新个资法之认识与防范措施.pptVIP

* 個資保護策略 1.去個資化 2.加密 1.門禁：防火牆、存取控制 2.物流系統：資料稽核 * 新法規符合義務 * 安全維護事項 個資保護組織 （資安委員會） Planner Auditor Executor 個資範圍 作業程序 1.機關蒐集、處理、利用 2.當事人行使權利 防範措施 應變措施 1.資料安全 2.人員管理 3.教育訓練 4.設備管理 1.緊急應變 2.通報機制 3.證據保存 定義個資類別 * 資料稽核 人 資產(含有個資設備、系統、資料) 作業(對個資設備、系統、資料的各種作業) * 數位鑑識 數位鑑識(digital forensics)，又稱作電腦鑑識(computer forensics)，屬於鑑識科學的分支，用來取得數位物件中存有的數位化法律證據。 有效數位證據＝數位足跡＋封存 * 凡走過必留下痕跡 新個資法v.s.資訊安全 * 資訊安全 Data Data System Device Data Data System Device 系統 Data 個資 設備 Data Data Data 人 作業 人 作業 * ISO27001 Data Data Data Data Data System Device 設備 系統 個資 人 作業 * 新個資法的要求 Data Data System Device Data Data System Device 系統 Data 個資 設備 Data Data Data Data 人 作業 人 作業 Data Data 影印機 桌面 * Contact Info: Anna Yen 顏良修 C: 886-9O: 886-2annay@ strong opening: 為何個資法讓大家都很煩？個資好像春天的花朵處處開... 個資分類有：紙本、電子資料(檔案、資料庫) 但是為何還是沒有簡明的感覺？因為那只是它的存在形式，而沒有連結它的使用方式。 使用方式的分類會表達出管理面的困難。 聽起來很可怕，要從固態個資一路管到變成氣體的個資。感覺上好像會無限上綱，但是我們的法務部看起來是往後拉回來了。從十二的安全維護事項，他們把這個議題單純化：用ISMS的觀點來保護個資，然後加上兩個新東西，資料稽核、記錄與證據之保存。 你可以看到十二個安全維護事項大半都是ISO27001常見的term 其實資料稽核不是新的東西，仍是電腦稽核的領域。 電腦稽核的定義是在蒐集與評估證據(Evidence)，以確認電腦系統是否足以保護企業資產、維護資料的完整性、有效率的使用公司資源，以有效的達到公司的營運目標。 簡言之，就是除弊、興利。 安全實際上是管理的結果，無法僅藉由單一措施達成。其實安全就像是身體健康，是一種狀態。與其禁止出入公共場所，或是戴上口罩。維持身體的高免疫力狀態才是防堵感冒病毒的不二法門。 資料稽核像是了解身體器官每天的活動，數位鑑識是找出感染的途徑。那到底要不要做？你會面臨法官的心證問題，如果對於身體入侵的部位，你無法跟法官說明這個部位的日常活動，也無法提出感染途徑的說明，你很難告訴法官你已經管理好你的身體健康。 所以我們來到這裡： 我們有這些問題：固體、液體、氣體的個資。 手上的武器有ISO 27001＋資安的防護 後有追兵：新個資法的各種處罰... 到底要怎麼解決這個問題呢？ 我們先跳脫個資，放大範圍到資訊安全。這是資訊安全的角度，其實是等同ISO27001的。這不是廢話嗎？那Anna為什麼要畫兩張圖。 這是因為現實的 大家覺得資訊安全是誰的事情？ 大家會說資安官、資訊人員。 問大家一個問題喔！資料歸誰？ 設備、系統歸誰？ 哪個最重要？ 所以ISO27001導入的時候就變得這個樣子，因為大家都不想要被捲入這個問題。 個資法強迫我們要面對這個問題。把大家都捲進來，因為他把標的從設備一路拉到資料的層次。 ? 2011 ChaletTech Inc. All rights reserved. ? 2011 ChaletTech Inc. All rights reserved. Confidential Confidential ? 2011 ChaletTech Inc. All rights reserved. ? 2011 ChaletTech Inc. All rights reserved. Confidential ? 2011 ChaletTech Inc. All rights reserved. Confidential Confidential ? 2011 ChaletTech Inc. All rights reserved. ? 2011 ChaletTech Inc. All rights reserved