《资讯安全认知与相关法规介绍.ppt》由会员分享,可在线阅读,更多相关《资讯安全认知与相关法规介绍.ppt(63页珍藏版)》请在金锄头文库上搜索。
1、本簡報內容著作權為NII產業發展協進會所有,非經正式書面授權同意,不得將全部或部份內容,以任何形式變更、轉載、再製、散佈、出版、展示或傳播。1華梵大學華梵大學資訊安全認知與相關法規介紹資訊安全認知與相關法規介紹主官主官(管管)人員人員NII協進會 執行長 吳國維 2010/01/192教育體系資訊安全事件案例 行政院推動資訊安全現況說明資訊安全簡介高階主管扮演之角色資訊安全法令宣導大綱大綱3教育體系資訊安全事件案例 行政院推動資訊安全現況說明資訊安全簡介高階主管扮演之角色資訊安全法令宣導大綱大綱All Rights Reserved by NII產業發展協進會教育體系資訊安全事件案例教育體系資
2、訊安全事件案例 教育體系單教育體系單位位新聞日期新聞日期 新聞標題新聞標題新聞來源新聞來源 新聞網址新聞網址某大學講師 98.09.16假冒恩師發出求救e-mail 大學講師匯款被騙中廣新聞網http:/ 大二生辯研究同志蘋果日報http:/ 自由時報http:/.tw/2009/new/aug/9/today-life1.htm98.08.09大學分發會亡羊補牢資安不足擬改採自然人憑證自由時報http:/.tw/2009/new/aug/9/today-life1-2.htm98.08.09冒填志願者明送辦可處刑三年以下 聯合報http:/ 改情敵選課 自由時報http:/.tw/2009/
3、new/jul/17/today-so12.htm義守大學98.07.17好玩幫同學退選課惡作劇生被起訴TVBShttp:/.tw/news/news_list.asp?no=aj100920090716131732國科會98.06.27國科會網站洩1.8萬個資 身分證字號學號全都露離譜蘋果日報http:/ 台中縣教育處98.06.01台灣多所學校師生個資外洩 百度查得到 資安人http:/.tw/article/article_detail.aspx?aid=498198.05.30數百教師個資 百度看光光聯合報http:/ 高職生虐鳥PO網聯合報http:/ 慘遭破解永流傳自由時報http
4、:/.tw/2009/new/may/4/today-so9.htmAll Rights Reserved by NII產業發展協進會教育體系資訊安全事件案例教育體系資訊安全事件案例 教育體系單教育體系單位位新聞日期新聞日期 新聞標題新聞標題新聞來源新聞來源 新聞網址新聞網址台東縣興隆國小98.04.05 色情入侵教育網站 興隆國小無計可施資安之眼http:/www.itis.tw/node/2674某科技大學女學生98.04.03 轉貼猥褻文章 女大生罰萬元聯合報http:/ 4校長涉賣10萬學生個資 自由時報http:/.tw/2009/new/mar/21/today-fo2.htm98
5、.03.21 何必找校長? 學生個資 2元買得到 自由時報http:/.tw/2009/new/mar/21/today-fo2-2.htm某大學博士生98.01.13 PO性愛影片 博士生害博士女友聯合報http:/ Rights Reserved by NII產業發展協進會教育體系資訊安全事件案例教育體系資訊安全事件案例 教育體系單教育體系單位位新聞日期新聞日期 新聞標題新聞標題新聞來源新聞來源 新聞網址新聞網址稻江科技學院、政大97.11.23 學生個資外洩 稻江、政大急撤網頁 自由時報http:/.tw/2008/new/nov/23/today-life9.htm彰化縣政府教育處97
6、.11.19 彰化縣府網站 洩原民學生個資自由時報http:/.tw/2008/new/nov/19/today-complain2.htm中興大學97.10.24男友的前女友 惡搞我選課中興大學學姊報復學妹 上網刪除選課資料 觸五年罪刑 學妹不提告算了吧聯合報http:/eteacher.edu.tw/FocusDetail.asp?id=1412國中基測、高雄縣市及台北縣等多所國中校務系統與網站97.06.26 基測個資外洩案竄改3推甄生成績 交換個資聯合報http:/ 17歲駭客 竊80餘所國中個資中時電子報http:/ 國中基測考生資料外洩案 高中生駭客涉案 中央社http:/ 遭駭客
7、入侵 高市教育局加強網路機密維護中央社http:/ 基測個資外洩 教育部:制度面確實需檢討中廣新聞網http:/ 保障國中基測個資 呂木琳:資安認證盡量做中央社http:/ 國中基測資料外洩 31萬考生遭販售 資安人http:/.tw/article/article_detail.aspx?aid=446797.06.14 基測考生個資傳外洩教部調查台灣時報http:/.tw/html/modules/news/article.php?storyid=1035497.06.13 31萬基測考生個資 驚傳外洩NOWnewshttp:/ 稻江、政大急撤網頁 記者林曉雲台北報導又傳出學生個資被學校外
8、洩的個案!教育部大專院校弱勢學生助學計畫審查結果出爐,各大專院校陸續通知學生審查結果,卻發生稻江科技暨管理學院及國立政治大學將學生身分證字號、家庭年收入審核資料公布於校內網站供點閱,引發疑慮。稻江管理學院學務長林連禎表示,教育部審查結果出來後,為迅速且方便申請同學知悉,學校才會直接把審查結果公布在校內網頁上,不慎公布個人資料是無心之過。稻江共有五十一位同學通過審查獲得補助。政治大學學務處則表示,今年度的獎助學金辦法有修正,為確保學生收到訊息,且讓未通過審查的學生可儘早提出申訴,才會在網路上公告身分證字號及審核結果。稻江管理學院受到質疑之後,廿日緊急撤掉網頁上的公告,改以電話個別通知落選學生,並
9、在網頁上公告審核結束的通知,讓申請學生自行查詢;政大也在廿日撤掉網頁的文件連結,另採適當方式公告。不過,政大學生會會長羅羿表示,學校本來就該公告結果,若個別通知,恐有黑箱作業的疑慮,學校僅公告身分證號碼,未公告學生姓名及系級,可以保護家境清寒的學生免於曝光,技術上來說,還算安全。教育部高教司副司長楊玉惠表示,學生個人隱私不應該被公布在網路上,學生的身分證號碼可能會被有心人士作不當使用,要告知審查結果,還有更他安全而隱密的方法,學校把審查結果公布在網路上是一種偷懶的方式,並不妥當。教育部高教司科長蔡忠益說,以教育部的立場,無權要求學校制定一套制式的公告文件程序。今年度教育部的弱勢學生助學計畫更改
10、做法,採級距式補助,補助級距分為五級,補助金額為五千到三萬五千元,以減輕弱勢學生籌措學費的負擔。台灣大學一向以電子郵件通知申請獎助學金的學生,不會在網頁上公告相關資料,並另設一套線上服務系統,提供申請學生登記及查詢。學生個資外洩學生個資外洩 稻江、政大急撤網頁稻江、政大急撤網頁All Rights Reserved by NII產業發展協進會8教育體系資安事件歸納教育體系資安事件歸納技術面制度面認知面資源不足人力經費網頁遭竄改資料庫被入侵系統登入機制被破解系統或網路服務中斷垃圾郵件資料外洩相簿破解刊登色情照片/影片侵權 MP3/文章下載網路誹謗網路交易糾紛網路釣魚網路詐騙個資外洩未建立資安管理
11、制度資安管理制度未落實強化系統安全落實之管理制度執行易於操作與增進資安意識認知教育訓練9教育體系資訊安全事件案例 行政院推動資訊安全現況說明資訊安全簡介高階主管扮演之角色資訊安全法令宣導大綱大綱All Rights Reserved by NII產業發展協進會l依據: 國家資通安全會報第十五次工作小組會議紀錄事項辦理。 l目的: 國家資通安全會報為明確各政府機關(構)資訊安全責任等級分級作業流程,特訂定各政府機關(構)資訊安全責任等級分級作業施行計畫,透過有效的資訊安全管理,來防止資訊受到潛在威脅的破壞,進而全面提升國家資通安全防護水準,以管理手段考量主客觀之形勢,明確律定資安等級之規範。 l
12、施行對象: 中央各政府機關(構)(含五院所屬機關(構))。 行政院國家資通安全會報核定納管資通安全重要資訊系統。 各主責機關業管機構涉及民眾權益之重要資訊系統。 政府機關政府機關(構構)資訊安全責任等級分級作業施資訊安全責任等級分級作業施行計畫行計畫(一一)All Rights Reserved by NII產業發展協進會l政策方向政策方向政策: 建立以管理機制配合技術支援服務,要求各單位建立資訊安全長(CISO)責任制度(各政府機關(構)主管資通安全業務之副首長應負起兼任資訊安全長一職之工作,協助首長落實資安維護的責任制度),應掌握重點保護標的確實作好資安防護。 目的: 為強化政策擬訂,各單
13、位之資安防護需不斷發展,各政府機關(構)應肩負起自身管理及建立資安專業制度,培育相關人才,並透過有效的資訊安全管理,針對潛在威脅有效保護資訊,以全面提升國家資通安全防護水準。 制定: 為避免混淆及考量使用習慣,各單位仍以由高至低之A、B、C、D分級,事件則以由輕至重之14級區分,因各種標準所採用的評估方式與安全需求不同,故依照每個標準所劃分的安全等級亦有所不同;凡涉及國家安全及民眾權益之敏感資料及相關重要資訊系統,皆為保護標的物,以防護單位作為區分等級之標準。 規劃原則: 以建立管理機制並配合技術支援服務,要求各單位建立CISO責任制度,掌握重點保護標的確實保護為政策方向。 透過評估各單位的資
14、訊能力、重要性、機敏性以及保護標的來明確區分其資訊安全責任等級。 政府機關政府機關(構構)資訊安全責任等級分級作業施資訊安全責任等級分級作業施行計畫行計畫(二二)All Rights Reserved by NII產業發展協進會A 級:教育部、台大醫院、成大醫院B 級:大學、區域網中心、縣(市)教育網中心C 級:學院、專科學校部屬所D 級:高中職、國中小學12教育部所屬機關及各級公私學校資訊教育部所屬機關及各級公私學校資訊安全責任分級安全責任分級13行政院國家資通安全會報行政院國家資通安全會報資通安全責任分級資通安全責任分級作業名稱等級 防護縱深ISMS推動稽核方式資安教育訓練(一般主管、資訊
15、人員、資安人員、一般使用者)專業證照檢測機關網站安全弱點A級NSOC直接防護/ SOC自建或委外、IDS、防火牆、防毒、郵件過濾裝置通過第三者驗証每年至少2次內稽1.每年至少(3、6、18、3小時)2.資訊人員、資安人員需通過資安職能鑑定維持至少2張資安專業證照每年2次B級SOC(選項)、IDS、防火牆、防毒、郵件過濾裝置通過第三者驗証每年至少1次內稽1.每年至少(3、6、16、3小時)2.資訊人員、資安人員需通過資安職能鑑定維持至少1張資安專業證照每年1次C級防火牆、防毒、郵件過濾裝置自行成立推動小組規劃作業自我檢視每年至少(2、6、12、3小時)資安專業訓練每年1次D級防火牆、防毒、郵件過
16、濾裝置推動ISMS觀念宣導自我檢視每年至少(1、4、8、2小時)資安專業訓練每年1次All Rights Reserved by NII產業發展協進會99102年教育體系資通安全發展策略年教育體系資通安全發展策略政策面政策面環境面環境面教育面教育面策略策略資料來源:行政院2009年塑造資安文化、推升資安產值產業科技策略會議資料冊推動教育機構資訊安全管理制度建立教育體系資安監控與分享機制建立臺灣學術網路資通安全通報應變中心落實教育體系資通安全素養培育資通安全專業人才推廣個資保護觀念與預防資料洩密行動方案15教育體系資訊安全事件案例 行政院推動資訊安全現況說明資訊安全簡介高階主管扮演之角色資訊安全
17、法令宣導大綱大綱162004年5月,電影特洛依木馬屠城電影主角阿基里斯在希臘神話中是刀槍不入的勇猛戰士,堪稱無敵!(圖片來源)http:/www.atrium-17阿基里斯刀槍不入的全身,源於嬰兒時由母親倒抓其右腳踝浸泡冥河,所以只有沒浸泡到的右腳踝是其唯一弱點所以縱使阿基里斯神勇無敵,在敵人一箭射中其右腳踝後,無敵神話仍舊破碎!(圖片來源)http:/在資訊安全裡,我們說Security is a chain.Its only as secure as the weakest link.資訊安全的木桶理論資訊安全的木桶理論四塊長短不一的木板組成木桶,所能承盛的水量高度取決於最短的那塊木板一個
18、團體的整體素質水準不取決於最好的一位,而是取決於最差的那一名20組織建構了護城河 內部網路保護建起了高昂的城牆 各項安全防護建造了堅固的城門 防火牆而您,準備好了嗎每一位成員的輕忽,可能開啟防護漏洞(圖片來源)http:/.au21機密性,Confidentiality保護資訊不被非法存取或揭露完整性,Integrity確保資訊在任何階段沒有不適當的修改或損毀可用性,Availability經授權的使用者能適時的存取所需資訊資訊安全三要素資訊安全三要素22 【資料來源-TVBSTVBS 新聞網】 國防部驚傳遭到大陸駭客入侵,一名參與漢光演習的國防大學上校教官,違反國軍電腦使用規定,把演習資料放
19、在隨身碟帶回家,還在自己電腦使用,結果被對岸的木馬程式入侵,讓機密資料外洩,由於正值玉山兵推的敏感時機,政府首長的相關資訊,是不是也遭到竊取,國軍十分低調,只強調這國家安全沒有影響 保密功夫到家的國防部,這回遭到駭客入侵,竊取的還是攸關國防安全的漢光演習資料,事情發生在去年12月,一名國防大學上校教官,違反規定,將公用電腦帶回家,使得原本實體隔離的軍網與民間網路連結,讓中國網軍藉機以木馬程式入侵,漢光演習的資料也因此外洩中國駭客入侵漢光演習資料外洩中國駭客入侵漢光演習資料外洩23 【資料來源-TVBSTVBS 新聞網】高鐵正式通車,但重複劃位的狀況,層出不窮,有不少民眾好不容易買到票,卻沒有位
20、子坐,破口大罵,車票被票務人員畫花了,民眾也火大,還有民眾因為沒位子坐,氣的掉下眼淚高鐵首航重複劃位民眾委屈掉淚高鐵首航重複劃位民眾委屈掉淚24 【資料來源-公視新聞網】 台大醫院各科門診外,一早就貼出這張公告,電腦當機,造成看診不便,請見諒。看診病患等得滿滿的,本來禮拜一,看診人數就很多的台大醫院,一開診,電腦系統就無預警當機,從掛號,送病歷,看診,批價,掛號,全都只能人工作業即使到中午,病患還是很多,醫護人員只能放棄午休,民眾抱怨連連台大醫院電腦當機看診大塞車台大醫院電腦當機看診大塞車 25資訊使用之環境資訊使用之技術資訊使用之規定資訊使用之人員資訊安全的範圍資訊安全的範圍環境環境技術技術
21、規規定定人人員員All Rights Reserved by NII產業發展協進會資訊安全管理內容資訊安全管理內容Integrity正確性正確性Encryption 加密Platform security平台安全Personnel security人員安全Monitoring & intrusion detection監督與入侵偵測Password management密碼管理Physical Security實體安全Infrastructure security management基礎建設安全管理Business continuityManagement企業永續運作管理FallbackPl
22、anning還原計劃Virus prevention & detection 病毒防治與偵測Certificate registration& management 認證註冊與管理Penetration testing滲透測試Authentication & access control身份驗證與存取控制Incident response & crisis management意外事件回應與犯罪管理Risk management風險管理Firewall & connectivity management 防火牆與連線安全 Security architecture安全架構Availabilit
23、y可用性可用性Confidentiality機密性機密性All Rights Reserved by NII產業發展協進會11 個領域、 39 個控制目標、 133 個控制要點國際資訊安全標準國際資訊安全標準ISO 27001遵循性持續營運管理實體與環境安全通訊與作業管理存取控制資訊安全事故管理資訊系統獲取、開發及維護資產管理資訊安全組織安全政策人力資源安全All Rights Reserved by NII產業發展協進會PDCA持續改善循環方法論持續改善循環方法論確認組織資訊安全目標進行風險評估建立資訊安全管理制度落實執行與制度調整內部稽核與績效評量檢討與改善資訊安全現況P PD DC CA
24、 AAll Rights Reserved by NII產業發展協進會ISO27001驗證現況驗證現況2009/12/01 http:/ 3321Slovenia 13Oman 3India 482France 12Peru 3UK 403Netherlands 12Portugal 3Taiwan 337Saudi Arabia 12Vietnam 3China 220Pakistan 11Belgium 2Germany 132Singapore 11Isle of Man 2Korea 102Norway 10Kazakhstan 2USA 95Russian Federation 10
25、Morocco 2Czech Republic 82Sweden 9Ukraine 2Hungary 66Kuwait 8Argentina 1Italy 58Slovakia 8Armenia 1Poland 40Bahrain 7Bangladesh 1Spain 37Colombia 7Belarus 1Austria 32Indonesia 6Bosnia Herzegovina 1Hong Kong 31Switzerland 6Denmark 1Australia 29Canada 5Dominican Republic 1Ireland 29Croatia 5Kyrgyzstan
26、 1Mexico 27South Africa 5Lebanon 1Malaysia 26Sri Lanka 5Luxembourg 1Greece 25Bulgaria 4Macedonia 1Brazil 23Iran 4Mauritius 1Thailand 22Qatar 4Moldova 1Turkey 20Chile 3New Zealand 1UAE 18Egypt 3Sudan 1Romania 17Gibraltar 3Uruguay 1Philippines 15Macau 3Yemen 1Iceland 13Lithuania 3Total 5913All Rights
27、Reserved by NII產業發展協進會規模業務內容安全需求執行能力可運用資源教育體系資通安全管理規範設計教育體系資通安全管理規範設計成本效益All Rights Reserved by NII產業發展協進會業務學術網路系統行政資訊系統單位層級教育部電算中心、部屬館所、 縣市網中心、公私立大專院校 (第一群) 公私立高中職學校 (第二群)教育體系資訊安全管理規範教育體系資訊安全管理規範適用於教育部電算中心、部屬館所、縣市網中心、大專院校以及高中職資訊管理單位等資訊業務相關單位(或其他管理單位認為應加入ISMS規範範圍之部門)針對學術網路系統及行政資訊系統兩大業務,訂定適用之資訊安全管理系統
28、之範圍。All Rights Reserved by NII產業發展協進會規範名稱章節數控制目標較適用於學術網路系統較適用於行政資訊系統ISO 27001:20051139教育體系資安管理規範11363335與與ISO 27001標準之比較標準之比較規範名稱控制項稽核項ISO 27001:2005133424以上(行政院版本)教育體系資安管理規範第一群100第二群69第一群約323第一群約215第一群B、C級第二群D級All Rights Reserved by NII產業發展協進會提升組織競爭力與形象確保業務資訊之機密性、完整性與可用性降低資訊安全威脅建立資源管理機制建立管理程序強化風險管理
29、確保業務持續運作資訊安全管理制度實施效益資訊安全管理制度實施效益34教育體系資訊安全事件案例 行政院推動資訊安全現況說明資訊安全簡介高階主管扮演之角色資訊安全法令宣導大綱大綱All Rights Reserved by NII產業發展協進會l資訊安全不是僅為資訊人員之責任l資訊安全是組織全體之責任l資訊安全需要長官的大力支持l資安全之推動不是專案形式l組織每位成員都可能成為資安漏洞基本觀念基本觀念All Rights Reserved by NII產業發展協進會l資訊安全政策l資訊安全組織l資訊資產分類l風險評鑑方法l業務持續運作進階觀念進階觀念All Rights Reserved by N
30、II產業發展協進會l管理階層應提供承諾建立、完成、監督、檢視、維管理階層應提供承諾建立、完成、監督、檢視、維護及改善護及改善ISMS之承諾:之承諾:建立資訊安全政策建立資訊安全目標及計畫建立資訊安全之角色及責任跨部門溝通及協調提供足夠資源決定可接受風險值確認ISMS內部稽核之執行執行ISMS管理階層檢視管理階層責任管理階層責任(1)All Rights Reserved by NII產業發展協進會l資源管理資源管理 管理階層應決定並供應資源給下列需求:提供開發、建置、運作、維持及改善ISMS所需之足夠資源。確保資訊安全程序可支持業務需求辨識及確認法令及規範之要求、履行合約之義務藉由正確運用所有
31、建置的控制以維持適當的安全執行檢視作業,並適當地回應檢視之結果持續改善ISMS管理階層責任管理階層責任(2)All Rights Reserved by NII產業發展協進會資訊安全應有的注意試圖保護安全漏洞的努力,並保證如果出現了安全漏洞,能儘可能減低傷害程度組織執行的例行謹慎管理及負責任的行為資訊安全應有的努力組織以有秩序的方式進行上述行為,而不是只做一次,然後讓它們等著過失,變得無用39義務及後果義務及後果All Rights Reserved by NII產業發展協進會適當的物理和邏輯存取控制適當的通信安全,可能要求加密正確的資訊、應用及硬體備份災難復原及業務持續性計畫階段性回顧、演習
32、、測試,並改進災難復原和業務持續計畫適當告知員工預期行為及不遵守將帶來的後果發展安全策略、標準、規範與方針執行安全意識培訓運行更新防毒軟體從網路內部和外部階段執行滲透測試遵守並更新服務水準協議(Service Level Agreement, SLA)確保委外廠商安全責任達成確保未發生軟體侵權確保對稽核日誌進行適當的審查實施應有的注意實施應有的注意40All Rights Reserved by NII產業發展協進會一個醫療公司沒有嚴格的流程來規定和散佈或共享患者資訊。一個人冒充成醫生,並向醫療公司要求患者Don Hammy的醫療資料,接待員並沒有對打電話的人提出疑問便告知Don Hammy有
33、腦瘤。一週以後Don Hammy沒有獲得他申請的職位,並發現公司老闆打過電話了解他的醫療資訊。法律認可義務醫療公司沒有適當的政策和程序來保護患者資訊雇主無權打這種電話,並不得用醫療資訊來拒絕潛在員工不能遵循的要求標準敏感資訊由醫療公司員工釋放給未獲授權的人雇主要求他無權獲得的資訊可能造成的傷害和破壞由醫療公司洩露的資訊帶給Don Hammmy巨大困擾,並使他不能獲得特定工作雇主根據他無權獲得的資訊作出決定。非法獲得的資被用予決策過程經過了長期的法律糾紛,Don Hammy最終贏得官司,戰勝腦瘤,買了一座小島,再也不用工作了。案例案例1-個人資訊外洩個人資訊外洩41資料來源:CISSP Cert
34、ification All-in-One Exam Guide All Rights Reserved by NII產業發展協進會一個金融機構Cheapo公司購買了必要的應用軟體來提供客戶線上銀行交易,但沒有增加任何網路通訊和線上交易所必需的安全防衛措施。在前2週裏,22位客戶的核算和存款帳戶被駭客攻擊,共損失439,344.09美元。法律認可義務Cheapo 公司沒有安裝防火牆或IDS,鞏固持有客戶帳號資訊的資料庫,或對客戶交易使用加密保護Cheapo公司並未有效保護其客戶的資產不能遵循的要求標準由於沒有建立適當的安全策略和計畫,也沒有使用必要的安全控制,Cheapo違反了12項管理金融機構
35、的美國聯邦規範可能造成的傷害和破壞22個人損失439,344.09美元的事實與金融機構未執行線上銀行的規定及未曾實施應有的注意直接相關最後,很多帳戶都被攻擊、金額被清空。人們對Cheapo公司共同起訴,很多人得回了他們大部份的錢,而原先的金融機構Cheapo公司現在只能賣玉米卷了。案例案例2-駭客入侵駭客入侵42資料來源:CISSP Certification All-in-One Exam Guide 43資訊安全管理成功必要條件持續改善適用於組織之適用於組織之風險評估及管理風險評估及管理方法方法適切的教育訓練適切的教育訓練及宣導活動及宣導活動全員將資訊安全全員將資訊安全融入日常作業中融入日
36、常作業中為組織量身制定為組織量身制定之之ISMS架構及文件架構及文件管理階層的管理階層的承諾與支援承諾與支援定義符合定義符合組織營運目標之組織營運目標之資訊安全政策資訊安全政策44教育體系資訊安全事件案例 行政院推動資訊安全現況說明資訊安全簡介高階主管扮演之角色資訊安全法令宣導大綱大綱45國家機密保護法電子簽章法刑法(防駭條款)電腦處理個人資料保護法檔案法著作權法行政院及所屬各機關資通安全管理要點機關公文電子交換作業辦法智慧財產權 Intellectual Property Rights (IPR)資訊安全相關法令資訊安全相關法令46妨害電腦使用罪妨害電腦使用罪隨著資訊科技快速發展,網際網路應
37、用日益普及與多元,除了帶給我們許多生活上的便利,但也衍生一些資訊安全問題,特別是網路犯罪行為已有增多趨勢網路犯罪行為大約可歸類下列三種以網路作為犯罪工具網路詐欺、網路恐嚇等以網路作為攻擊標的竄改檔案、阻斷式服務攻擊、駭客入侵、電腦病毒等以網路作為犯罪場所如色情、誹謗、賭博等為避免電腦犯罪與維護網路秩序,特於刑法中設立相關法令條文以為管理-刑法第刑法第36章章妨害電腦使用罪章47妨害電腦使用罪主要內容妨害電腦使用罪主要內容第第358條條 無故入侵電腦罪無故入侵電腦罪無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科
38、十萬元以下罰金。本條主要目的為本條主要目的為遏止駭客入侵行為遏止駭客入侵行為第第359條條 無故取得、刪除或變更他人電磁紀錄罪無故取得、刪除或變更他人電磁紀錄罪無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金本條主要目的為本條主要目的為確保電腦內部電磁紀錄安全確保電腦內部電磁紀錄安全第第360條條 無故干擾電腦系統罪無故干擾電腦系統罪無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金本條主要目的為本條主要目的為維護電腦及網路運作正常維護電腦及
39、網路運作正常48妨害電腦使用罪主要內容妨害電腦使用罪主要內容第第361條條 對公務機關犯罪之加重對公務機關犯罪之加重對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一本條主要目的為本條主要目的為確保國家安全確保國家安全第第362條條 製作供犯罪程式罪製作供犯罪程式罪製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金本條主要目的為本條主要目的為防止犯罪工具之利用與擴散防止犯罪工具之利用與擴散第第363條條 告訴乃論告訴乃論第三百五十八條至第三百六十條之罪,須告訴乃論本條主要目的為本條主要目的為集中司法資
40、源對抗重大犯罪集中司法資源對抗重大犯罪49電腦處理個人資料保護法說明電腦處理個人資料保護法說明(1)立法目的立法目的對公務與非公務機關蒐集、處理、與利用個人資料的情形,加以明文規範避免個人人格權人格權(隱私權)遭受侵害,促進個人資料之合理利用,特此制定電腦處理個人資料保護法保護客體保護客體本法保護客體限於經電腦處理的個人資料經電腦處理的個人資料受本法保護之個人資料以現仍生存之自然人為限現仍生存之自然人為限,已死亡之自然人與法人,不受本法之規範個人資料包含:自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社交活動、及其他足以識別該個人之資料足以
41、識別該個人之資料50電腦處理個人資料保護法說明電腦處理個人資料保護法說明(2)適用主體適用主體本法規範的對象有公務機關及非公務機關公務機關係指依法行使公權力之中央或地方機關非公務機關係指以下所列之事業、團體或個人徵信業、以蒐集或電腦處理個人資料為主要業務之團體或個人醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業其他經法務部會同中央目的事業主管機關指定之事業、團體或個人受公務機關或非公務機關委託處理資料之團體或個人,於本法適用範圍內,其處理資料之人,視同委託機關之人視同委託機關之人51電腦處理個人資料保護法說明電腦處理個人資料保護法說明(3)機關對個人資料之蒐集或利用的原則機關對個人資料
42、之蒐集或利用的原則應尊重當事人之權益,依誠實及信用方法為之不得逾越特定目的之必要範圍不得逾越特定目的之必要範圍,以確保當事人權益,避免人格權受到侵害揭露個人資料,揭露個人資料,當事人是主要關鍵人物當事人是主要關鍵人物,當事人本身需審慎決定何者,當事人本身需審慎決定何者為提供給公務與非公務機關的必要個人資料為提供給公務與非公務機關的必要個人資料52電腦處理個人資料保護法修訂草案電腦處理個人資料保護法修訂草案修法背景修法背景法務部為因應急速變遷之社會環境,特別彙整國內學界與實務界的相關修法建議,並參考其他國家之個人資料保護相關法令來針對本法進行修訂修訂草案共有修訂草案共有55條,並將本法名稱修訂為
43、條,並將本法名稱修訂為個人資料保護法個人資料保護法 草案修正方向草案修正方向擴大保護客體普遍適用主體增修行為規範強化行政監督妥適調整罰則促進民眾參與53電腦處理個人資料保護法修訂草案電腦處理個人資料保護法修訂草案修法重點說明修法重點說明將買賣個人資料行為將買賣個人資料行為從告訴乃論罪修改為公訴罪從告訴乃論罪修改為公訴罪,並提高刑責,並提高刑責,最高為五年有期徒刑最高為五年有期徒刑寄廣告信、垃圾郵件將觸法,未經個人同意,網路公司或個體戶大舉販賣蒐集的大筆電子郵件信箱供寄發垃圾郵件等行為,均將觸犯本法,檢警接獲檢舉後必須主動追查若是公務員涉案,依法得加重其刑二分之一,最重可處七年半徒刑,與刑責已接
44、近涉及貪瀆案重罰意圖營利而違法的行為重罰意圖營利而違法的行為,修訂草案大幅加重意圖營利而違法蒐集、利用或盜賣個人資料者的刑責,由原本二年以下徒刑,提高為五年以下徒刑,且併科由原先四萬元大幅提高為五百萬元罰金All Rights Reserved by NII產業發展協進會行政院於98年5月13日公佈著作權法部分條文修正,第章之一網服務提供者民事免責事由網服務提供者民事免責事由或稱 ISP責任責任避風港條款避風港條款網服務提供者包含連線服務提供者(Hinet、Seednet、TANet等)快速存取服務提供者資訊儲存服務提供者(提供部格、網拍賣服務等)搜尋服務提供者(Google等搜尋引擎) 著作
45、權法修正案著作權法修正案All Rights Reserved by NII產業發展協進會經著作權人舉證使用者構成著作財產權之侵害,ISP構成共同侵權為構成共同侵權為 ISP與使用者依法負民事帶賠償責任使用者 依法負刑事責任:3以下有期徒刑ISP為人依法負刑事責任:3以下徒刑ISP(法人) 依法負刑事責任:罰侵犯著作權行為侵犯著作權行為All Rights Reserved by NII產業發展協進會避風港條款ISP業者接獲侵權通知,即移除或關閉涉有侵權的內容。依法負民事與刑事責任移除或關閉後,立即告知使用者。使用者有回覆通知,立即轉送著作權人。著作權人必須在十天內提起訴訟證明,若著作權人沒有
46、在十天內提出訴訟證明,必須在十四天內恢復使用者內容三振條款網路使用者如有三次涉及侵權情事,將可能被終止全部或部分的網路服務避風港條款避風港條款 & 三振條款三振條款57案例描述案例描述 (資料來源:2007/08/18 蘋果日報)小米今年十九歲,是剛要升大二的女生,最喜歡的休閒活動就是看韓劇,因為電視播的進度太慢,乾脆去夜市買整套回來看 由於正版太貴,便選擇便宜的盜版片,買回家後才一個禮拜便看完了,意猶未盡的我,前後買了六部韓劇,我靈機一動,想把看過的上網拍賣,就可以再去買新的。 於是,我以買來的七折價網拍,並標明可面交,三天後有買家出價競標,三部韓劇全由同一買家買下,我們約在捷運站出口交易,
47、交易當天,我依約到達。十分鐘後,一名中年男子前來和我攀談,問我是不是韓劇賣家,我點頭示意後,他便表明警察身分,旁邊也出現另名穿制服警員,表示有人檢舉我在網路販賣盜版光碟網路販賣盜版光碟,依法須將我帶回做筆錄,這時我才知自己犯法,但已來不及了案例案例適用法條賣家行為已違反著作權法著作權法 可處3年以下有期徒刑、拘役, 或併科50萬元以下罰金 。59再次提醒您,不要洩露個資!60搜尋網路上的公開個資搜尋網路上的公開個資在入口網站上使用某些關鍵字搜尋61詳細的各項個人與家庭資料詳細的各項個人與家庭資料62個資保護,重要的資訊安全認知!本簡報內容著作權為NII產業發展協進會所有,非經正式書面授權同意,不得將全部或部份內容,以任何形式變更、轉載、再製、散佈、出版、展示或傳播。63簡報完畢,敬請指教簡報完畢,敬請指教吳國維吳國維
