个资法修正之可能冲击.ppt

簡報完畢 * * * 要點整理： 資料分級分類 資料存取政策與資料使用規範 加強網頁應用系統的安全性 加強端點安全防護 定期稽核 * * 99年度證券商資安宣導 如何防範企業機敏資料外洩 簡報大綱 資料外洩與個資法修正草案 常見資料外洩類型案例 個資法修正之可能衝擊 電子資料外洩管道 管控制度規劃與稽核要點 問題與討論 * 常見資料外洩類型案例 * 國外資料外洩案例 美國聯邦交易委員會(FTC)：發現約百家企業組織之客戶或員工資料於P2P網路流傳 – 2010.02.23 美國藍十字與藍盾協會員工筆電遭竊， ，10萬名醫生個資外洩 – 2009.10.16 美國軍方將硬碟送修時忘了銷毀硬碟資料，而該硬碟儲存了7600萬筆退休軍人的資料 – 2009.10 * 國外資料外洩案例 日本住友生命1652名職員資料於P2P管道洩漏 – 2009.07.31 柏克萊大學學生保健服務中心伺服器遭駭客入侵，16萬筆醫療個資(包含社會安全碼)外洩 – 2009.05.11 歐巴馬專用直昇機的詳細資料，包括飛機藍圖以及航空電子設計，在P2P上流出 – 2009.03.02 * 國內資料外洩案例 東森購物八千筆客戶交易資料外洩，包括完整姓名、連絡電話、寄送地址、信用卡詳細資料– 2009.06 大正資訊標到國中基測相關業務後，將考生資料以100萬元至180萬元的金額多次販售給補教業者 – 2008.06.15 * 國內資料外洩案例 東森休閒育樂公司離職經理，涉嫌從公司帶出7萬多筆客戶資料，並分別賣出4次 – 2008.01.24 刑事局偵九隊破獲駭客入侵網路銀行之客戶電腦盜領存款案，20萬筆個人帳號密碼遭竊，被盜領金額200餘萬元 – 2004.06 * 2010美國身分竊盜資源中心(ITRC) 類別 案件數 外洩資料數 平均每件 外洩資料筆數 單件最大 外洩資料筆數 銀行/信用卡/金融 28(4) 1,812,006(2) 64,715(1) 1,200,000(2) 商業 81(1) 3,789,639(1) 46,773(2) 3,300,000(1) 教育 18(5) 226,284(4) 12,571(3) 170,000(3) 政府/軍方 34(3) 280,829(3) 8,260(4) 80,000(4) 藥品/醫療 57(2) 147,436(5) 2,587(5) 21,000(5) *括弧中為排名 * 個資法修正之可能衝擊 * 個人資料保護法之衝擊 企業需負舉證責任 除能證明無故意或過失，否則需負損害賠償責任 每人每一事件新台幣五百元以上二萬元以下(若能證明其損害賠償金額則更高) 同一原因事實合計最高總額二億 * 電子資料外洩管道 * 資料外洩管道簡圖 網頁應用程式 資料庫 外部防火牆 內部防火牆 網頁應用程式防火牆 資料庫稽核系統 數位權限管理系統 網際網路 內部網路 員工 合作廠商 客戶 稽核人員 外部防火牆 員工 下班 * P2P軟體使用不當(1/2) 網際網路 內部網路 員工 外部防火牆 員工 下班 * P2P軟體使用不當(2/2) 數位權限管理系統(DRM) 網際網路 內部網路 員工 稽核人員 外部防火牆 員工 下班 * 資料傳遞管道不安全(1/2) 網頁應用程式 資料庫 外部防火牆 內部防火牆 網際網路 內部網路 員工 合作廠商 客戶 員工 下班 * 資料傳遞管道不安全(2/2) 網頁應用程式 資料庫 外部防火牆 內部防火牆 網際網路 內部網路 員工 合作廠商 客戶 稽核人員 員工 下班 https 3DES 數位權限管理系統(DRM) * 應用程式的安全弱點(1/2) 網頁應用程式 資料庫 外部防火牆 內部防火牆 網際網路 內部網路 合作廠商 客戶 員工 SQL注入、跨站腳本、認證機制不良等 * 應用程式的安全弱點(2/2) 網頁應用程式 資料庫 外部防火牆 內部防火牆 網頁應用程式防火牆 網際網路 內部網路 合作廠商 客戶 稽核人員 員工 SQL注入、跨站腳本、認證機制不良等 * 病毒、蠕蟲、木馬程式(1/2) 網頁應用程式 資料庫 外部防火牆 內部防火牆 網際網路 內部網路 員工 合作廠商 客戶 外部防火牆 員工 下班 * 病毒、蠕蟲、木馬程式(2/2) 網頁應用程式 資料庫 外部防火牆 內部防火牆 網頁應用程式防火牆 資料庫稽核系統 網際網路 內部網路 員工 合作廠商 客戶 稽核人員 外部防火牆 員工 下班 數位權限管理系統(DRM) * 人員監守自盜(1/2) 網頁應用程式 資料庫 外部防火牆 內部防火牆 網際網路 內部網路 合作廠商 客戶 外部防火牆 員工 * 人員監守自盜(2/2) 網頁應用程式 資料庫 外部防火牆 內部防火牆 數位權限管理系統 網際網路 內部網路 合作廠商 客戶