数据管治何锦华IBM全球服务部亚太区信息安全经理.pptVIP

IBM 数据管治 ? 2004 IBM Corporation IBM 全球信息科技服务部 ? 2006 IBM Corporation IBM 数据管治 ? 2004 IBM Corporation Data Governance数据管治 Transforming Governance and Operational Risk Management 何锦华 CISM、CISA、CISSP IBM全球服务部亚太区信息安全经理 管治转换与运营风险管理 * 第一页，共二十页。 主要内容 信息安全面对的威胁与挑战 IBM 数据管治策略 数据管治协会 Data Governance Council 结论 * * 第二页，共二十页。 存在的威胁及其来源 受保护资源 Protected resources 外国政府 foreign government 诈骗 bilk 竞争对手 rival 有组织犯罪 Organized crime 内部威胁 Internal threat 黑客攻击 Hacker attack 病毒 virus 恶意攻击 Vicious attack 自然灾害natural disease 事故 Accidence 人为失误 Human mistake * * 第三页，共二十页。 美数据处理公司遭入侵四千万张信用卡资料外涉 [18/06/2005] 美国一间为信用卡公司结算的公司，计算机系统被入侵，可能有多达四千万名信用卡客户数据外泄，主要是客户姓名及银行账号资料。当中一千四百万是万事达卡，二千二百万张是VISA卡，联邦调查局正调查。万事达卡说，他们有七万名客户资料失去，并已发现部份诈骗个案，怀疑同事件有关。 汇丰及恒生银行都说，若本港客户资料外泄，会为他们更换信用卡。金管局表示会向银行了解。 万事达国际组织(MasterCardInternational)表示,信用卡付款资料遭到入侵，导致四千万张各品牌的信用卡信息被外涉。有分析家认为今次是有史以来最大宗侵犯私隐案件。 公司发言人向《路透社》表示，公司的保安人员发现 CardSystems Solutions公司的数据遭到计算机入侵，这家公司是万事达国际的合作伙伴，代表金融机构与商家处理交易事宜。发言人指，至今已发现少量因今次安全漏洞而引起的诈骗事件，但比例相当小，联邦调查局正展开调查。  金管局会了解信用卡资料外泄 [18/06/2005] * * 第四页，共二十页。 香港市民忧电子资料外泄 2006-4-7 【大公报讯】警监会资料外泄事件发生後，一项调查发现，有近四成受访者表示，此事影响他们使用电子服务的信心，也有近三成受访者担心资料外泄。 三月中警监会发生投诉人资料外泄事件，引起各界对网上资料保密措施的讨论。有见及此，新论坛联同正荆社进行一个有关「市民使用政府网页」的调查，旨在了解市民对使用电子服务的习惯及对警监会资料外泄事件的意见。 调查发现，有近八成市民知道警监会资料外泄事件，有约四成表示此事会降低他们使用电子服务的信心。此外，在使用网上服务的人士中，近半数不会在网上提供个人资料，也有近三成市民担心资料外泄。 负责调查机构建议，政府应加强监察内部资料储存的程序和守则，并尽量减少外判服务，尤其是涉及敏感资料及个人私隐的服务，避免市民资料外泄。 * * 第五页，共二十页。 个人资料隐私与安全Personal Data Privacy and Security 美国参议院在2005年提出「个人资料隐私与安全法案」 (Personal Data Privacy and Security Act) ，藉由制定与企业资料安全相关的法规及对资讯窃取行为的相关罚则，希望能降低资安事件对企业营运与民生经济的影响。 香港亦已於1996年起实施「个人资料(私隐)条例」 条例的目的，是在个人资料方面保障在世人士的私隐，并保障个人资料得以不受限制地从已实施资料保障法例的国家和地区自由流入香港，这有助促进本港经济的持续发展 。 针对近来多项重大资料外洩事件，不论是由政府立法、或由民间企业主动发起，国际间已采取许多具体行动因应。 * * 第六页，共二十页。 美国参议院在2005年提出「个人资料隐私与安全法案」Personal Data Privacy and Security Act 「个人资料隐私与安全法」的要点如下： 以严密的法规架构规範「资料经纪者」(data brokr)，也就是「蒐?集、传输或以其他方式提供5,000笔以上足以辨识非顾客或员工身分之个人资料」的公司或非营利机构。资料经纪者必须遵守一套仿欧洲式的规定，包括强制向相关的个人公开纪录。 修改电脑犯罪防治法，对入侵资料库者处以新的惩罚。入侵资料经纪人的系统，得处以罚款和十年徒刑。若某公司或个人