个人资料保护与ISMS资讯安全管理课件

個人資料保護與

ISMS資訊安全管理資訊風險管理組魯君禮協理個人資料保護與

ISMS資訊安全管理資訊風險管理組魯君禮簡報大綱個人資料保護法個人資料管理個人資料保護與ISMS基本資訊安全認知Q&A簡報大綱個人資料保護法個人資料管理個人資料保護與ISMS基本個人資料保護法立法院於99年4月27日，將電腦處理個人資料保護法，修訂並三讀通過為「個人資料保護法」修訂方向：擴大保護客體普遍適用主體增修行為規範強化行政監督妥適調整罰則促進民眾參與個人資料保護法立法院於99年4月27日，將電腦處理個人資料保個人資料保護法－範圍擴大擴大適用行業原適用八大行業(徵信、醫院、學校、電信、金融、證券、保險及傳播業)適用範圍擴大至公務機關(含行政法人)與公務機關外的自然人、法人或其他團體。個資新定義與科技演進結合原個資定義：姓名、生日、身份證字號、特徵、指紋、婚姻、職業等。增加了護照號碼、犯罪前科、聯絡方式，並原病歷擴大為需考量醫療、基因、性生活、健康檢查等。調整資料儲存型式：原有對儲存於電磁紀錄物或其他類似媒體。調整為以自動化機器或非自動化個人資料之集合個人資料保護法－範圍擴大擴大適用行業個人資料保護法－加強個資保護及通報因應加強個資保護公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。（詳個資法第2章第18條）

非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。（詳個資法第3章第27條）

個資外洩時主動告知當事人公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。（詳個資法第1章第12條）

個人資料保護法－加強個資保護及通報因應加強個資保護個人資料保護法－提高賠償責任與罰則提高賠償責任與罰則 於公務機關在非天災等不可抗力因素外，導致個資外洩而侵害當事人權益時，得依每人每一事件新台幣500元~20000元以下；若造成多數人權益受損時，則由2000萬調高至2億。（請詳第4章第28條）加重違反罰則違反時仍為處以二年以下有期徒刑、拘役並由原有的4萬元以下罰金增加為20萬（請詳第5章第41條）；增加意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，處5年以下有期徒刑、拘役或科或併科新臺幣100萬元以下罰金（請詳第5章第42條）。

個人資料保護法－提高賠償責任與罰則提高賠償責任與罰則個人資料保護法總覽第一章總則(1~14條)

定義、當事人權利、告知、限制蒐集...第二章公務機關對個人資料之蒐集、處理及利用(15~18條)

公開、安全維護...第三章非公務機關對個人資料之蒐集、處理及利用(19~27條)

主管機關檢查、處分第四章損害賠償及團體訴訟(28~40條)

賠償金額、舉證責任第五章罰則(41~50條)

告訴乃論與刑責第六章附則(51~56條)

排除及適用個人資料保護法總覽第一章總則(1~14條)個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。個資法第二條個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。個資法第五條摘要(一)個人資料：個資法第二條個人資料之蒐集、處理或利用，應尊重當事第十六條第七款、第二十條第一項第五款所稱書面同意，指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之書面意思表示。個資法第七條當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。個資法第八條摘要(二)第十六條第七款、第二十條第一項第五款所稱書面同意，指當事人經公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。個資法第十二條公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：一、個人資料檔案名稱。二、保有機關名稱及聯絡方式。三、個人資料檔案保有之依據及特定目的。四、個人資料之類別。個資法第十七條摘要(三)公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。個資法第十八條非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。個資法第二十七條摘要(四)公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。個資法第二十九條有下列情形之一者，不適用本法規定：一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。個資法第五十一條摘要(五)非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其個人資料生命週期管理

(PersonalDataLifeManagement)清除存取傳輸儲存使用蒐集C.I.A.個人資料生命週期管理

(PersonalDataLife個人資料管理重點(一)蒐集蒐集個人資料之理由、方法與告知義務確認個人資料之正確性及內容是否為法律定義之「得以直接或間接方式識別該個人之資料」使用符合法律之使用規範符合組織政策之內部使用規範(例如：交叉行銷)存取存取個人資料之權限管理委外或外包廠商之資訊安全管理個人資料管理重點(一)蒐集個人資料管理重點(二)傳輸個人資料傳輸過程中之安全(加密或安全網路)儲存個人資料新增及修改之作業程序存放個人資料場所及設備之安全管理備份或歸檔後之資料安全清除個人資料刪除或報廢之安全處理程序其它客訴、法律糾紛、懲處程序個人資料管理重點(二)傳輸個人資料保護管理措施將政策及目標文件化建立專責組織建立執行計畫對組織全員進行宣導確認個人資料涵蓋範圍辨識相關法令及規定鑑別風險並管理風險確認必要資源制定相關規範實施教育訓練落實執行相關控管措施監督檢視管理成效執行矯正預防措施PlanDoCheck&Act個人資料保護管理措施將政策及目標文件化對組織全員進行宣導監督個人資料保護管理與ISO27001(1/4)法令規章之遵循業務持續運作管理資訊安全事件管理人員安全實體與環境安全通訊與操作管理系統發展與維護存取控制資訊資產分類與管理資訊安全組織資訊安全政策資

訊

安

全

管

理

稽

核將政策及目標文件化建立專責組織建立執行計畫個資保護之PlanISO27001資訊安全管理內容個人資料保護管理與ISO27001(1/4)法令規章之遵循業個人資料保護管理與ISO27001(2/4)法令規章之遵循業務持續運作管理資訊安全事件管理人員安全實體與環境安全通訊與操作管理系統發展與維護存取控制資訊資產分類與管理資訊安全政策資訊安全組織資

訊

安

全

管

理

稽

核對組織全員進行宣導確認個人資料涵蓋範圍辨識相關法令及規定鑑別風險並管理風險確認必要資源制定相關規範實施教育訓練落實執行相關控管措施個資保護之DoISO27001資訊安全管理內容個人資料保護管理與ISO27001(2/4)法令規章之遵循業個人資料保護管理與ISO27001(3/4)法令規章之遵循業務持續運作管理資訊安全事件管理人員安全實體與環境安全通訊與操作管理系統發展與維護存取控制資訊資產分類與管理資訊安全組織資訊安全政策資

訊

安

全

管

理

稽

核監督檢視管理成效執行矯正預防措施個資保護之Check&ActISO27001資訊安全管理內容個人資料保護管理與ISO27001(3/4)法令規章之遵循業個人資料保護管理與ISO27001(4/4)法令規章之遵循業務持續運作管理資訊安全事件管理人員安全實體與環境安全通訊與操作管理系統發展與維護存取控制資訊資產分類與管理資訊安全組織資訊安全政策資

訊

安

全

管

理

稽

核ISO27001資訊安全管理內容個人資料保護法著作權法(避風港條款)校園網路管理辦法個人資料保護管理與ISO27001(4/4)法令規章之遵循業個人資料庫2.控管要求表5.SSL5.WEP5.SSH3.實體安全4.電腦安全5.網路安全6.存取控制5.SSL備份流程銷毀流程分類標示處理流程存取權限管理ReadWrite能存取哪些欄位(與個資有關)6.登入驗證Log帳號管理6.登入驗證Log帳號管理1.資訊資產清單-資料類書面文件加密加密那些欄位與個資有關？合法蒐集個別客戶行政管理DBAWebAdDataOwner上網eMailIM達成個資保護實作方式示意圖(配合ISMS)個人資料庫2.控管要求表5.SSL5.WEP5.SSH3.實律師建議之自我檢查五步驟律師建議之自我檢查五步驟資料保護基本安全認知(1/3)工作帶回家可能產生的資料外洩風險除非組織規定允許，否則不應將公務資料帶回家如果必須將公務資料帶回家處理，應確認家中電腦亦有適當的安全防護，例如啟用防火牆、安裝防毒軟體並更新最新病毒碼、更新系統修補程式等若使用家中電腦處理公務資料，應儘量保持為較安全的使用環境，例如不要安裝P2P軟體，甚至離線作業儲存重要資料的外接式儲存媒體應小心保管個人慣用的筆記型電腦常存有個人、公務資料，應特別留意保管，勿讓宵小有機可乘資料保護基本安全認知(1/3)工作帶回家可能產生的資料外洩風資料保護基本安全認知(2/3)重視個人帳號的密碼安全帳號密碼為身份驗證的基本防護，務必重視密碼保護並設定強度足夠的安全密碼在工作場所之外的電腦登入使用系統，須留意是否為安全的使用環境並確認密碼無外洩之虞適當保護敏感資料，例如將文件加密或設定開啟密碼遵守組織的保密規定及遵行各項使用規範提供資料供公開查閱，須確認是否有民眾敏感資料（例如身份證字號、醫療資訊、通訊資料等）被不當暴露保護敏感資料資料保護基本安全認知(2/3)重視個人帳號的密碼安全帳號密碼資料保護基本安全認知(3/3)遵循組織的電腦使用規定工作電腦的使用，應遵循組織的電腦使用規定即使工作電腦的使用權限允許安裝軟體，亦必須合乎組織資訊安全規定、軟體使用規範與法令當點擊的網址為原網站的外部連結時，應格外提高警覺不要因為好奇心任意點擊情色、聳動等標題的網址連結電子郵件夾帶副檔名.exe、.com、.bat等檔案，幾乎都是惡意程式，不要開啟防範網路詐騙攻擊資料保護基本安全認知(3/3)遵循組織的電腦使用規定工作電腦其他保護個人資料小提醒員工資料亦受法律保護所有調閱活動應依照標準作業程序進行不在電話裡隨便透露個人資料非信任之網站，勿隨意留下個人資料以碎紙機銷毀各式帳單、收據、信件、藥單等不點選不明人士傳送的網址提防偽裝之網頁、電子報與信件不委託他人代辦貸款及信用卡影印文件交付時註明用途(表示不適用於其他用途)其他保護個人資料小提醒員工資料亦受法律保護Q&AQ&A演讲完毕谢谢观看2020演讲完毕谢谢观看2020個人資料保護與

ISMS資訊安全管理資訊風險管理組魯君禮協理個人資料保護與

ISMS資訊安全管理資訊風險管理組魯君禮簡報大綱個人資料保護法個人資料管理個人資料保護與ISMS基本資訊安全認知Q&A簡報大綱個人資料保護法個人資料管理個人資料保護與ISMS基本個人資料保護法立法院於99年4月27日，將電腦處理個人資料保護法，修訂並三讀通過為「個人資料保護法」修訂方向：擴大保護客體普遍適用主體增修行為規範強化行政監督妥適調整罰則促進民眾參與個人資料保護法立法院於99年4月27日，將電腦處理個人資料保個人資料保護法－範圍擴大擴大適用行業原適用八大行業(徵信、醫院、學校、電信、金融、證券、保險及傳播業)適用範圍擴大至公務機關(含行政法人)與公務機關外的自然人、法人或其他團體。個資新定義與科技演進結合原個資定義：姓名、生日、身份證字號、特徵、指紋、婚姻、職業等。增加了護照號碼、犯罪前科、聯絡方式，並原病歷擴大為需考量醫療、基因、性生活、健康檢查等。調整資料儲存型式：原有對儲存於電磁紀錄物或其他類似媒體。調整為以自動化機器或非自動化個人資料之集合個人資料保護法－範圍擴大擴大適用行業個人資料保護法－加強個資保護及通報因應加強個資保護公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。（詳個資法第2章第18條）

非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。（詳個資法第3章第27條）

個資外洩時主動告知當事人公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。（詳個資法第1章第12條）

個人資料保護法－加強個資保護及通報因應加強個資保護個人資料保護法－提高賠償責任與罰則提高賠償責任與罰則 於公務機關在非天災等不可抗力因素外，導致個資外洩而侵害當事人權益時，得依每人每一事件新台幣500元~20000元以下；若造成多數人權益受損時，則由2000萬調高至2億。（請詳第4章第28條）加重違反罰則違反時仍為處以二年以下有期徒刑、拘役並由原有的4萬元以下罰金增加為20萬（請詳第5章第41條）；增加意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，處5年以下有期徒刑、拘役或科或併科新臺幣100萬元以下罰金（請詳第5章第42條）。

個人資料保護法－提高賠償責任與罰則提高賠償責任與罰則個人資料保護法總覽第一章總則(1~14條)

定義、當事人權利、告知、限制蒐集...第二章公務機關對個人資料之蒐集、處理及利用(15~18條)

公開、安全維護...第三章非公務機關對個人資料之蒐集、處理及利用(19~27條)

主管機關檢查、處分第四章損害賠償及團體訴訟(28~40條)

賠償金額、舉證責任第五章罰則(41~50條)

告訴乃論與刑責第六章附則(51~56條)

排除及適用個人資料保護法總覽第一章總則(1~14條)個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。個資法第二條個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。個資法第五條摘要(一)個人資料：個資法第二條個人資料之蒐集、處理或利用，應尊重當事第十六條第七款、第二十條第一項第五款所稱書面同意，指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之書面意思表示。個資法第七條當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。個資法第八條摘要(二)第十六條第七款、第二十條第一項第五款所稱書面同意，指當事人經公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。個資法第十二條公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：一、個人資料檔案名稱。二、保有機關名稱及聯絡方式。三、個人資料檔案保有之依據及特定目的。四、個人資料之類別。個資法第十七條摘要(三)公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。個資法第十八條非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。個資法第二十七條摘要(四)公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。個資法第二十九條有下列情形之一者，不適用本法規定：一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。個資法第五十一條摘要(五)非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其個人資料生命週期管理

(PersonalDataLifeManagement)清除存取傳輸儲存使用蒐集C.I.A.個人資料生命週期管理

(PersonalDataLife個人資料管理重點(一)蒐集蒐集個人資料之理由、方法與告知義務確認個人資料之正確性及內容是否為法律定義之「得以直接或間接方式識別該個人之資料」使用符合法律之使用規範符合組織政策之內部使用規範(例如：交叉行銷)存取存取個人資料之權限管理委外或外包廠商之資訊安全管理個人資料管理重點(一)蒐集個人資料管理重點(二)傳輸個人資料傳輸過程中之安全(加密或安全網路)儲存個人資料新增及修改之作業程序存放個人資料場所及設備之安全管理備份或歸檔後之資料安全清除個人資料刪除或報廢之安全處理程序其它客訴、法律糾紛、懲處程序個人資料管理重點(二)傳輸個人資料保護管理措施將政策及目標文件化建立專責組織建立執行計畫對組織全員進行宣導確認個人資料涵蓋範圍辨識相關法令及規定鑑別風險並管理風險確認必要資源制定相關規範實施教育訓練落實執行相關控管措施監督檢視管理成效執行矯正預防措施PlanDoCheck&Act個人資料保護管理措施將政策及目標文件化對組織全員進行宣導監督個人資料保護管理與ISO27001(1/4)法令規章之遵循業務持續運作管理資訊安全事件管理人員安全實體與環境安全通訊與操作管理系統發展與維護存取控制資訊資產分類與管理資訊安全組織資訊安全政策資

訊

安

全

管

理

稽

核將政策及目標文件化建立專責組織建立執行計畫個資保護之PlanISO27001資訊安全管理內容個人資料保護管理與ISO27001(1/4)法令規章之遵循業個人資料保護管理與ISO27001(2/4)法令規章之遵循業務持續運作管理資訊安全事件管理人員安全實體與環境安全通訊與操作管理系統發展與維護存取控制資訊資產分類與管理資訊安全政策資訊安全組織資

訊

安

全

管

理

稽

核對組織全員進行宣導確認個人資料涵蓋範圍辨識相關法令及規定鑑別風險並管理風險確認必要資源制定相關規範實施教育訓練落實執行相關控管措施個資保護之DoISO27001資訊安全管理內容個人資料保護管理與ISO27001(2/4)法令規章之遵循業個人資料保護管理與ISO27001(3/4)法令規章之遵循業務持續運作管理資訊安全事件管理人員安全實體與環境安全通訊與操作管理系統發展與維護存取控制資訊資產分類與管理資訊安全組織資訊安全政策資

訊

安

全

管

理

稽

核監督檢視管理成效執行矯正預防措施個資保護之Check&ActISO27001資訊安全管理內容個人資料保護管理與ISO27001(3/4)法令規章之遵循業個人資料保護管理與ISO27001(4/4)法令規章之遵循業務持續運作管理資訊安全事件管理人員安全實體與環境安全通訊與操作管理系統發展與維護存取控制資訊資產分類與管理資訊安全組織資訊安全政策資

訊

安

全

管

理

稽

核ISO27001資訊安全管理內容個人資料保護法著作權法(避風港條款)校園網路管理辦法個人資料保護管理與ISO27001(4/4)法令規章之遵循業個人資料庫2.控管要求表5.SSL5.WEP5.SSH3.實體安全4.電腦安全5.網路安全6.存取控制5.SSL備份流程銷毀流程分類標示處理流程存取權限管理ReadWrite能存取哪些欄位(與個資有關)6.登入驗證Log帳號管理6.登入驗證Log帳號管理1.資訊資產清單-資料類書面文件加密加密那些