1 / 28

99 年度證券商資安宣導

99 年度證券商資安宣導. 如何防範企業機敏資料外洩. 簡報大綱. 資料外洩與個資法修正草案 常見資料外洩類型案例 個資法修正之可能衝擊 電子資料外洩管道 管控制度規劃與稽核要點 問題與討論. 常見資料外洩類型案例. 國外資料外洩案例. 美國聯邦交易委員會 (FTC) :發現約百家企業組織之客戶或員工資料於 P2P 網路流傳 – 2010.02.23 美國藍十字與藍盾協會員工筆電遭竊, , 10 萬名醫生個資外洩 – 2009.10.16 美國軍方將硬碟送修時忘了銷毀硬碟資料,而該硬碟儲存了 7600 萬筆退休軍人的資料 – 2009.10.

kiele
Download Presentation

99 年度證券商資安宣導

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 99年度證券商資安宣導 如何防範企業機敏資料外洩

  2. 簡報大綱 • 資料外洩與個資法修正草案 • 常見資料外洩類型案例 • 個資法修正之可能衝擊 • 電子資料外洩管道 • 管控制度規劃與稽核要點 • 問題與討論

  3. 常見資料外洩類型案例

  4. 國外資料外洩案例 • 美國聯邦交易委員會(FTC):發現約百家企業組織之客戶或員工資料於P2P網路流傳 – 2010.02.23 • 美國藍十字與藍盾協會員工筆電遭竊, ,10萬名醫生個資外洩 – 2009.10.16 • 美國軍方將硬碟送修時忘了銷毀硬碟資料,而該硬碟儲存了7600萬筆退休軍人的資料 – 2009.10

  5. 國外資料外洩案例 • 日本住友生命1652名職員資料於P2P管道洩漏 – 2009.07.31 • 柏克萊大學學生保健服務中心伺服器遭駭客入侵,16萬筆醫療個資(包含社會安全碼)外洩 – 2009.05.11 • 歐巴馬專用直昇機的詳細資料,包括飛機藍圖以及航空電子設計,在P2P上流出 – 2009.03.02

  6. 國內資料外洩案例 • 東森購物八千筆客戶交易資料外洩,包括完整姓名、連絡電話、寄送地址、信用卡詳細資料– 2009.06 • 大正資訊標到國中基測相關業務後,將考生資料以100萬元至180萬元的金額多次販售給補教業者 – 2008.06.15

  7. 國內資料外洩案例 • 東森休閒育樂公司離職經理,涉嫌從公司帶出7萬多筆客戶資料,並分別賣出4次 – 2008.01.24 • 刑事局偵九隊破獲駭客入侵網路銀行之客戶電腦盜領存款案,20萬筆個人帳號密碼遭竊,被盜領金額200餘萬元 – 2004.06

  8. 2010美國身分竊盜資源中心(ITRC) *括弧中為排名

  9. 個資法修正之可能衝擊

  10. 個人資料保護法之衝擊 • 企業需負舉證責任 • 除能證明無故意或過失,否則需負損害賠償責任 • 每人每一事件新台幣五百元以上二萬元以下(若能證明其損害賠償金額則更高) • 同一原因事實合計最高總額二億

  11. 電子資料外洩管道

  12. 網頁應用程式防火牆 資料庫稽核系統 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 稽核人員 外部防火牆 內部防火牆 數位權限管理系統 內部網路 下班 員工 員工 資料外洩管道簡圖

  13. 網際網路 外部防火牆 內部網路 下班 員工 員工 P2P軟體使用不當(1/2)

  14. 網際網路 稽核人員 外部防火牆 數位權限管理系統(DRM) 內部網路 下班 員工 員工 P2P軟體使用不當(2/2)

  15. 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 內部防火牆 內部網路 下班 員工 員工 資料傳遞管道不安全(1/2)

  16. 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 稽核人員 內部防火牆 內部網路 下班 員工 員工 資料傳遞管道不安全(2/2) https 數位權限管理系統(DRM) 3DES

  17. 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 內部防火牆 內部網路 員工 應用程式的安全弱點(1/2) SQL注入、跨站腳本、認證機制不良等

  18. 網頁應用程式防火牆 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 稽核人員 內部防火牆 內部網路 員工 應用程式的安全弱點(2/2) SQL注入、跨站腳本、認證機制不良等

  19. 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 外部防火牆 內部防火牆 內部網路 下班 員工 員工 病毒、蠕蟲、木馬程式(1/2)

  20. 網頁應用程式防火牆 資料庫稽核系統 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 稽核人員 外部防火牆 內部防火牆 內部網路 下班 員工 員工 病毒、蠕蟲、木馬程式(2/2) 數位權限管理系統(DRM)

  21. 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 外部防火牆 內部防火牆 內部網路 員工 人員監守自盜(1/2)

  22. 網頁應用程式 合作廠商 客戶 外部防火牆 資料庫 網際網路 稽核人員 外部防火牆 內部防火牆 數位權限管理系統 內部網路 員工 人員監守自盜(2/2) 資料庫稽核系統

  23. 管控制度規劃與稽核要點

  24. 可參考之標準與指引 • ISO 27001:2005(ISMS) • BS10012:2009(PIMS) • 研考會電子資料保護參考指引:2008

  25. 防範資料外洩的基本原則 • 資料的鑑別並分級分類 • 除非必要,否則不蒐集機敏資料(不蒐集就沒有外洩風險) • 除非必要,否則已經不需要的機敏資料應立即清除(保存時間越長,外洩風險越高)

  26. 防範資料外洩的安全面向 接觸到資料 (人或惡意程式) • 儲存與處理 • 存取控制 • 使用者識別與鑑別 • 最小特權 • 資料傳輸運輸 • 惡意行為偵測與防禦 • 稽核紀錄保護及保存 取得存取權限 (非法取得或合法取得) 將資料帶出管制區 (運送工具與方式) 資料外洩三步驟

  27. 防範資料外洩的稽核要點 • 異常時間存取行為 • 異常資料存取次數與數量

  28. 簡報完畢

More Related