《个人资料保护与ISMS资讯安全》由会员分享,可在线阅读,更多相关《个人资料保护与ISMS资讯安全(27页珍藏版)》请在金锄头文库上搜索。
1、財團法人中華民國國家資訊基本建設產業發展協進會財團法人中華民國國家資訊基本建設產業發展協進會 個人資料保護與個人資料保護與ISMS資訊安全管理資訊安全管理資訊風險管理組 魯君禮 協理All Rights Reserved by NII 產業發展產業發展協進會協進會簡報大綱簡報大綱個人資料保護法個人資料保護法個人資料管理個人資料管理個人資料保護與個人資料保護與ISMS基本資訊安全認知基本資訊安全認知Q&AAll Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護法個人資料保護法v立法院於9999年年4 4月月2727日日,將電腦處理個人資料保護法,修訂並三讀通
2、過為個人資料保護法個人資料保護法修訂方向:l擴大保護客體l普遍適用主體l增修行為規範l強化行政監督l妥適調整罰則l促進民眾參與All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護法範圍擴大個人資料保護法範圍擴大v擴大適用行業原適用八大行業(徵信、醫院、學校、電信、金融、證券、保險及傳播業)適用範圍擴大至公務機關適用範圍擴大至公務機關( (含行政法人含行政法人) )與公務機關外的自然人、與公務機關外的自然人、法人或其他團體。法人或其他團體。v個資新定義與科技演進結合原個資定義:姓名、生日、身份證字號、特徵、指紋、婚姻、職業等。增加了護照號碼、犯罪前科、聯
3、絡方式,並原病歷擴大為需考增加了護照號碼、犯罪前科、聯絡方式,並原病歷擴大為需考量醫療、基因、性生活、健康檢查等。量醫療、基因、性生活、健康檢查等。v調整資料儲存型式:原有對儲存於電磁紀錄物或其他類似媒體原有對儲存於電磁紀錄物或其他類似媒體。調整為以自動化機器或非自動化個人資料之集合調整為以自動化機器或非自動化個人資料之集合All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護法加強個資保護及通報因應個人資料保護法加強個資保護及通報因應v加強個資保護加強個資保護公務機關保有個人資料檔案者,應指定專人辦理安全維公務機關保有個人資料檔案者,應指定專人辦理安全
4、維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。漏。(詳個資法第(詳個資法第2 2章第章第1818條)條) 非公務機關保有個人資料檔案者,應採行適當之安全措非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。檔案安全維護計畫或業務終止後個人資料處理方法。(詳個資法第(詳個資法第3 3章第章第2727條)條) v
5、個資外洩時主動告知當事人個資外洩時主動告知當事人公務機關或非公務機關違反本法規定,致個人資料被竊公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。知當事人。(詳個資法第(詳個資法第1 1章第章第1212條)條) All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護法提高賠償責任與罰則個人資料保護法提高賠償責任與罰則v提高賠償責任與罰則提高賠償責任與罰則於公務機關在非天災等不可抗力因素外,導致個資外洩而侵於公務機關在非天災等不可抗力因素外,導致個資外洩
6、而侵害當事人權益時,得依每人每一事件害當事人權益時,得依每人每一事件新台幣新台幣500500元元2000020000元元以下以下;若造成多數人權益受損時,則;若造成多數人權益受損時,則由由20002000萬調高至萬調高至2 2億億。(請詳第(請詳第4 4章第章第2828條)條)v加重違反罰則加重違反罰則違反時仍為處以二年以下有期徒刑、拘役並由原有的違反時仍為處以二年以下有期徒刑、拘役並由原有的4 4萬萬元以下罰金增加為元以下罰金增加為2020萬萬(請詳第(請詳第5 5章第章第4141條)條) ;增加意圖為自己或第三人不法之利益或損害他人之利益,增加意圖為自己或第三人不法之利益或損害他人之利益,
7、而對於個人資料檔案為非法變更、刪除或以其他非法方法,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處致妨害個人資料檔案之正確而足生損害於他人者,處5 5年年以下有期徒刑、拘役或科或併科新臺幣以下有期徒刑、拘役或科或併科新臺幣100100萬元以下罰金萬元以下罰金(請詳第(請詳第5 5章第章第4242條)條) 。 All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護法總覽個人資料保護法總覽v第一章第一章 總則總則 (114條條)定義定義、當事人權利、告知、限制蒐集、當事人權利、告知、限制蒐集. .v第二章第
8、二章 公務機關對個人資料之蒐集、處理及利用公務機關對個人資料之蒐集、處理及利用(1518條條)公開公開、安全維護、安全維護. .v第三章第三章 非公務機關對個人資料之蒐集、處理及利用非公務機關對個人資料之蒐集、處理及利用(1927條條)主管機關檢查主管機關檢查、處分、處分v第四章第四章 損害賠償及團體訴訟損害賠償及團體訴訟(2840條條)賠償金額賠償金額、舉證責任、舉證責任v第五章第五章 罰則罰則(4150條條)告訴乃論與刑責告訴乃論與刑責v第六章第六章 附則附則(5156條條)排除及適用排除及適用All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料:個人
9、資料:指自然人之姓名、出生年月指自然人之姓名、出生年月日、國民身分證統一編號、日、國民身分證統一編號、護照號碼護照號碼、特徵、指紋、婚、特徵、指紋、婚姻、家庭、教育、職業、病姻、家庭、教育、職業、病歷、歷、醫療、基因、性生活、醫療、基因、性生活、健康檢查、犯罪前科、聯絡健康檢查、犯罪前科、聯絡方式、方式、財務情況、社會活動財務情況、社會活動及其他及其他得以直接或間接方式得以直接或間接方式識別該個人之資料。識別該個人之資料。個資法第二條個資法第二條個人資料之蒐集、處理或利個人資料之蒐集、處理或利用,應尊重當事人之權益,用,應尊重當事人之權益,依誠實及信用方法為之,依誠實及信用方法為之,不不得逾越
10、特定目的得逾越特定目的之必要範圍,之必要範圍,並應與蒐集之目的具有正當並應與蒐集之目的具有正當合理之關聯。合理之關聯。個資法第五條個資法第五條摘要摘要(一一)All Rights Reserved by NII 產業發展產業發展協進會協進會第十六條第七款、第二十條第十六條第七款、第二十條第一項第五款所稱書面同意,第一項第五款所稱書面同意,指當事人經蒐集者明確告知指當事人經蒐集者明確告知特定目的外之其他利用目的、特定目的外之其他利用目的、範圍及同意與否對其權益之範圍及同意與否對其權益之影響後,影響後,單獨所為之書面意單獨所為之書面意思表示。思表示。個資法第七條個資法第七條當事人蒐集個人資料時,應
11、當事人蒐集個人資料時,應明確告知當事人下列事項:明確告知當事人下列事項:一、公務機關或非公務機關一、公務機關或非公務機關名稱。名稱。二、蒐集之目的。二、蒐集之目的。三、個人資料之類別。三、個人資料之類別。四、個人資料利用之期間、四、個人資料利用之期間、地區、對象及方式。地區、對象及方式。五、當事人依第三條規定得五、當事人依第三條規定得行使之權利及方式。行使之權利及方式。六、當事人得自由選擇提供六、當事人得自由選擇提供個人資料時,不提供將對其個人資料時,不提供將對其權益之影響。權益之影響。個資法第八條個資法第八條摘要摘要(二二)All Rights Reserved by NII 產業發展產業發
12、展協進會協進會公務機關或非公務機關違反公務機關或非公務機關違反本法規定,致個人資料被竊本法規定,致個人資料被竊取、洩漏、竄改或其他侵害取、洩漏、竄改或其他侵害者,者,應查明後以適當方式通應查明後以適當方式通知當事人。知當事人。個資法第十二條個資法第十二條公務機關應將下列事項公開公務機關應將下列事項公開於電腦網站,或以其他適當於電腦網站,或以其他適當方式供公眾查閱;其有變更方式供公眾查閱;其有變更者,亦同:者,亦同:一、個人資料檔案名稱。一、個人資料檔案名稱。二、保有機關名稱及聯絡方二、保有機關名稱及聯絡方式。式。三、個人資料檔案保有之依三、個人資料檔案保有之依據及特定目的。據及特定目的。四、個
13、人資料之類別。四、個人資料之類別。個資法第十七條個資法第十七條摘要摘要(三三)All Rights Reserved by NII 產業發展產業發展協進會協進會公務機關保有個人資料檔案公務機關保有個人資料檔案者,者,應指定專人辦理安全維應指定專人辦理安全維護事項,防止個人資料被竊護事項,防止個人資料被竊取、竄改、毀損、滅失或洩取、竄改、毀損、滅失或洩漏。漏。個資法第十八條個資法第十八條非公務機關保有個人資料檔非公務機關保有個人資料檔案者,案者,應採行適當之安全措應採行適當之安全措施,防止個人資料被竊取、施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。竄改、毀損、滅失或洩漏。中央目的事業主管機關
14、得指中央目的事業主管機關得指定非公務機關訂定個人資料定非公務機關訂定個人資料檔案安全維護計畫或業務終檔案安全維護計畫或業務終止後個人資料處理方法。止後個人資料處理方法。個資法第二十七條個資法第二十七條摘要摘要(四四)All Rights Reserved by NII 產業發展產業發展協進會協進會非公務機關違反本法規定,非公務機關違反本法規定,致個人資料遭不法蒐集、處致個人資料遭不法蒐集、處理、利用或其他侵害當事人理、利用或其他侵害當事人權利者,負損害賠償責任。權利者,負損害賠償責任。但能證明其無故意或過失者,但能證明其無故意或過失者,不在此限。不在此限。個資法第二十九條個資法第二十九條有下列
15、情形之一者,不適用有下列情形之一者,不適用本法規定:本法規定:一、自然人為單純個人或家一、自然人為單純個人或家庭活動之目的,而蒐集、處庭活動之目的,而蒐集、處理或利用個人資料。理或利用個人資料。二、於公開場所或公開活動二、於公開場所或公開活動中所蒐集、處理或利用之未中所蒐集、處理或利用之未與其他個人資料結合之影音與其他個人資料結合之影音資料。資料。公務機關及非公務機關,在公務機關及非公務機關,在中華民國領域外對中華民國中華民國領域外對中華民國人民個人資料蒐集、處理或人民個人資料蒐集、處理或利用者,亦適用本法。利用者,亦適用本法。個資法第五十一條個資法第五十一條摘要摘要(五五)All Right
16、s Reserved by NII 產業發展產業發展協進會協進會個人資料生命週期管理個人資料生命週期管理(Personal Data Life Management)清除清除存取存取傳輸傳輸儲存儲存使用使用蒐集蒐集C. I. A.All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料管理重點個人資料管理重點(一一)v蒐集蒐集蒐集個人資料之理由、方法與告知義務蒐集個人資料之理由、方法與告知義務確認個人資料之正確性及內容是否為法律定義之得以確認個人資料之正確性及內容是否為法律定義之得以直接或間接方式識別該個人之資料直接或間接方式識別該個人之資料v使用使用符合法律
17、之使用規範符合法律之使用規範符合組織政策之內部使用規範符合組織政策之內部使用規範(例如例如:交叉行銷交叉行銷)v存取存取存取個人資料之權限管理存取個人資料之權限管理委外或外包廠商之資訊安全管理委外或外包廠商之資訊安全管理All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料管理重點個人資料管理重點(二二)v傳輸傳輸個人資料傳輸過程中之安全個人資料傳輸過程中之安全(加密或安全網路加密或安全網路)v儲存儲存個人資料新增及修改之作業程序個人資料新增及修改之作業程序存放個人資料場所及設備之安全管理存放個人資料場所及設備之安全管理備份或歸檔後之資料安全備份或歸檔後之資
18、料安全v清除清除個人資料刪除或報廢之安全處理程序個人資料刪除或報廢之安全處理程序v其它其它客訴、法律糾紛、懲處程序客訴、法律糾紛、懲處程序All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護管理措施個人資料保護管理措施1.將政策及目標文件化將政策及目標文件化2.建立專責組織建立專責組織3.建立執行計畫建立執行計畫1.對組織全員進行宣導對組織全員進行宣導2.確認個人資料涵蓋範圍確認個人資料涵蓋範圍3.辨識相關法令及規定辨識相關法令及規定4.鑑別風險並管理風險鑑別風險並管理風險5.確認必要資源確認必要資源6.制定相關規範制定相關規範7.實施教育訓練實施教育
19、訓練8.落實執行相關控管措施落實執行相關控管措施1.監督檢視管理成效監督檢視管理成效2.執行矯正預防措施執行矯正預防措施PlanDoCheck & ActAll Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護管理與個人資料保護管理與ISO27001(1/4)法令規章之遵循法令規章之遵循業務持續運作管理業務持續運作管理資資訊訊安安全全事事件件管管理理人人員員安安全全實實體體與與環環境境安安全全通通訊訊與與操操作作管管理理系系統統發發展展與與維維護護存存取取控控制制資訊資產分類與管理資訊資產分類與管理資訊安全組織資訊安全組織資訊安全政策資訊安全政策資資訊訊安
20、安全全管管理理稽稽核核1.將政策及目標文件化將政策及目標文件化2.建立專責組織建立專責組織3.建立執行計畫建立執行計畫個資保護之個資保護之PlanISO 27001 資訊安全管理內容資訊安全管理內容All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護管理與個人資料保護管理與ISO27001(2/4)法令規章之遵循法令規章之遵循業務持續運作管理業務持續運作管理資資訊訊安安全全事事件件管管理理人人員員安安全全實實體體與與環環境境安安全全通通訊訊與與操操作作管管理理系系統統發發展展與與維維護護存存取取控控制制資訊資產分類與管理資訊資產分類與管理資訊安全政策資
21、訊安全政策資訊安全組織資訊安全組織資資訊訊安安全全管管理理稽稽核核1.對組織全員進行宣導對組織全員進行宣導2.確認個人資料涵蓋範圍確認個人資料涵蓋範圍3.辨識相關法令及規定辨識相關法令及規定4.鑑別風險並管理風險鑑別風險並管理風險5.確認必要資源確認必要資源6.制定相關規範制定相關規範7.實施教育訓練實施教育訓練8.落實執行相關控管措施落實執行相關控管措施個資保護之個資保護之DoISO 27001 資訊安全管理內容資訊安全管理內容All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護管理與個人資料保護管理與ISO27001(3/4)法令規章之遵循法令規章
22、之遵循業務持續運作管理業務持續運作管理資資訊訊安安全全事事件件管管理理人人員員安安全全實實體體與與環環境境安安全全通通訊訊與與操操作作管管理理系系統統發發展展與與維維護護存存取取控控制制資訊資產分類與管理資訊資產分類與管理資訊安全組織資訊安全組織資訊安全政策資訊安全政策資資訊訊安安全全管管理理稽稽核核1.監督檢視管理成效監督檢視管理成效2.執行矯正預防措施執行矯正預防措施個資保護之個資保護之Check & ActISO 27001 資訊安全管理內容資訊安全管理內容All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料保護管理與個人資料保護管理與ISO2700
23、1(4/4)法令規章之遵循法令規章之遵循業務持續運作管理業務持續運作管理資資訊訊安安全全事事件件管管理理人人員員安安全全實實體體與與環環境境安安全全通通訊訊與與操操作作管管理理系系統統發發展展與與維維護護存存取取控控制制資訊資產分類與管理資訊資產分類與管理資訊安全組織資訊安全組織資訊安全政策資訊安全政策資資訊訊安安全全管管理理稽稽核核ISO 27001 資訊安全管理內容資訊安全管理內容1.個人資料保護法個人資料保護法2.著作權法著作權法(避風港條款避風港條款)3.校園網路管理辦法校園網路管理辦法All Rights Reserved by NII 產業發展產業發展協進會協進會個人資料庫個人資料
24、庫2.控管控管要求表要求表3.實體安全實體安全4.電腦安全電腦安全5.網路安全網路安全6.存取控制存取控制 備份流程備份流程銷毀流程銷毀流程分類標示分類標示處理流程處理流程存取權限管理存取權限管理ReadWrite能存取哪些欄位能存取哪些欄位(與個資有關與個資有關)6.登入驗證登入驗證Log帳號管理帳號管理6.登入驗證登入驗證Log帳號管理帳號管理1.資訊資產清資訊資產清單單-資料類資料類書面書面文件文件加密加密加密加密那些欄位與個資有關?那些欄位與個資有關?合法蒐集合法蒐集個別客戶個別客戶行政管理行政管理DBAWeb AdData Owner上網上網 eMail IM達成個資保護實作方式示意
25、圖達成個資保護實作方式示意圖(配合配合ISMS)All Rights Reserved by NII 產業發展產業發展協進會協進會律師建議之自我檢查五步驟律師建議之自我檢查五步驟All Rights Reserved by NII 產業發展產業發展協進會協進會資料保護基本安全認知資料保護基本安全認知(1/3)工作帶回家可能產生的資料外洩風險工作帶回家可能產生的資料外洩風險除非組織規定允許,否則不應將公務資料帶回家除非組織規定允許,否則不應將公務資料帶回家如果必須將公務資料帶回家處理,應確認家中電腦亦有適當的安全如果必須將公務資料帶回家處理,應確認家中電腦亦有適當的安全防護,例如啟用防火牆、安裝
26、防毒軟體並更新最新病毒碼、更新系防護,例如啟用防火牆、安裝防毒軟體並更新最新病毒碼、更新系統修補程式等統修補程式等若使用家中電腦處理公務資料,應儘量保持為較安全的使用環境,若使用家中電腦處理公務資料,應儘量保持為較安全的使用環境,例如不要安裝例如不要安裝P2PP2P軟體,甚至離線作業軟體,甚至離線作業儲存重要資料的外接式儲存媒體應小心保管儲存重要資料的外接式儲存媒體應小心保管個人慣用的筆記型電腦常存有個人、公務資料,應特別留意保管,個人慣用的筆記型電腦常存有個人、公務資料,應特別留意保管,勿讓宵小有機可乘勿讓宵小有機可乘All Rights Reserved by NII 產業發展產業發展協進
27、會協進會資料保護基本安全認知資料保護基本安全認知(2/3)重視個人帳號的密碼安全重視個人帳號的密碼安全帳號密碼為身份驗證的基本防護,務必重視密碼保護並設定強度足帳號密碼為身份驗證的基本防護,務必重視密碼保護並設定強度足夠的安全密碼夠的安全密碼在工作場所之外的電腦登入使用系統,須留意是否為安全的使用環在工作場所之外的電腦登入使用系統,須留意是否為安全的使用環境並確認密碼無外洩之虞境並確認密碼無外洩之虞適當保護敏感資料,例如將文件加密或設定開啟密碼適當保護敏感資料,例如將文件加密或設定開啟密碼遵守組織的保密規定及遵行各項使用規範遵守組織的保密規定及遵行各項使用規範提供資料供公開查閱,須確認是否有民
28、眾敏感資料(例如身份證字提供資料供公開查閱,須確認是否有民眾敏感資料(例如身份證字號、醫療資訊、通訊資料等)被不當暴露號、醫療資訊、通訊資料等)被不當暴露保護敏感資料保護敏感資料All Rights Reserved by NII 產業發展產業發展協進會協進會資料保護基本安全認知資料保護基本安全認知(3/3)遵循組織的電腦使用規定遵循組織的電腦使用規定工作電腦的使用,應遵循組織的電腦使用規定工作電腦的使用,應遵循組織的電腦使用規定即使工作電腦的使用權限允許安裝軟體,亦必須合乎組織資訊安全即使工作電腦的使用權限允許安裝軟體,亦必須合乎組織資訊安全規定、軟體使用規範與法令規定、軟體使用規範與法令當
29、點擊的網址為原網站的外部連結時,應格外提高警覺當點擊的網址為原網站的外部連結時,應格外提高警覺不要因為好奇心任意點擊情色、聳動等標題的網址連結不要因為好奇心任意點擊情色、聳動等標題的網址連結電子郵件夾帶副檔名電子郵件夾帶副檔名.exe.exe、、.bat.bat等檔案,幾乎都是惡意程式,等檔案,幾乎都是惡意程式,不要開啟不要開啟防範網路詐騙攻擊防範網路詐騙攻擊All Rights Reserved by NII 產業發展產業發展協進會協進會其他保護個人資料小提醒其他保護個人資料小提醒u員工資料亦受法律保護員工資料亦受法律保護u所有調閱活動應依照標準作業程序進行所有調閱活動應依照標準作業程序進行u不在電話裡隨便透露個人資料不在電話裡隨便透露個人資料u非信任之網站,勿隨意留下個人資料非信任之網站,勿隨意留下個人資料u以碎紙機銷毀各式帳單、收據、信件、藥單等以碎紙機銷毀各式帳單、收據、信件、藥單等u不點選不明人士傳送的網址不點選不明人士傳送的網址u提防偽裝之網頁、電子報與信件提防偽裝之網頁、電子報與信件u不委託他人代辦貸款及信用卡不委託他人代辦貸款及信用卡u影印文件交付時註明用途影印文件交付時註明用途( (表示不適用於其他用途表示不適用於其他用途) )財團法人中華民國國家資訊基本建設產業發展協進會財團法人中華民國國家資訊基本建設產業發展協進會 Q&A
