校园资安宣导.PPTVIP

校園資安宣導 報告人: 陳俊銘 校園資料外洩的防堵方法 校園資料外洩的防堵方法 設定螢幕保護程式密碼教學 我的報告結束感謝聆聽 * * 資安定義 資安在確保資訊的： – 機密性(Confidentiality) 保護資訊不被非法存取或揭露。 – 完整性(Integrity) 確保資訊在任何階段沒有不適當的修改損毀。 – 可用性(Avaliability) 經授權的使用者能適時的存取所需資訊。 外 部 事 件 內 部 事 件 資訊安全威脅 資安事件的類型 ? 內部事件 – 遭人為惡意破壞毀損、作業不慎等危安事 件。 – 設備故障 能直接或間接影響機房安全資訊系統的各 個設備的故障可視爲資通事件。 – 人員差錯 錯誤或不良的維護、錯誤設定和操作員的其 他錯誤行為等。 – 其他內部事件 內部原因所引起的火災、爆炸等對機房安全 可能産生重要之影響。 資安事件的類型 ? 外部事件 因外部事件或自然事件所引起某一安全重要 系統、元件或建築物故障的可能性，可經由 設計和建造中所採取的因應措施，將其風險 降低至可接受的程度 - 病毒感染事件 - 駭客攻擊（或非法入侵）事件 - 自然事件 天然災害：颱風、水災、地震 重大突發事件：火災、爆炸、核子事故 資訊安全相關法令 ?國家機密保護法 ?電子簽章法 ?刑法(防駭條款) ?個人資料保護法 ?檔案法 ?著作權法 ?行政院及所屬各機關資訊安全管理要點 ?機關公文電子交換作業辦法 ?智慧財產權Intellectual Property Rights (IPR) 個人資料保護法說明(1) 個人資料保護法」已於99年5月26日公佈修正後條文 ? 立法目的 – 對公務與非公務機關蒐集、處理、與利用個 人資料的情形，加以明文規範。 – 避免個人人格權（隱私權）遭受侵害，促進 個人資料之合理利用，特此制定個人資料保 護法。 個人資料保護法說明(2) ? 個人資料包含: 指自然人之姓名、出生年月日、國民身分證統 一編號、護照號碼、特徵、指紋、婚姻、家庭、 教育、職業、病歷、醫療、基因 、性生活、 健康檢查、犯罪前科、聯絡方式、財務情況、 社會活動及 其他得以直接或間接方式識別 該個人之資料。 個人資料保護法說明(3) ? 適用主體 – 本法規範的對象有公務機關及非公務機關。 – 公務機關係指依法行使公權力之中央或地方機關。 – 非公務機關係指以下所列之事業、團體或個人。 1.徵信業、以蒐集或電腦處理個人資料為主要業務之 團體或個人 2.醫院、學校、電信業、金融業、證券業、保險業、 大眾傳播業 3.其他經法務部會同中央目的事業主管機關指定之事 業、團體或個人 個人資料保護法說明(4) (學校適用第29條) 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵 害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。 個人資料保護法說明(5) 在損害賠償上，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算，故要是涉及損害多數人個人資料之權益，最高總額可能要賠償新臺幣二億元，可說是相當重的罰則，不可不注意「個人資料保護法」內相關規定內容。 個人資料保護法說明(6) 學校該注意事項 學校易發生違反「電腦處理個人資料保護法」之 情事為將參與活動(培訓）人員之身份證字號、 生日、地址、電話等足資辨識該個人之資料上 網。- 另「班級網頁」部分亦請不要放置生日、地址、 電話等學生個人資料；放置照片時，以合照為 宜，且不標註可供辨識學生身份的資料。 校園資料外洩的可能途徑 電子郵件 即時通訊 報廢資料 傳真 P2P 個人桌面 電腦螢幕 電腦病毒 電子郵件: – 絕對不回覆垃圾電子郵件訊息。 – 不購買垃圾電子郵件的廣告商品。 – 不轉寄串接式的電子郵件，(例如聲稱不轉寄 給10 個人就會倒楣的電子郵件)。 – 要寄送同一訊息給許多收件者時，可採用「密 件副本」方式來進行。 – 刪除寄件者為空白的電子郵件。 – 不隨意開啟郵件附檔。 – 登入密碼不要用「儲存密碼」記錄於系統內。 即時通訊: – 不隨意傳送檔案。 – 不將個人之聯絡者清單給他人。 – 不討論校園公務。 – 登入密碼不要用「儲存密碼」記錄於系統內。 校園資料外洩的防堵方法 報廢資料: – 機密文件以碎紙機銷毀。 – 會議室文件帶走及白板擦拭乾淨。 – 儲存媒體報廢清除內容。