1 / 31

資訊安全管理

資訊安全管理. 研究發展室資訊管理課 林彥廷 技士. 資訊安全學習資源. 課程資料來源 行政院國家資通安全會報技術服務中心網站 -> 「 線上安全學習網 」 (http://www.icst.org.tw) 電子化政府 - 網路文官學院網站 「 電子化政府 」 -> 「 資訊安全 」 課程 (http://elearning.nat.gov.tw). 年度重大資安活動. 資安攻防演練 行政院研考會資安通報演練 桃園縣資安通報演練 行政院主計處重點機關資安外部稽核 各機關自主內部稽核. 資訊相關法律及規定. 刑法第 36 章妨害電腦使用罪章 國家機密保護法

piera
Download Presentation

資訊安全管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 資訊安全管理 研究發展室資訊管理課 林彥廷 技士

  2. 資訊安全學習資源 • 課程資料來源 • 行政院國家資通安全會報技術服務中心網站->「線上安全學習網」 (http://www.icst.org.tw) • 電子化政府-網路文官學院網站 「電子化政府」->「資訊安全」課程 (http://elearning.nat.gov.tw)

  3. 年度重大資安活動 • 資安攻防演練 • 行政院研考會資安通報演練 • 桃園縣資安通報演練 • 行政院主計處重點機關資安外部稽核 • 各機關自主內部稽核

  4. 資訊相關法律及規定 • 刑法第36章妨害電腦使用罪章 • 國家機密保護法 • 電腦處理個人資料保護法 • 通訊保障及監察法

  5. 刑法妨害電腦使用罪章 • 民國92年6月25日發佈(增訂第三十六章章名、358~363 條條文 ) • 以維護網路秩序為重點

  6. 刑法第三十六章妨害電腦使用罪原文 • 第 358 條 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞 ,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或 併科十萬元以下罰金。 • 第 359 條 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公 眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。 • 第 360 條 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於 公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 • 第 361 條 對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一 。 • 第 362 條 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害 於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰 金。 • 第 363 條 第三百五十八條至第三百六十條之罪,須告訴乃論。

  7. 國家機密保護法 民國92年2月6日公佈 • 「國家機密」三個構成要件 –為確保國家安全或利益而有保密之必要 –政府機關持有或保管之資訊 –依本法核定機密等級者(絕對機密/極機密/機密) • 機密之核定與變更 –應注意相關準備文件、草稿 –依職權或申請註銷、解除或變更等級 –核定國家機密等級時,應併予核定其保密期限或解除機密之條件。 –涉及國家安全情報來源或管道之國家機密應永久保密

  8. 電腦處理個人資料保護法 • 規範主體:公務機關與非公務機關 –非公務機關 徵信業及以蒐集或電腦處理個人資料為主要業務之團 體或人、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八項行業(個資法第三條第一項第7款) • 個人資料之定義 自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業健康、病歷、財務情況社會活動及其他足資識別該個人之資料。

  9. 電腦處理個人資料保護法 • 規範之行為 –特定目的蒐集、處理與利用 –保持正確與蒐集目的消失後刪除義務 • 當事人之個人資料自主權 –查詢及請求閱覽 –請求製給複製本 –請求補充或更正 –請求停止電腦處理及利用 –請求刪除 (不得預先拋棄或以特約限制)

  10. 電腦處理個人資料保護法 • 得為特定目的外利用之情形 –法令明文規定 –有正當理由而僅供內部使用 –為維護國家安全、增進公共利益 –為免除當事人之生命、身體、自由或財產上 之急迫危險 –為防止他人權益之重大危害而有必要 –為學術研究而有必要且無害於當事人之重大利益 –有利於當事人權益 –當事人書面同意

  11. 電腦處理個人資料保護法 • 公務機關應依當事人之請求,就其保有之個人資料檔案,答覆查詢、提供閱覽或製給複製本(個資法第12條)。 • 公務機關保有個人資料檔者應指定專人依相關法令辦理安全維護事項(個資法第17條)。

  12. 電腦處理個人資料保護法 • 機關:國家賠償 違反規定致當事人權益受損時,須負賠償責任(包括 財產及非財產上損害賠償); 責任總額最高為新台幣二千萬元。 • 公務員:刑事責任 –個資法第33條意圖營利違反規定命令罪或第34條非法輸出、干擾、變更、刪除、妨害正確罪,依個資法第35條規定,須加重其刑至二分之一。 –機關賠償當事人後,仍可向該員求償。

  13. 電腦處理個人資料保護法

  14. 通訊保障及監察法 • 得進行通訊監察事由(第5條) –有事實足認被告或犯罪嫌疑人有下列各款罪嫌之一 –危害國家安全或社會秩序情節重大 –有相當理由可信其通訊內容與本案有關 –且不能或難以其他方法蒐集或調查證據者 (以上條件需全部具備) • 違反本法或其他法律之規定監察他人通訊者,負損害賠償責任(第19條) • 刑罰責任(第24條) –違法監察他人通訊者,處5年以下有期徒刑

  15. 通訊保障及監察法 • 監察他人之通訊而有下列情形之一者不罰(第29條) –依法律規定而為者 –電信事業或郵政機關(構) 人員基於提供公共電信或郵政服務之目的,而依有關法令執行者。 –監察者為通訊之一方或已得通訊之一方事先同意,而非出於不法目的。

  16. 網路相關監控行為 • Cookie蒐集個人資料行為 • 流量監控工具 • 內容檢查工具 • 定位資訊(GPS)

  17. 網路安全管理建議 • 制訂公布管理政策 –郵件系統管理政策 –網路隱私權保護政策 • 保護使用者個人資料政策宣示 • 蒐集處理之範圍─什麼資料已被收集? • 利用範圍─資料將被怎樣使用? • 使用主體範圍─什麼人也會得到這些資料? • 資料所有權人參與權利-我有權增刪修正自己資料 • 檢討所蒐集資訊必要性 • 資訊資產評估與存取權限控制 • 記錄與保存備份資料

  18. 十大資安好習慣 • 不明人士要盤查(不明電腦連線也要禁止) • 社交工程要小心(包括電話、電子郵件等途徑) • 電腦不用要登出(下班要關機) • 機密資料要保護(善用加密功能及軟體) • 密碼設定要穩固(善用密碼設定小技巧) • 重要資料要備份(資料有備份) • 應用系統要更新(杜絕已知的系統漏洞) • 電腦防毒要更新(新式病毒日益月新) • 瀏覽網路要提防(提防網路釣魚、惡意程式碼) • 電子郵件要過濾(垃圾郵件為電腦病毒及木馬感染途徑)

  19. 密碼設定要穩固-密碼遭破解之統計數據 • 密碼長度越長、密碼字元越多元化 密碼越穩固

  20. 密碼設定要穩固-密碼設定小技巧 • 以中文輸入法按鍵來當成密碼 注音輸入法的”倚天劍”按鍵 u3wu0ru04 • 以英文字或數字穿插 habit + 9510  h9a5b1i0t • 將英文字母位移數個字 habit 向後位移1位  ibcju • 以英文的一句諺語或一段歌詞,取每個英文字字首當成密碼。 Raindrops keep falling on my head. Rkfonmh

  21. 密碼設定要穩固-帳號與密碼的重要性 • 密碼如果不夠複雜,很容易被破解並造成安全上的衝擊。 • 管理重要系統或機密資料的帳號,更需加強密碼的強度。 • 密碼必須定期更換。 • 停用Guest 或Anonymous 帳號(所謂來賓或匿名帳號)。

  22. 瀏覽網路要提防-預防網路釣魚 • 不法人士偽造知名網站或是利用標題聳動的電子郵件作為誘餌,騙取個人或機密資料。 • 最好不要下載及安裝未經授權軟體 • 避免下載不想要的軟體 • 點選連結網站要確認網址以免受騙 • 可能為詐騙之郵件標題 – 「請確認您的帳戶資訊。」 – 要求更新信用卡資訊 – 「如果您不在48 小時內回應,您的帳戶將會關閉。」 – 「親愛的客戶。」 – 「請按一下下方的連結,進入您的帳戶。」

  23. 瀏覽網路要提防-使用網路服務需知 • 調查網站的聲譽 • 提供個人資訊時要檢查有無隱私權政策 • 進行線上交易要確定有加密措施(https) • 小心cookie的潛在危機 - cookie會自動記錄在網際網路的瀏覽及輸入的資料 - 應定期刪除cookie - 調整隱私權之設定值

  24. 電子郵件要過濾-處理電子郵件附件的五大祕訣電子郵件要過濾-處理電子郵件附件的五大祕訣 1. 除非您瞭解附件的來源且您知道會收到該附件,否則請勿開啟任何附件。 2. 如果電子郵件附件係由不知名人士寄出,請立即刪除該郵件。 3. 使用防毒軟體並時時更新。 4. 如果您必須寄送電子郵件附件給別人,請告知收件人,以免您的信件被誤認為病毒。 5. 使用垃圾郵件篩選功能協助您阻擋有害的電子郵件,很多這類郵件都含有危險附件。

  25. 資訊安全管理趨勢-資訊安全管理系統 • ISMS (Information Security Management System) 是一套有系統地分析和管理資訊安全風險的方法。 • 要達到100% 的資訊安全是一種過高的期望,資訊安全管理的目標是透過控制方法,把資訊風險降低到可接受的程度內。

  26. 資訊安全管理系統的重要性 • 表達提供安全營運環境的決心與承諾。 • 定義使用資訊與資訊系統的規範。 • 擘劃資訊安全架構。 • 為管理階層與全體員工溝通之依據。

  27. 資訊安全管理系統的目標 • 對內 –機關具備安全管理能力 –建立「安全等級」資訊管理制度 –為資訊架設一套安全防護機制 • 對外 –防範病毒及駭客入侵 –於遭受攻擊時,系統仍可維持正常運作能力

  28. 資訊安全管理制度的相關標準 • CNS 17799 & CNS 17800 • BS 7799 (ISO/IEC 17799) –BS 7799-1 : 2000 –BS 7799-2 : 2002 • Information Technology Baseline Protection Manual • COBIT • ISO/IEC 13335 (GMITS) • ISO 13569 • AS/NZS 4360:1999 Risk Management

  29. ISO/IEC 17799 ISO/IEC 17799 與 BS7799 BS7799-2:2002 • ISO/IEC 17799:2005 -施行細則 -參考文件 -完整的最佳資訊安全管理範例 • BS7799-2:2002 -以ISO/IEC 17799為基礎 -規範建立執行和文件化資訊安全管理系統的要求 -驗證標準 -2006新版本(ISO/IEC 27001)

  30. 我國政府相關規定 • 行政院及所屬各機關資訊安全管理要點 • 行政院訂定「行政院及所屬各機關資訊安全管理規範」,供全國政府機關(構)參考施行。 • 建立我國通資訊基礎建設安全機制計畫(94-97年)

  31. Q&A 謝謝參與

More Related