的風險, 減少安裝來路不明的程式 減少流 覽不當網站 2. 使用防毒軟體及防間諜軟體, 並搭配定期掃毒 3. 保持更新作業系統及應用程式等軟體為最新狀態 4. 公務與私人電腦分開 5. 建立穩固的密碼 密碼管理要確實密碼管理要確實 6. 檢查作業系統及 IE 安全性設定 使用個人 ( 單機 ) 防火牆 7. 盡量不要留個人資料到網站 計通中心對資安事件的處理程序 因個人行為或電腦安全受到侵犯, 而造成資安事件 如 : 未即時更新微軟系統或病毒碼, 或到不當的網站瀏覽下載等 計算機及通訊中心接獲外來檢舉或主動發現校內網路資安事件時, 會先電話通知發生主機所屬單位, 並依資安事件處理程序將資安事件處理單及佐證資料會該單位協助處理, 若電腦處理有問題可請計算機及通訊中心行政教學組協助 資安事件 ( 因個 人行為電腦安全 ) 接獲檢舉 發現告知 電話通知發生主機所屬單位 資安事件處理程序
結論 安全是相對, 不是絶對 世上沒有完美無瑕的安全 安全 政策 與安全 技術 是相輔相成 確保個資安全的關鍵就是 You 你 問題與解答