Download
1 / 39
400 likes | 515 Views
資通 安全. 國立中壢高級家事商業職業學校 100 年度第 1 次資訊安全教育. 日期: 100 年 6 月 22 日(星期三) 時間: 14 時 00 分至 16 時 00 分 地點:本校電腦 A 教室 主辦:資訊安全小組 主講 : 葉建麟 chlin@pclhvs.cl.edu.tw. 國立中壢高級家事商業職業學校 100 年度第 1 次資訊安全教育. 辦理依據: (一)教育部臺電字第 1000085711 號函辦理。
E N D
資通 安全 國立中壢高級家事商業職業學校100年度第1次資訊安全教育 日期:100年6月22日(星期三) 時間:14時00分至16時00分 地點:本校電腦A教室 主辦:資訊安全小組 主講:葉建麟 chlin@pclhvs.cl.edu.tw
國立中壢高級家事商業職業學校100年度第1次資訊安全教育國立中壢高級家事商業職業學校100年度第1次資訊安全教育 辦理依據: (一)教育部臺電字第1000085711號函辦理。 依據教育部臺電字第1000085711號函-辦理本校保有個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明。 (二)本校資訊安全管理要點。 教育部所屬各級公私立學校資通安全工作事項規定:高中職學校每年必需對機關內一般人員實施至少2小時資安教育訓練,已會請人事室將資安相關研習2小時列入公務員年度學習時數必要考核項目。
研習課程大綱 (一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明。 (二)P2P下載檔案暨分享疑似侵權案例說明。 (三)USB隨身碟資料防護方法簡介。 (四)防毒軟體安裝及操作。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.1 • 教育部 函
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.2 1.依文辦理公務機關-本校各單位內保有及管理個人資料保護事項及公開作業事宜。 2.請校內各單位參照本文說明二、三、四,完成保有個人資料檔案清查作業及特定目的、資料類別修正作業。 3.檢陳本校資安小組/電腦中心填報資料表(如附件一)及個人資料保護業務公開作業範本說明(附件二)提供各單位參考。 4.為俾彙整作業,請各單位主管於7/15前將彙整表以電子檔e-mail至chlin@pclhvs.cl.edu.tw 5.本案會請資訊安全長於主管(行政)會議中報告。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.4 辦理目的
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.5 個人資料保護業務公開作業 1、法律依據(A) 電腦處理個人資料保護法第10條第1項:「公務機關保有個人資料檔案者,應在政府公報或以其他適當方式公告左列事項;其有變更者,亦同:一、個人資料檔案名稱。二、保有機關名稱。三、個人資料檔案利用機關名稱。四、個人資料檔案保有之依據及特定目的。五、個人資料之類別。六、個人資料之範圍。七、個人資料之蒐集方法。八、個人資料通常傳遞之處所及收受者。九、國際傳遞個人資料之直接收受者。十、受理查詢、更正或閱覽等申請之機關名稱及地址。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.6 個人資料保護業務公開作業 1、法律依據(B) 個人資料保護法(尚未施行)第17條:「公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.7 公開目的 立法說明 1、電腦處理個人資料保護法第10條立法理由:「個人資料檔案經公告後,當事人可得知其情,以行使本法第四條所賦予之權利。又既已公告,公務機關自無庸再主動個別告知,爰為本條規規定。」 2、個人資料保護法第17條立法理由:「鑑於目前國人使用網際網路極為普遍,因此公務機關依現行條文規定應公告事項,如能張貼公開於機關電腦網站,將更有利於民眾查閱,惟慮及城鄉差距及電腦使用普及率等等因素,仍保留其他供公眾查閱之適當方式,例如:刊登政府公報等。」
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.7 公開目的 1、使當事人有知悉之機會,以行使個人資料之自主決定權,避免人格權(資訊隱私權)受到侵害。 2、透過公開作業,公務機關無庸再主動個別告知。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.8 界定概念 1.個人資料檔案: A、電腦處理個人資料保護法第3條第2款:「指基於特定目的儲存於電磁紀錄物或其他類似媒體之個人資料之集合。」 • B、個人資料保護法第2條第2款:「指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。」 2.保有機關名稱:以機關名義對外公開。 3.保有機關聯絡方式:以機關聯絡方式為之,即屬適法。 4.個人資料檔案保有之依據:指公務機關保有個人資料檔案法令或行政計畫之依據(電腦處理個人資料保護法施行細則第17條)。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.9 界定概念 5.個人資料檔案保有之特定目的:由各機關就其法令規定職掌或執行法定職務之範圍,依本部85年8月7日法85令字第19745號令頒101項特定目的自行定之。未來新法實施後,各機關再依其提報增修後之特定目的修正公告。 6.個人資料之類別:由各機關就其保有個人資料檔案之欄位,依本部85年8月7日法85令字第19745號令頒個人資料類別自行定之。未來新法實施後,各機關再依其提報增修後之個人資料類別修正公告。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.10 公開作業原則 1.公開作業以涉及個人資訊隱私權為規範目的,不包括公務人員於公文上表彰身分之個人資料。 2.公開內容僅為個人資料「檔案名稱」,並非公開個人資料內容。 3.公開作業係索引目錄之建立,為兼顧行政效率,以簡便易行為原則;民眾欲查閱其個人資料檔案之內容,仍應依現行政府資訊公開法或檔案法規定之申請格式,或依電腦處理個人資料保護法(個人資料保護法施行後依其修正名稱)之規定等申請之。 • 4.檔案名稱具全國一致性者,例如人事、會計及統計、政風、檔案等單位之業務,為避免歧異,擬提供「共同性個人資料檔案名稱」供各機關就其業務屬性參考援用。 5.各機關保有之個人資料檔案,係來自於母資料庫(集中式或分散式系統)者,該母資料庫由建置之機關對外公告;各機關如有自行建置與母資料庫相關之子資料庫者,則由各該機關自訂檔案名稱並自行對外公告。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.11 公開作業原則 6.各機關保有之個人資料檔案,係來自於資料庫或名冊產出之報表或相關資料者,為避免繁複,僅以該資料庫或名冊之個人資料檔案名稱為限。 7.個人資料檔案,以各機關現存保有(無論目前有無使用)者為規範對象,各機關如因業務辦畢而無再次利用該個人資料檔案之可能性者,如未涉歷史紀錄、存取記錄或其他證據保全之要求,建請刪除或銷毀;如考量有再次利用之可能性者,仍屬應公開之個人資料檔案。 8.機關內各業務單位與資訊單位提報保有之個人資料檔案(名稱)有重複者,對外公開時以業務單位為保有單位,以利民眾依法行使其查閱等權利並簡省行政公文流程。 9公開方式以公開於機關電腦網站且以常時揭載為原則;無相關機制者,則由該機關依其適當方式公開之,惟仍以常時揭載為最大目標,以貫徹民眾有知悉之權利。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.12 共同性個人資料檔案名稱範本: 以歲計會計業務為例 全國會計及出納單位辦理歲計會計業務涉及蒐集個人資料一覽表(共同性部分範例)
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.13 個人資料檔案名稱如何訂定? 由業務承辦人自行訂定,無一定規則,電腦系統名稱亦可為檔案名稱,例如:校務行政系統、EIP學生帳號管理等。 教務處 學籍 管理 要點
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.14 什麼是法令依據? 機關蒐集、處理個人資料的法令依據,不論是法律或機關所發布之 行政規則,只要明文規定可以蒐集處理個人資料,皆可為法令依據。 找不到法令依據怎麼辦? 機關保有個人資料無法令依據者,尚可包含經當事人書面同意及對當事人權益無侵害,故有行政計畫之情形亦可為保有個人資料之依據。 然無特定目的之個人資料,依法必須刪除或停止處理或利用。如未為之,亦未依個人資料保護法第17條公告,而導致個人資料外洩,承辦人自負相關法律刑。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.15 特定目的是什麼? 業務承辦人必須就其掌有之個人資料,自行找出特定目的。 參考法務部85年8月7日法85令字第19745號令 個人資料類別是什麼? 參考法務部85年8月7日法85令字第19745號令 個人資料範圍? 即個人資料含有那些欄位,例如「徵兵及齡男子兵籍資料」資料範圍為「姓名、出生年月日、身分證字號、電話、住址、健康檢查紀錄」
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.16 如何判斷是否為特種資料? 個人資料檔案若包含醫療、基因、性生活、健康檢查及犯罪前科等五項即為特種資料,例如「徵兵及齡男子兵籍資料」包含健康檢查紀錄,故此個人資料為特種資料。 什麼是「有無監督管理之非公務機關及其名稱」? 該個人資料檔案是否委託非公務機關蒐集處理,如有委託非公務機關蒐集處理,必須對該非公務機關進行監督管理。 例如「推動民眾上網計畫案」民眾之個人資料是委託「巨匠電腦股份有限公司」蒐集。
(一)個人資料檔案清查作業及特定目的、資料類別修正作業等相關規定說明 p.17 Then…. Please do the job Before 100/7/15 Thanks!
(二)P2P下載檔案暨分享疑似侵權案例說明p.1 • [曾經] 班級教室違規使用P2P(foxy)下載及分享檔案 1.統計當日該班流量佔全校32%. 2. 依本校個人電腦使用注意事項第17項之規定是禁止使用點對點互連(P2P)軟體,除會影響本校整體傳輸品質,亦有可能若涉及智財權等違法情事。 3.請資訊安全長於會議中加強宣導(請學務處,導師協助宣導)
(二)P2P下載檔案暨分享疑似侵權案例說明p.2 [轉] 2011/3/17教育部電算中心-台灣學術網路管理檢舉信
(二)P2P下載檔案暨分享疑似侵權案例說明p.3 [處理經過及回報作業]
(二)P2P下載檔案暨分享疑似侵權案例說明p.4 [違反智財權可能後果?] .告訴乃論 .負擔損害賠償責任 [民事,刑事] .p2p下載也分享下載? 下載受著作權保護之他人著作,包括使公眾得於其各自選定之 時間或地點接收著作內容,即使非以營利為目的,這種「供他 人下載」的行為,則可能構成侵害著作權人的公開傳輸權。
ISP「責任避風港」 • 自製MV [引用他人著作音樂,歌詞] PO上網? • YouTube影音上傳?? • 「責任避風港」 即指著作權人或其權利代表人向ISP業者檢舉侵權後,ISP業 者依法可將侵權內容下架或刪除,並依IP位址通知可能侵權的服務使用者,如此便可免除侵權法律責任。
(三) USB隨身碟資料防護方法簡介 • [必備]中研院研發隨身碟防毒軟體---WowUSBVirusKiller-zh.exe • [真實案例] - USB隨身碟 crash 插入隨身碟以後,點兩下電腦就跳出一個視窗 “磁碟機X中的磁碟未格式化,現在格式化嗎?”實戰解法: 用Final Data救援軟體救回來. [真實案例] - USB隨身碟病毒-插入隨身碟以後,資料夾全不見了. 其實是全被改成[隱藏屬性]實戰解法: 直接在命令提示字元裡下指令[ attrib –h –s X:\*.* /s /d ]
(四)防毒軟體安裝及操作 • 以本校全校授權版officescan為例 [僅在本校校內能安裝] • 安裝網址: 首頁> 行政單位> 資安小組/電腦中心> 工作內容>校園防毒軟體officescan安裝 [*] 安裝過程會出現多次安裝activeX信認元件,請依序執行 • 反安裝:需Password => [OF3636] • 操作Demo
網路相簿-整批相片ZIP上傳 • 相片圖檔批次處理(使用Microsoft Office Picture Mamager) • 壓縮成一ZIP檔 • 登入網站[使用e化帳號:TXXX 登入] • 選取[相簿管理]功能=>進入[校園網路相簿] • 選取[編輯活動相簿]=>[新增相簿]=>[輸入相簿名稱] • =>[編輯相片]=> [上傳相片(ZIP格式)]
參考資料 • 個人資料保護業務公開作業範本說明 • 地方政府辦理個人資料保護業務之現況及規劃 • (宜蘭縣政府計畫處資訊規劃科100.4) • 法務部100年度 公務機關辦理個人資料保護業務公開作業 • 研習會(簡報) • 電腦處理個人資料保護法修正條文對照表(99.5.26)
課程結束 感謝聆聽 敬請指教 Thanks for your attention !
