中小学信息安全管理系统规范(ISMS)之推动

1智慧財產及資訊安全管理系統規範2Outline資安現況與威脅教育體系資通安全規範推動國中小資通安全管理系統個人的資安責任中小學資訊安全管理系統(ISMS)之推動結論3資安現況與威脅4安全重要？汽車的安全性是否重要？國人購買汽車的考慮因素：價格性能省油外觀安全5安全不要？依WHO統計，每十萬人車禍死亡率上，台灣2005年即高達20.8人，相對高出美國14.6人與日本的7人。86.5%台灣車主認為安全氣囊很重要，但歐美標配一台車6顆，台灣只有1.47顆。資料來源:.tw.news.yahoo./article/url/d/a/070809/4/iicw.html

6安全真的很重要資訊安全與實體安全同等重要，但忽略資訊安全，所造成的損失很可能會遠高於忽略實體安全的結果。資源的投入≠完善的安全。保護資訊的安全必須瞭解：What?Why?How?When?Where?7資訊安全的威脅資料安全威脅外部威脅天然災害硬體損毀駭客病毒明文傳遞連線欺騙內部威脅系統弱點內部員工管理不當內部網路協力廠商8最近觀察到的狀況(1/3)舊的威脅與弱點仍然存在，且改善不多….2002年-2005年，仍有大部分政府及商業網站仍存在SQLInjection弱點。eg:駭客新手法資料隱碼入侵威脅九成官商網站(2002/04)建中學生入侵總統府網站(2003/04)駭客入侵大考中心過去三年逾百萬筆資料外流(2005/04)駭客入侵教師介聘網篡改教師積分(2005/06)大學生欠缺法律觀念當駭客遭刑事局法辦(2006/01)高二駭客以資料隱碼（SQLINJECTION）的手法侵入資料庫(2006/01)9最近觀察到的狀況(2/3)駭客變成英雄…..媒體的渲染，卻忽略了事件背後的意義…用「少年駭客」、「天才」…等來形容駭客的行為，卻忽略了事件真正的重點－法治的觀念.廠商公開徵求…「進過偵九隊的」員工…「駭客變戰警助警抓駭客」(2005/07)時代雜誌在2005年9月報導了一個駭客因為愛國卻變成噩夢的故事(...time./time/magazine/article/0,9171,1098961,00.html)10最近觀察到的狀況(3/3)犯罪高科技化無線溢波洗錢案駭客利用「無線溢波」盜刷信用卡的犯罪集團，該集團以接收無線網路溢波的方式盜刷他人信用卡；然後利用線上付款網站、線上遊戲虛擬貨幣買賣「洗錢」。(2/14)網路詐騙盛行Phishing網路購物詐騙網路截標利用網路電話傳遞訊息兩岸三地犯罪集團利用網路電話聯繫、分工，避免警方查緝監聽。11Web威脅/危機(1/6)11歷年Web應用程式資安事件統計資料來源：資策會，Web應用程式安全參考指引草案12Web威脅/危機(2/6)竄改網頁(攻陷網站系統)微軟英國網站被駭客攻擊並且淪陷，將微軟主頁更改為一位孩子揮舞著沙烏地阿拉伯的國旗。（CNET-2007.7）“自由電子報被駭！首頁換成五星旗”(東森新聞-2007.6)隱私/資訊洩漏“利用銀行假網頁釣魚竊取兩萬多筆個資”(卡優新聞網-2007.07)“無名小站遇「駭」個資流入中國”（自由時報-2006.11）1213Web威脅/危機(3/6)惡意網頁Google：的網站很危險〈瀏覽器潛在的魅影：網路惡意軟體之分析〉(TheGhostintheBrowser:AnalysisofWeb-basedMalware)歐洲逾萬網站遭駭(2007/06)駭客隨機挑選安全防護較不完整的網站為跳板，植入惡意連結程式，竊取個人機密資料及植入木馬程式做為跳板，藉以造成更大規模的感染。Sophos偵測，2007.6報告指出每天可以檢測出29700個惡意網站。其中有80%是合法網站，但遭到了駭客入侵，並植入惡意代碼。1311014Web威脅/危機(4/6)大砲開講...rogerspeaking./TW網站淪陷資料庫...itis.tw/compromised國內網站淪陷列表1415Web威脅/危機(5/6)網站架構傳統的保護方法1516Web威脅/危機(6/6)趨勢：從ServerSide的攻擊到ClientSide的攻擊。攻擊使用者端，以竊取資訊或控制zombie電腦WebbasedMalicious激增Webpage+Malicioussoftware(Malware)隱私資訊/個人資料外洩部落格、會員資料、暱稱、消費資訊…etc.,逐漸從技術問題演變成為社會問題網路詐騙、釣魚網路上的個人資訊->個人生活模式1617Webapplication

頭號嚴重資安弱點1718分析這些現象…人人都知道資安很重要，但卻不知如何做。所以舊的威脅依然存在。錯誤的觀念，將駭客拱成英雄。犯罪者利用來進行犯罪行為。駭客攻擊轉向有目的的行為竊取機敏資料要資料也要錢19未來資安趨勢駭客攻擊的手法趨於多樣化及混和型的攻擊。木馬程式成為洩漏機敏資料的首因。駭客攻擊目標轉向金融機構、企業內部的個人電腦及利用寬頻上網的家用電腦。攻擊後，資訊被竊聽與敏感性資料外洩、被有心人士利用而造成損失。無線網路與網路基礎建設成為下一波攻擊標的。20教育體系資通安全規範推動21資訊安全責任等級分級資安專業訓練每年至少(1,4,8,2hrs)自我檢視推動ISMS觀念宣導防火牆、防毒強度等級1D級資安專業訓練每年至少(2,6,12,4hrs)自我檢視各單位自行成立推動小組規劃作業IDS、防火牆、防毒強度等級2C級96年資安專業鑑定一張每年至少(4,6,16,4hrs)每年至少執行一次內稽97年通過

第三者認證SOC(Optional)、IDS、防火牆防毒強度等級3B級

96年資安專業鑑定二張每年至少(4,6,18,4hrs)每年至少執行二次內稽96年通過

第三者認證NSOC直接防護/自建SOC、IDS、防火牆、防毒強度等級4A級專業證照資安教育訓練(主官、主管、技術、一般)稽核方式ISMS

推動作業防護縱深防禦機制強度

資料來源：政府機關(構)資訊安全責任等級分級作業施行計畫22教育體系分級原則類別內容數量A級重要核心．教育政策主管機關（教育部）．教學醫院（台大醫院、成大醫院）3B級核心．102所公私立大學．12個TANet區網中心及25個縣/市網中心139C級重要．49所技術學院及15所專科學校．24個部屬館所88D級一般．503所高中職學校．3412所國中小3915資料來源：教育體系資通安全管理制度與驗證機制簡報，教育部電算中心楊正宏主任，96/10/2523教育部所屬機關及各級公私立學校資通安全工作事項針對學校的資通安全通報應變處理訂出規範針對學校的資訊安全防護條件訂出規範電腦網路使用安全注意事項：網路安全管理：電腦系統安全管理：應用軟體(網站)安全管理：針對政府部門如何有效規範管理公務人員網際網路個人行為，提出人員網路安全管理之依據例如第12條，各機關需建立稽核管理制度，以避免漏洞產生。24教育體系資安作業推動架構訂定規範及相關參考文件組織運作機制宣導教育訓練試作點建立訂定權責組織架構與任務訂定稽核程序與規範教育體系各單位落實規範稽核服務與驗證標章各級教師/學生認知推廣資料來源：教育體系資通安全管理制度與驗證機制簡報，教育部電算中心楊正宏主任，96/10/2525教育體系資安推動架構規劃國家資通安全會報教育與推廣分組教育訓練架構規劃種子教師、專業人員培訓規劃教育訓練教材擬定資安概念宣導活動資安網站、出版品規範與驗證分組研擬並維護資安政策擬定並維護各資安管理建置規範、認證標準、標準作業流程等文件組成資安驗證服務團技術支援分組資安事件通報窗口資安事件處理中心教育部資通安全推動組織

召集人：教育部次長

副召集人：主任秘書

執行秘書：電算中心主任指導資料來源；TANet連線學校資通安全管理規範計畫秘書處26學術單位的資訊安全為什麼學校單位需要資訊安全學生學籍資料成績資訊學校單位所擁有的資訊特色非機密性具敏感性且涉及隱私及個人資料保護法相關規定國家資通安全政策標準CNS17800導入時間與成本過高，且KnowHow掌握在少數國外廠商。27TANet連線學校資通安全管理規範(1/4)參考規範以ISO27001:2005(E)、ISO17799:2005規範為主要參考依據，並考量各連線單位之規模及需求，進行內容之調整；並以行政院及所屬各機關資訊安全管理規範為主要的稽核點內容依據，配合各規範之條款，進行各項目之調整。28TANet連線學校資通安全管理規範(2/4)適用範圍本標準適用於教育部電算中心、部屬館所、縣市網中心、大專院校以及高中職資訊管理單位等資訊業務相關單位(或其他管理單位認為應加入ISMS規範範圍之部門)。依單位層級區分為二群。依業務分為「學術網路系統」與「行政資訊系統」。29TANet連線學校資通安全管理規範(3/4)第一群(大專以上)：本群適用單位以教育部電算中心、部屬館所、縣市網中心、公私立大專院校計中等為主。第二群(高中職)：本群適用單位以公私立高中職學校資訊管理單位(或因規模、資源因素轉至本群者)為主要對象。30TANet連線學校資通安全管理規範(4/4)ISMSISMS之建立ISMS之實施與操作ISMS之監控及審查ISMS之維持及改進控制項資訊安全政策訂定與評估(A.5)資訊安全組織(A.6)資訊資產分類與管制(A.7)人員安全管理與教育訓練(A.8)實體與環境安全(A.9)通訊與作業安全管理(A.10)存取控制安全(A.11)系統開發與維護之安全(A.12)資訊安全事件之反應及處理(A.13)業務永續運作管理(A.14)相關法規與施行單位政策之符合性(A.15)31PDCA

過程模式應用於ISMS過程的PDCA模式利害相關團體資訊安全要求與期望管理資訊安全建立ISMS實施與操作ISMS監控和審查ISMS執行Act維護和改善ISMS計畫Plan檢查Check執行Do利害相關團體32提昇我國中小學資通訊安全環境與機制規劃計畫全國中小學校ADSL連線至TANet，所有中小學均有至少一間電腦教室，上電腦課時一人一機；衍生的資安問題風險個人資料的竊取與濫用、電腦操作與網路使用不當、網路下載檔案的管理、電腦病毒、惡意軟體…除教育部提供之教育網路外，各中小學校另自行尋求對外連線方式，未經過統一閘道使各縣網中心無法有效控管。資訊人力資源限制，使學校成為網路安全漏洞資通訊安全事件發生型態變化速度快學校電腦教室缺乏專任資訊網路管理職員33計畫目標規劃符合縣（市）網路中心、國中小學資通環境需求與體質之共通資通訊安全作業與管理架構設計合適之教育推廣材料，提昇與強化我國中小學校之電腦與網路安全認知度與應用能力，充分運用台灣學術網路資源並擴大資訊教育政策目標效益。與國際推動資訊安全機制、標準組織進行經驗交流，儲備未來技術輸出之能量。34規劃原則與現有各個縣市網路中心的功能配合，並提供維護國中小學資通安全管理之統一規範建議針對各個縣市網路中心支援網路安全服務應有的人力、設備、經費進行規劃與建議。規劃內容涵蓋：網路中心、國中小學環境適用的資安規範國中小資通安全推動機制建立規劃國中小資通安全推廣策略規劃3536國中小資通安全推動小組成立目的以廠商、技術中立的開放性且專業非營利立場，規劃並落實國中小學領域資安的推動定位為常設性任務編組，由教育部為其主管機關，接受台灣學術網路技術小組之管理。工作重點統籌規劃我國國中小學教育體系之資訊安全推動機制維護國中小學教育體系的資安規範、流程、與文件版本提供相關之教育訓練服務提升國、中小學教職員與學生對於網路資通安全之認知37驗證與訪視作業規劃成果按顧問會議結論建議國中小教育領域的資安推動工作第一階段應以全國縣（市）教育網路中心為重點由教育部提供適當資源予各網路中心進行ISMS建置工作，現階段不以BS7799為驗證依據，由教育部頒發資安標章國中小學資安落實以鼓勵方式進行，並由各個縣市網路中心以「訪視」方式瞭解實施現況並給予適當建議。38縣市網路中心資安建置驗證程序（草案）縣市教育網路中心資通安全推動小組主管機關：教育部委託、授權安排年度驗證時程表書面通知受驗證單位準備各項配合作業召開啟動會議，進行驗證作業說明結果報告由雙方代表認可簽字並保存召開結束會議，說明驗證結果進行驗證作業推動小組就驗證結果報告進行審核資安標章是否39國、中小學校縣市教育網路中心主管機關：教育部委託、授權安排年度之訪視時程表書面通知受訪視學校繳交系統安全自我檢測表訪視結果報告由雙方代表認可簽字並保存召開結束會議，說明訪視結果與建議事項以自我檢測表填寫項目為依據，到校進行訪視作業推動小組就訪視結果報告進行審核（教育部授權）資安標章是否進行資安自我檢測訪視員檢視自我檢測表資通安全推動小組國中小學資安建置訪視程序（草案）40以網路中心為主的安全集中管理模式國中小學網路中心SecurityGateway41適合網路中心、國中小環境

的資安控制項目CNS17800資訊安全政策安全組織資產分類與控制人員安全實體與環境安全通訊與作業管理存取控制系統開發與維護營運維持管理遵守法規要求篩選與重新分類國中小標準1.網路安全2.系統安全3.人員安全管理4.實體安全管理網路中心資安管理系統實施規範國中小學資安管理系統實施原則42網路中心資安管理系統實施規範文件目的本文件描述全國縣（市）教育網路中心在提供國中、小學網際網路服務時，欲達到集中管理國中、小學之網路安全目標，所應遵守的資通安全管理系統實施規範。適用範圍縣市教育網路中心提供國中、小學網際網路與網路安全服務功能之相關系統、設備、程序、及人員。章節（包含建議實施之控管項目）網路安全系統安全（應用系統、存取控管、系統開發與維護）實體安全（資訊資產管理、環境安全、備份..）人員安全（人員安全職責與分配、資安事件的反應處理）43國中小學資安管理系統之實施基本資訊安全管理須知網路安全系統安全帳號密碼管理原則檔案資料備份原則…實體安全管理人員安全管理資通安全相關法規日常操作原則與程序電腦病毒特徵辨識處理步驟駭客攻擊特徵辨識處理步驟通報通報流程資安事件處理與通報44國中小學資安自我檢測表以「B4國中、小學資通安全管理系統實施原則」文件為依據所擬定，作為國中小學就其資通安全管理系統之實施現況，進行自我評量之用途。NO檢測項目符合與否補充說明網路安全本校對外的網際網路連線只透過縣網中心進行。□

是

□

否學校自行管理的資訊應用系統包括？

會計系統□人事系統學籍系統□網站服務電子郵件□教學系統視訊系統所勾選之系統所儲存的資訊當有必要和縣(市)網路中心進行網路傳輸時，傳輸連線是否為透過專屬線路完成？如VPN或GSN等。□

是

□

否45資通安全教育訓練實施架構國中小領域之教職員資通安全教育訓練實施架構分為三個層次：由培訓機構培訓全國各縣市網路中心具備至少一名種子教師由各縣市網路中心種子教師負責各縣市中小學校的資訊組長/老師/系統管理師之教育訓練由各校資訊老師/系統管理師負責一般教職員的資安宣導46資安推廣網站架構與雛形資安推動網站首頁學生專屬網站揭示教育部推動教育領域資訊安全政策與措施（如本計畫產出的各項規範、文件）提供適合老師、家長以及學生多元、具實用性的資通安全概念與應用訊息47一般教師之資通安全指南48國中小資通安全管理系統49適用範圍國中、小學內電腦、資訊與網路服務相關的系統、設備、程序、及人員。50網路安全網路控制措施學校與外界連線，應僅限於經由縣網中心之管控，以符合一致性與單一性之安全要求。學校內特殊系統（例如會計系統、學生學籍、成績原始資料系統等）之資料，當有必要透過網路進行傳輸時，建議透過虛擬私有網路（VirtualPrivateNetwork,VPN）或同等連線方式進行；若無透過網路進行傳輸需求，則建議區隔於網路之外。應禁止以電話線連結主機電腦或網路設備。網路安全管理服務委外廠商合約之安全要求委外開發或維護廠商必須簽訂安全保密切結書51系統安全(1/6)職責區隔學校主機電腦可依個別應用系統之需要，設置專屬電腦，例如網路服務主機（電子郵件、網站主機）、教學系統主機（例如隨選視訊主機）。學校的行政系統主機（例如財務、人事、公文系統等）電腦，建議由各個縣（市）教育網路中心或教育局等單位統籌管理。52系統安全(2/6)對抗惡意軟體、隱密通道及特洛依木馬程式學校內的個人電腦應：裝置防毒軟體，將軟體設定為自動定期更新病毒碼；或由伺服器端進行病毒碼更新的管理定期（至少每個月）進行如「WindowsUpdate」之程式更新作業，以防範作業系統之漏洞學校內個人電腦所使用的軟體應有授權。新系統啟用前，應經過掃毒與更新系統密碼程序，以防範可能隱藏的病毒或後門程式。53系統安全(3/6)資料備份學校(或委託)系統管理人員需針對學校重要系統（例如系統檔案、應用系統、資料庫等）定期進行備份工作，或採用自動備份機制；建議週期為每週進行一次。操作員日誌學校(或委託)系統管理人員需針對敏感度高、或包含特殊資訊的電腦系統進行檢查、維護、更新等動作時，應針對這些活動填寫日誌予以紀錄，作為未來需要時之檢查。日誌內容可包含以下各項：系統例行檢查、維護、更新活動的起始時間系統錯誤內容和採取的改正措施。[參考日誌範本，文件編號A-2]紀錄日誌項目人員姓名與簽名欄54系統安全(4/6)資訊存取限制學校內所共用的個人電腦應以特定功能為目的，並設定特定安全管控機制（例如限制從網路非法下載檔案行為、限制自行安裝軟體行為、限制特定資料的存取等）。使用者註冊學校應制定電腦系統使用的使用者註冊及註銷程序，透過該註冊及註銷程序來控制使用者資訊服務的存取，該作業應包括以下內容：使用唯一的使用者識別碼（ID）。檢查使用者是否經過系統管理單位之授權使用資訊系統或服務。保存一份包含所有識別碼註冊的記錄。使用者調職或離職後，應移除其識別碼的存取權限。定期（建議每學期）檢查並取消多餘的使用者識別碼和帳號。定期（建議每學期）檢查新增之帳號，若有莫名帳號產生，應關閉帳號權限，並依通報程序請求處理55系統安全(5/6)特權管理學校的電腦與網路系統資訊具有存取特權人員清單、及其所持有的權限說明，應予以文件化記錄備查。通行碼之使用管制使用者第一次登入系統時，必須立即更改預設通行碼，預設通行碼應設定有效期限。資訊系統與服務應避免使用共同帳號及通行碼。由學校發佈通行碼（Password）制定與使用規則給使用者，[參考優質通行碼設定原則與使用原則，文件編號A-3]，內容應包含以下各項：使用者應該對其個人所持有通行碼盡保密責任要求使用者的通行碼設定，避免使用易於猜測之數字或文字，例如生日、名字、鍵盤上聯繫的字母與數字（如12345678或asdfghjk），以及過多的重複字元等。或建議通行碼應該包含英文字大小寫、數字、特殊符號等四種設定中的三種。因特殊需要擁有多個帳號時，可考慮使用一組複雜但相同的通行碼。56系統安全(6/6)原始程式庫之存取控制學校與系統廠商間的合約應加註對原始程式庫安全之要求，並防範資料庫隱碼(SQL-injection)問題，針對存取資料庫程式碼之輸入欄位進行字元合理性檢查。通報安全事件與處理資訊安全事件包括：任何來自網路的駭客攻擊、病毒感染、垃圾郵件、資料或網頁遭竄改、以及通訊中斷等。學校應建立資訊安全事件通報程序[參照安全事件通報程序，編號A-4]以及安全事件通報單[參考安全事件通報單範本，文件編號A-5]；通報程序應包括學校內部通報，以及學校與所屬縣市教育網路中心的通報。當學校內部無法處理之資通安全事件，應通報其所屬縣市網路中心。所訂出資訊安全事件通報程序應公布於校園內使用電腦與網路之場所，提供使用者瞭解。57實體安全(1/3)設備安置及保護學校重要的資訊設備（如主機機房）應置於設有空調空間。學校資訊設備主機機房、電腦教室區域，應設置滅火設備，並禁止擺放易燃物、或飲食。學校資訊設備主機機房、電腦教室區域內的電源線插頭應有接地的連結、或有避雷針等裝置，避免如雷擊事件所造成損害情況。學校資訊設備主機機房、電腦教室區域，應至少於入出口處加裝門鎖或其他同等裝置。電源供應學校重要的資訊設備（如主機機房）應有適當的電力設施，例如設置UPS、電源保護措施，以免斷電或過負載而造成損失。58實體安全(2/3)纜線安全學校資訊設備主機機房、電腦教室區域內應避免明佈線。設備與儲存媒體之安全報廢或再使用所有包括儲存媒體的設備項目，在報廢前，應先確保已將任何敏感資料和授權軟體刪除或覆寫。設備維護應與設備廠商建立維護合約。廠商進入安全區域需簽訂安全保密切結書。59實體安全(3/3)財產攜出未經授權不應將學校的資訊設備、資訊或軟體攜出所在地。當有必要將設備移出，應檢視相關授權，並實施登記與歸還記錄。相關財產之攜出應依教育部或學校既有之相關規定處理。桌面淨空與螢幕淨空政策結束工作時，所有學校教職員工應將其所經辦或使用具有機密或敏感特性的資料（例如公文、學籍資料等）及資料的儲存媒體（如USB隨身碟、磁碟片、光碟等），妥善存放。學校提供教職員工或學生使用的個人電腦應設定保護裝置，如個人鑰匙、個人密碼以及螢幕保護。60人員安全將安全列入工作執掌中應將資訊安全納入教職員手冊說明中，以強化工作上之資訊安全意識。資訊安全教育與訓練使學校(或委託)系統管理人員有足夠能力執行日常基礎之資安管理系統維護工作，並使其瞭解資安事件通報之程序。學校鼓勵或安排資訊組長/老師/系統管理人員、以及所有教職員參與資訊安全教育訓練或宣導活動，以提昇資訊安全認知。61相關法規的認知智慧財產權個人資訊的資料保護及隱私電子簽章法62後續推動工作辦理各級學校資訊安全稽核，針對館所、學院、專科、高中職、國中小，依各個類別至少稽核20個單位。維護修訂「國中小學資通安全管理系統實施原則」規範文件。國中小學資安認知推廣活動線上學習輔助教材資安認知及資安健檢種子教師巡迴教育訓練建立規劃資安建檢測驗題庫資料庫與相關推廣活動63導入之流程單位內部達成共識定義導入的範圍判斷以往有無落實執行YesNo風險評估補強(文件化、落實執行…等）建置(程序、執掌責任、文件化…等）專家、顧問64小測驗請針對貴校目前在資訊安全管理上，可能的安全威脅進行風險評鑑與管理適用範圍：學校電腦機房/教室可能風險：未定期進行系統更新或修補作業違反項目：對抗惡意軟體、隱密通道及特洛依木馬程式改善措施：設定電腦排程，每月自動更新。65個人資安責任66個人資安責任密碼管理設備管理桌面、螢幕淨空管理電子郵件管理即時通訊管理電腦作業威脅備份管理個人資安觀念67密碼管理定期更新密碼。不使用弱密碼避免使用重複數字、字母。避免使用個人相關資訊之密碼(生日、身份證字號、電話號碼、姓名等)。避免使用有意義之字詞。不寫下密碼。不提供密碼予他人。有洩漏的懷疑即更換密碼。68設備管理安裝防毒和防火牆軟體。定期做好資料備份(公務上的需要)。定期更新系統與軟體之修復檔(Path)。不遺留機敏資料在印表機、掃瞄機、傳真機等設備。不提供給他人使用。不使用他人設備處理機敏資料。養成關機的習慣。69桌面、螢幕淨空管理機敏資料不隨意置放在桌面上。設定螢幕保護程式(要設定密碼)。離開座位或不使用螢幕時，要鎖定螢幕。70電子郵件管理不隨意開啟來路不明郵件的附加檔案。設定垃圾郵件過濾之規則。使用垃圾郵件過濾軟體。不回覆垃圾郵件。不轉寄帶來好運或厄運的信件。寄送機敏資料給多人時，可使用密件副本功能。不寄送機敏資料給非相關人士。71即時通訊管理不使用記錄密碼之功能。不隨意存取他人傳輸之檔案。不隨意點選他人傳送之網址。避免於工作時使用。不透露訊息或傳遞檔案給他人。定期更新程式。72電腦作業威脅—電腦病毒(1/2)電腦中毒徵兆電腦系統運行速度異常緩慢。上網速度越來越遲緩。異常的系統訊息通知。螢幕顯示異常，例如畫面突然一片空白。來自防毒軟體的警告訊息。電腦無故自動關機或不斷重新開機。瀏覽器自動出現產品廣告或色情網頁。網路流量異常，例如沒有使用網路服務或收發電子郵件，但網路的連線燈號卻一直閃爍。73電腦作業威脅—電腦病毒(2/2)電腦病毒的防範確認防毒軟體隨時運作。勿隨意安裝未經許可的電腦軟體。確保軟體在最新更新狀態。使用有問題立即反應。74電腦作業威脅—廣告/間諜軟體(1/2)廣告或間諜軟體的症狀沒有上網卻還是一直看見廣告視窗。網路速度時快時慢。首頁被更改成奇怪的網站。視窗下方的工具列出現許多原本沒有的工具瀏覽器多出沒有安裝過的工具列、搜尋工具，而且無法移除。電腦處理速度變慢或當機頻率增加。75電腦作業威脅—廣告/間諜軟體(2/2)廣告或間諜軟體的防範使用防火牆阻擋。關閉網路瀏覽器的ActiveX功能。安裝封鎖彈跳視窗功能的工具。下載免費軟體前仔細閱讀所有相關資訊。學習資料備份基本技巧。76電腦作業威脅—駭客入侵(1/3)駭客入侵的徵兆檔案及資料庫內容遭到竊取或篡改。不知名的IP來源與電腦連線。系統中異常的服務程式。異常通訊埠開啟。稽核紀錄及檔案中的異常事件。系統帳號的異常增加。系統異常的訊息或行為。77電腦作業威脅—駭客入侵(2/3)駭客入侵的簡易處理定期系統備份。針對可能入侵途徑系統作隔離。蒐集入侵紀錄、檔案等軌跡。追查駭客IP來源。分析資料找出入侵方式並改善。報告相關單位。適時尋求協助。78電腦作業威脅—駭客入侵(3/3)駭客入侵的防範即時更新修正檔。檢視權限設定。日常備份作業。紀錄及檢視稽核軌跡。設定自動時間校正作業。79備份管理不論是紙本或電子檔的重要資料，皆應：定期備份。存放在不同地方(異地備份)。資料備份原則資料價值較高時應優先備份。擇適合之儲存媒介進行資料備份工作。按所欲備份的資料型態，選擇方法進行備份(如：完全備份、選擇性備份、漸進式(增量)備份)。備份的資料需定期做資料回復測試，以確認備份資料的可用性。80個人資安觀念遵守資訊安全政策與規定。不在公眾場合洩漏機敏訊息與資料。避免在網路上記錄個人資訊。謹慎處理機敏資料。定期接受資安訓練。隨時留意各種資安訊息。小心駭客就在你身邊。81資訊安全相關法令82資訊安全相關法令國家機密保護法電子簽章法刑法(防駭條款)電腦處理個人資料保護法檔案法著作權法行政院及所屬各機關資訊安全管理要點機關公文電子交換作業辦法智慧財產權IntellectualPropertyRights(IPR)案例一案例描述

(資料來源:教育部網站)王小浩是上一波「網路泡沫化」的犧牲者，在網路幻夢破滅後，王小浩在一夕之間成了無業遊民。由於沉重的經濟壓力，王小浩被迫鋌而走險，他在網路上架設一個與國內知名的A銀行網站首頁完全相同的網頁，並以該銀行名義，發出數十萬封偽造的電子郵件，該郵件標題為「銀行系統轉換，重新登錄」，要求該銀行的網路銀行用戶，點選該郵件上的網頁鏈結，進行網路銀行帳戶號碼與個人密碼的重新確認。黎小芬是上述A銀行網路銀行的用戶，她收到上述的電子郵件就依照其上的指示進行，發現所鏈結的網頁確實是與A銀行的網站首頁一模一樣，因此不疑有他，便在該網頁上登錄了自己的銀行帳戶號碼與個人密碼，王小浩利用騙得的帳號與密碼，將黎小芬的帳戶餘額10萬元，轉帳至自己所設的一個銀行人頭帳戶中。隔天黎小芬發現後，她馬上打電話與該銀行聯繫，並且向警方報案處理。適用法條在網路上架設與A銀行網站首頁完全相同的網頁，並以該銀行的名義，發出偽造的電子郵件，已觸犯刑法第210條之「偽造私文書罪」。利用騙得的網路銀行帳戶號碼與個人密碼，入侵受害者在A銀行的網路銀行帳戶，已觸犯刑法第358條之「無故入侵電腦罪」。將受害者帳戶存款轉走之行為觸犯刑法第339-3條之「電腦詐欺罪」案例二案例描述

(資料來源:2007/02/10工商時報)國內多家金融投資顧問公司，遭駭客入侵破解通行碼，將客戶個資及投顧研究分析結果竊走，業者近一年來損失超過三億元。刑事局偵九隊昨偵破此一地下投顧犯罪集團，將主嫌陳慶興逮捕到案，刑事局呼籲金融、證券公司應加強電腦資安，特別是系統帳號、密碼不宜明文儲存於網路主機，以防駭客入侵，損害客戶及公司權益。適用法條觸犯刑法第358條「無故入侵電腦罪」。觸犯刑法第359條「無故取得、刪除或變更他人電磁紀錄罪」。違反證券投資信託及顧問法。案例三案例描述

(資料來源:2007/08/18蘋果日報)小米今年十九歲，是剛要升大二的女生，最喜歡的休閒活動就是看韓劇，因為電視播的進度太慢，乾脆去夜市買整套ＤＶＤ回來看。

由於正版太貴，便選擇便宜的盜版片，買回家後才一個禮拜便看完了，意猶未盡的我，前後買了六部韓劇，我靈機一動，想把看過的ＤＶＤ上網拍賣，就可以再去買新的。於是，我以買來的七折價網拍，並標明可面交，三天後有買家出價競標，三部韓劇全由同一買家買下，我們約在捷運站出口交易，交易當天，我依約到達。十分鐘後，一名中年男子前來和我攀談，問我是不是韓劇ＤＶＤ賣家，我點頭示意後，他便表明警察身分，旁邊也出現另名穿制服警員，表示有人檢舉我在網路販賣盜版光碟，依法須將我帶回做筆錄，這時我才知自己犯法，但已來不及了。適用法條賣家行為已違反「著作權法」可處3年以下有期徒刑、拘役，或併科50萬元以下罰金。86妨害電腦使用罪簡介隨著資訊科技快速發展，網際網路應用日益普及與多元，除了帶給我們許多生活上的便利，但也衍生一些資通安全問題，特別是網路犯罪行為已有增多趨勢。網路犯罪行為大約可歸類下列三種以網路作為犯罪工具–網路詐欺、網路恐嚇等以網路作為攻擊標的–竄改檔案、阻斷式服務攻擊、駭客入侵、電腦病毒等。以網路作為犯罪場所–如色情、誹謗、賭博等為避免電腦犯罪與維護網路秩序，特於刑法中設立相關法令條文以為管理-刑法第36章「妨害電腦使用罪」章。87妨害電腦使用罪主要內容(1/2)第358條無故入侵電腦罪無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。本條主要目的為遏止駭客入侵行為。第359條無故取得、刪除或變更他人電磁紀錄罪無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。本條主要目的為確保電腦內部電磁紀錄安全。第360條無故干擾電腦系統罪無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。本條主要目的為維護電腦及網路運作正常。88妨害電腦使用罪主要內容(2/2)第361條對公務機關犯罪之加重對於公務機關之電腦或其相關設備犯前三條之罪者，加重其刑至二分之一。本條主要目的為確保國家安全。第362條製作供犯罪程式罪製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。本條主要目的為防止犯罪工具之利用與擴散。第363條告訴乃論第三百五十八條至第三百六十條之罪，須告訴乃論。本條主要目的為集中司法資源對抗重大犯罪。89電腦處理個人資料保護法說明(1/3)立法目的對公務與非公務機關蒐集、處理、與利用個人資料的情形，加以明文規範。避免個人人格權（隱私權）遭受侵害，促進個人資料之合理利用，特此制定電腦處理個人資料保護法。保護客體本法保護客體限於經電腦處理的個人資料。受本法保護之個人資料以現仍生存之自然人為限，已死亡之自然人與法人，不受本法之規範。個人資料包含:自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社交活動、及其他足以識別該個人之資料。90電腦處理個人資料保護法說明(2/3)適用主體本法規範的對象有公務機關及非公務機關。公務機關係指依法行使公權力之中央或地方機關。非公務機關係指以下所列之事業、團體或個人。徵信業、以蒐集或電腦處理個人資料為主要業務之團體或個人。醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業。其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。受公務機關或非公務機關委託處理資料之團體或個人，於本法適用範圍內，其處理資料之人，視同委託機關之人。91電腦處理個人資料保護法說明(3/3)機關對個人資料之蒐集或利用的原則應尊重當事人之權益，依誠實及信用方法為之。不得逾越特定目的之必要範圍，以確保當事人權益，避免人格權受到侵害。揭露個人資料，當事人是主要關鍵人物，當事人本身需審慎決定何者為提供給公務與非公務機關的必要個人資料。92電腦處理個人資料保護法修訂草案(1/2)修法背景法務部為因應急速變遷之社會環境，特別彙整國內學界與實務界的相關修法建議，並參考其他國家之個人資料保護相關法令來針對本法進行修訂。修訂草案共有55條，並將本法名稱修訂為「個人資料保護法」。草案修正方向擴大保護客體普遍適用主體增修行為規範強化行政監督妥適調整罰則促進民眾參與93電腦處理個人資料保護法修訂草案(2/2)修法重點說明將買賣個人資料行為從告訴乃論罪修改為公訴罪，並提高刑責，最高為五年有期徒刑。寄廣告信、垃圾郵件將觸法，未經個人同意，網路公司或個體戶大舉販賣蒐集的大筆電子郵件信箱供寄發垃圾郵件等行為，均將觸犯本法，檢警接獲檢舉後必須主動追查。若是公務員涉案，依法得加重其刑二分之一，最重可處七年半徒刑，與刑責已接近涉及貪瀆案。重罰意圖營利而違法的行為，修訂草案大幅加重「意圖營利而違法蒐集、利用或盜賣個人資料者」的刑責，由原本二年以下徒刑，提高為五年以下徒刑，且併科由原先四萬元大幅提高為五百萬元罰金。94結論(1/4)這是一個全民皆狗仔的時代，隨時都有機敏資訊外洩的可能。95結論(2/4)沒有一百分的安全，只有全心的努力。你的不方便，也是他人的不方便。根據過去的統計，資安威脅來自天然威脅僅15%~17%，人為威脅達83%~85%。96結論(3/4)制度的建立及落實人員的教育訓練主管人員(管理階層)：資安的價值與重要性技術人員(資訊人員)：資安專業技術使用者(系統使用者)：資安觀念及意識、個人資安防護技巧。資安技術及工具的使用幫助解決制度上的問題應先有管理制度才評估選用工具97結論(4/4)資訊安全—說起來………重要!做起來………次要!!忙起來………不要!!!資通安全＝技術+管理+稽核應達到“均衡”管理“七分管理，二分技術，一分稽核”安全性功能性便利性資訊安全98智慧財產權99智慧財產權設立的目的透過法律程序，保護創作發明人的智慧成果，鼓勵民眾創作，供社會大眾參考利用，提昇社會發展，並保護創作發明人的權利，維持社會競爭秩序。100智慧財產權相關法律專利法。營業秘密法。積電電路布局保護法。商標法。著作權法。101著作的類別語文著作。音樂著作。戲劇、舞蹈著作。美術著作。攝影著作。圖形著作。視聽著作。錄音著作。建築著作。電腦程式著作。102著作權法分類著作人格權(著作人格權專屬於著作人本身，不得讓與或繼承)公開發表權。姓名表示權。禁止不當改變權。著作財產權(著作財產權依著作種類不同有其期限)公開口述權。公開演出權。公開展示權。公開上映權。公開傳輸權。公開播送權。重製權。改作權。編輯權。出租權。散布權。103公開發表權(1/2)著作人有其權利決定是否要將著作公開發表。但公開發表權之行使只有一次。著作人得以透過發行、播送、上映、口述、演出、展示或其他方法向公眾公開提示著作內容(例如展覽、網站討論區..等)。104公開發表權小案例(1/2)照相館公開顧客的照片？著作權法第十二條之規定：出資聘請他人完成之著作，除前條情形外，以該受聘人為著作人。但契約約定以出資人為著作人者，從其約定。

依前項規定，以受聘人為著作人者，其著作財產權依契約約定歸受聘人或出資人享有。未約定著作財產權之歸屬者，其著作財產權歸受聘人享有。

依前項規定著作財產權歸受聘人享有者，出資人得利用該著作。

105公開發表權小案例(2/2)女生寫給男生的情書被男生公開？著作權法第十五條之規定：著作人就其著作享有公開發表之權利。但公務員，依第十一條及第十二條規定為著作人，而著作財產權歸該公務員隸屬之法人享有者，不適用之。有下列情形之一者，推定著作人同意公開發表其著作：

一、著作人將其尚未公開發表著作之著作財產權讓與他人或授權他人利用時，因著作財產權之行使或利用而公開發表者。二、著作人將其尚未公開發表之美術著作或攝影著作之著作原件或其重製物讓與他人，受讓人以其著作原件或其重製物公開展示者。三、依學位授予法撰寫之碩士、博士論文，著作人已取得學位者。

依第十一條第二項及第十二條第二項規定，由雇用人或出資人自始取得尚未公開發表著作之著作財產權者，因其著作財產權之讓與、行使或利用而公開發表者，視為著作人同意公開發表其著作。

前項規定，於第十二條第三項準用之。106姓名表示權著作人於著作的原件或其重製物上或於著作公開發表時，有表示其本名、別名或不具名的權利。107姓名表示權小案例百科全書因作者眾多無法一一列出作者姓名而予以省略。自行命名他人贈送之未命名創作。著作權法第十六條之規定：著作人於著作之原件或其重製物上或於著作公開發表時，有表示其本名、別名或不具名之權利。著作人就其著作所生之衍生著作，亦有相同之權利。

前條第一項但書規定，於前項準用之。

利用著作之人，得使用自己之封面設計，並加冠設計人或主編之姓名或名稱。但著作人有特別表示或違反社會使用慣例者，不在此限。

依著作利用之目的及方法，於著作人之利益無損害之虞，且不違反社會使用慣例者，得省略著作人之姓名或名稱。108禁止不當改變權著作人享有禁止他人以歪曲、割裂、竄改或其他方法改變其著作之內容、形式或名目致損害其名譽之權利。109禁止不當改變權小案例老師未經同意修改學生作品。報紙以黑白列印原為彩色的相片。著作權法第十七條之規定：

著作人享有禁止他人以歪曲、割裂、竄改或其他方法改變其著作之內容、形式或名目致損害其名譽之權利。

110重製權指以印刷、複印、錄音、錄影、攝影、筆錄或其他方法直接、間接、永久或暫時之重複製作。於劇本、音樂著作或其他類似著作演出或播送時予以錄音或錄影﹔或依建築設計圖或建築模型建造建築物者，亦屬之。所有可能想像得到的重製行為，幾乎都是著作權法所稱的「重製」。例如影印、掃瞄、燒錄，甚至是瀏覽網頁、執行電腦程式等所謂暫時性重製。111重製權小案例模仿藝人的某段表演的橋段。著作權法第二十二條規定：著作人除本法另有規定外，專有重製其著作之權利。

著作人專有以錄音、錄影或攝影重製其表演之權利。

112公開口述權指以言詞或其他方法向公眾傳達著作內容。著作人對自己創作的語文著作，享有公開口述的權利。所謂公開口述是指用言詞或其他方法向公眾傳達著作內容的行為。公眾：指不特定或特定之多數人113公開口述權小案例書局為促銷故事書，在固定時段提供說故事給小孩聽的活動。描述一幅畫作的風格與內容給他人聽著作權法第二十三條規定：

著作人專有公開口述其語文著作之權利。114公開播送權指基於公眾直接收聽或收視為目的，以有線電、無線電或其他器材之廣播系統傳送訊息之方法，藉聲音或影像，向公眾傳達著作內容。由原播送人以外之人，以有線電、無線電或其他器材之廣播系統傳送訊息之方法，將原播送之聲音或影像向公眾傳達者，亦屬之。公開播送權限於「廣播系統(broadcast)」，包括像無線電視台、有線電視、廣播電台、衛星電視台等。(不包含網路傳輸)115公開播送權小案例國內新聞台轉播國外新聞台播報新聞的影片。著作權法第二十四條規定：

著作人專有公開播送其著作之權利。但將表演重製或公開播送後再公開播送者，不在此限。

116公開上映權以單一或多數視聽機或其他傳送影像之方法，，將視聽著作向現場或現場以外一定之公眾傳達著作內容。117公開上映權小案例遊覽車上播放電影或伴唱帶。在課堂中播放與課程內容相關的影片。著作權法第二十五條規定：著作人專有公開上映其視聽著作之權利。

118公開演出權指以演技、舞蹈、歌唱、彈奏樂器或其他方法向現場之公眾傳達著作內容。以擴音器或其他器材，將原播送之聲音或影像向公眾傳達者，亦屬之。119公開演出權小案例KTV播放的音樂伴唱帶。(公開上映權、重製權)百貨公司電視牆播放中華隊對日本隊的棒球比賽。飲料店內播放廣播節目。選秀歌唱比賽上參賽者演唱知名歌手的作品。著作權法第二十六條規定：

著作人除本法另有規定外，專有公開演出其語文、音樂或戲劇、舞蹈著作之權利。

著作人專有以擴音器或其他器材公開演出其表演之權利。但將表演重製或公開播送後再以擴音器或其他器材公開演出者，不在此限。

120公開傳輸權指以有線電、無線電之網路或其他通訊方法，藉聲音或影像向公眾提供或傳達著作內容，包括使公眾得於其各自選定之時間或地點，以上述方法接收著作內容。121公開傳輸權小案例將他人網誌上分享的文章轉載至自己的部落格上，並指名出處。著作權法第二十六條之一

著作人除本法另有規定外，專有公開傳輸其著作之權利。表演人就其經重製於錄音著作之表演，專有公開傳輸之權利。

122公開展示權指向公眾展示著作內容。未發行的美術或攝影著作，向公眾展示著作內容。發行是指權利人散布能滿足公眾合理需要之重製物。123公開展示權小案例上傳朋友贈與的個人照片到網站上。展示近期購買來的美術作品。著作權法第二十七條規定：著作人專有公開展示其未發行之美術著作或攝影著作之權利。

124改作權指以翻譯、編曲、改寫、拍攝影片或其他方法就原著作另為創作。將原已存在的著作，予以翻譯、改寫、編曲、拍攝影片或者用其他的方法另為創作，而作出新的著作。125改作權小案例新聞台播送今日八卦雜誌與報紙頭版消息。因電腦相容性問題，自行修改新軟體之程式。著作權法第二十八條規定：

著作人專有將其著作改作成衍生著作或編輯成編輯著作之權利。但表演不適用之。

著作權法第五十九條規定：

合法電腦程式著作重製物之所有人得因配合其所使用機器之需要，修改其程式，或因備用存檔之需要重製其程式。但限於該所有人自行使用。前項所有人因滅失以外之事由，喪失原重製物之所有權者，除經著作財產權人同意外，應將其修改或重製之程式銷燬之。

著作權法第六十一條規定：

揭載於新聞紙、雜誌或網路上有關政治、經濟或社會上時事問題之論述，得由其他新聞紙、雜誌轉載或由廣播或電視公開播送，或於網路上公開傳輸。但經註明不許轉載、公開播送或公開傳輸者，不在此限。

126編輯權著作權人有權決定自己的著作是否要被選擇或編排在他人的編輯著作中。127編輯權小案例經國立編譯館之教科書內的著作。研究論文中他人研究文獻之著作內容。著作權法第二十八條規定：

著作人專有將其著作改作成衍生著作或編輯成編輯著作之權利。但表演不適用之。

著作權法第四十七條規定：為編製依法令應經教育行政機關審定之教科用書，或教育行政機關編製教科用書者，在合理範圍內，得重製﹑改作或編輯他人已公開發表之著作。著作權法第五十二條規定：為報導、評論、教學、研究或其他正當目的之必要，在合理範圍內，得引用已公開發表之著作。128散布權指不問有償或無償，將著作之原件或重製物提供公眾交易或流通。將實體的著作重製物，以移轉所有權的方式，讓與給第三人。129散布權小案例書商在暢銷小說正式開賣時間前先行販售該小說。夜市販售盜版CD。著作權法第二十八條之一

著作人除本法另有規定外，專有以移轉所有權之方式，散布其著作之權利。表演人就其經重製於錄音著作之表演，專有以移轉所有權之方式散布之權利。130出租權出租權是指將著作出租予他人，供他人閱覽、使用等。131出租權小案例漫畫出租店出租漫畫給他人。出租電腦遊戲光碟或卡夾給他人。著作權法第二十九條

著作人除本法另有規定外，專有出租其著作之權利。表演人就其經重製於錄音著作之表演，專有出租之權利。著作權法第六十條

著作原件或其合法著作重製物之所有人，得出租該原件或重製物。但錄音及電腦程式著作，不適用之。案例一案例描述

(資料來源:教育部—大學校園著作權(10個案例))王樺就讀於某大學一年級，由於非常喜愛聽流行歌曲，上週末他花了新台幣三百五十元整，向炫音唱片行購買了一片快樂唱片公司最近製作發行的某著名歌手名為「情傷」的音樂光碟。由於深怕該原版音樂光碟因使用不慎而造成磨損，王樺便利用自己個人電腦中的燒錄機，將該音樂光碟中的所有歌曲，在另外的一片光碟上重新複製一份，以便加以保存，供自己往後使用家用音響，在家中欣賞該音樂光碟中的歌曲。由於王樺另外還有一個MP3數位隨身聽，他便利用電腦軟體程式，將該音樂光碟中的所有歌曲，轉檔成為MP3的檔案格式，然後儲存在該MP3數位隨身聽中，以方便自己在戶外活動時，仍然可以隨時隨地聽到喜歡的音樂。王樺得知其同班同學李群、蔣家瑜、袁如欣也想要買上述這片音樂光碟，王樺基於「好東西要和好朋友分享」的心情，於是就很熱心地使用自己個人電腦中的的燒錄機，將該音樂光碟重製了三份，分送給三人，每人一份。重製行為「合理使用」著作權法第五十一條規定：「供個人或家庭為非營利之目的，在合理範圍內，得利用圖書館及非供公眾使用之機器，重製已公開發表之著作。」。第六十五條第二項之規定：「著作之利用是否合於第四十四條至第六十三條規定或其他合理使用之情形，應審酌一切情狀，尤應注意下列事項，以為判斷之基準：

一、利用之目的及性質，包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。著作權法第九十一條第四項之規定：「著作僅供個人參考或合理使用者，不構成著作權侵害。」作權法第九十一條第一項之規定：「擅自以重製之方法侵害他人之著作財產權者，處三年以下有期徒刑、拘役，或科或併科新臺幣七十五萬元以下罰金。」著作權法第八十八條第一項之規定，因故意或過失不法侵害他人之著作財產權者，負損害賠償責任。(民事責任)

134案例一討論將音樂光碟中的歌曲「燒錄」在另一片光碟片上，或「轉檔」成為MP3的檔案格式「儲存」在MP3數位隨身聽中，為個人為非營利目的的重製行為，屬重製行為的「合理使用」。將重製該音樂光碟三份以贈送同學，違反重製行為的「合理使用」。案例二案例描述

(資料來源:教育部—大學校園著作權(10個案例))林敏生是個愛好流行歌曲的大學生，他在某P2P網站上註冊成為會員，「哇！好多新歌！」林敏生每次都為他能利用P2P電腦軟體，在網路上下載許多MP3的最新流行歌曲，感到雀躍不已。昨天他又下載了許多好聽的新歌，包括綺麗唱片公司最新製作發行的某歌手專輯音樂光碟中的歌曲「昨夜的星光」，這些下載的歌曲，他都是儲存在自己的個人電腦硬碟中，或是儲存在自己的MP3數位隨身聽中，以供自己隨時欣賞之用。為了讓更多愛好流行歌曲的人，也能聽到好聽的音樂，林敏生也利用P2P電腦軟體，供其他的會員網友，透過網際網路自林敏生個人電腦硬碟資料夾中，下載這些MP3的最新流行歌曲。公開傳輸行為「合理使用」著作權法第五十條之規定：「以中央或地方機關或公法人之名義公開發表之著作，在合理範圍內，得重製、公開播送或公開傳輸。第六十一條之規定：「揭載於新聞紙、雜誌或網路上有關政治、經濟或社會上時事問題之論述，得由其他新聞紙、雜誌轉載或由廣播或電視公開播送，或於網路上公開傳輸。但經註明不許轉載、公開播送或公開傳輸者，不在此限。」第六十五條第二項之規定：「著作之利用是否合於第四十四條至第六十三條規定或其他合理使用之情形，應審酌一切情狀，尤應注意下列事項，以為判斷之基準：一、利用之目的及性質，包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。」著作權法第九十一條第一項之規定：「擅自以重製之方法侵害他人之著作財產權者，處三年以下有期徒刑、拘役，或科或併科新臺幣七十五萬元以下罰金。」著作權法第九十二條之規定，擅自以公開傳輸之方法侵害他人之著作財產權者，處三年以下有期徒刑、拘役、或科或併科新臺幣七十五萬元以下罰金。

著作權法第八十八條第一項之規定，因故意或過失不法侵害他人之著作財產權者，負損害賠償責任。(民事責任)

137案例二討論將網路上「昨夜的星光」錄音著作「下載」儲存在個人電腦硬碟或MP3數位隨身聽中，未獲得著作財產權人綺麗唱片公司的授與重製權或同意，但為個人為非營利目的，是否違反重製行為的「合理使用」，仍有待判定。利用P2P電腦軟體，供其他的會員網友下載「昨夜的星光」，未獲得著作財產權人綺麗唱片公司授與公開傳輸權，屬不法之「公開傳輸行為」。案例三案例描述

(資料來源:教育部—大學校園著作權(10個案例))廖家心去年以第一志願考上某國立大學新聞系，這學期她選修了一門「傳播心理學」，該課程的授課教師是賀中原教授，他並未採用特定的教課書，而是由賀教授根據其授課大綱，口授課程內容，他要求上課學生，除授課內容外，將閱讀相關課外資料進行分組討論後，共同完成一份小組的共同筆記。廖家心與同班死黨黃佳伶、藍品雯三人同在一組，她們三人不但上課時認真筆記賀教授的授課內容，而且經常課後聚在一起，共同整理上課筆記，並閱讀相關課外資料進行討論，將討論後的共同心得補充至上課筆記中，以便共同完成該小組的共同筆記。該小組的共同筆記真是「叫好又叫座」，期末考前選修該課程的同學們都爭相借用影印，李志明首先開口向廖家心借用該小組的共同筆記，廖家心雖然表示同意，但要李志明去問黃佳伶和藍品雯二人是否同意，黃佳伶和藍品雯知道此事後，她們倆以「著作權」為由，拒絕了李志明的要求。改作權著作權法第五十一條「供個人或家庭為非營利之目的，在合理範圍內，得利用圖書館及非供公眾使用之機器重製已公開發表之著作。」著作權法第三條第一項第十一款之規定，所謂「改作」，指以翻譯、編曲、改寫、拍攝影片或其他方法就原著作另為創作。著作權法第八條規定：「二人以上共同完成之著作，其各人之創作，不能分離利用者，為共同著作。」著作權法第四十條之一之規定，共有之著作財產權，非經著作財產權人全體同意，不得行使之，而各著作財產權人，無正當理由者，不得拒絕同意。原著作者並未因「衍生著作」而喪失著作權的保護。140案例三討論(1/2)賀教授口授課程內容的「演講」完成時，便享有著作權法上所規定的「著作人格權」與「著作財產權」。上課學生是將賀教授的授課演講內容抄錄成筆記，執行將其內容「紙本化」的動作，則這種「以筆錄加以永久性的重複製作」，是一種重製行為。學生上課的目的，在於獲得授課教師所傳授的知識，而學生上課做筆記，是一種習用的學習方法，所以學生在上課時抄寫筆記的行為，依照社會一般的通念，應該是已經獲得授課教師默示的同意。賀教授要求上課學生進行分組討論，並共同完成一份小組的共同筆記，所以上課學生將賀教授上課時的授課演講內容加以做成筆記，應該是獲得賀教授明示的同意。141案例三討論(2/2)廖家心、黃佳伶與藍品雯三人共同完成之該小組共同筆記，屬「共同著作」，享有著作權法上所規定的「著作人格權」與「著作財產權」。賀教授上課時的授課演講內容，並不因廖家心、黃佳伶、藍品雯三人，已經將賀教授的授課演講內容，改作成為一個「衍生著作」，而失去著作權的保護。李志明欲影印該小組共同筆記，不僅要獲得廖家心、黃佳伶、藍品雯三人的同意，同時也必須獲得賀教授的同意，以免違反「重製權」。案例四案例描述

(資料來源:教育部—大學校園著作權(10個案例))倪雲倫甫自美國獲得博士學位後，便回國應聘到某私立大學兼任「生物學概論」的授課教師。倪教授是一位充滿教育理想的教師，她希望以生動多元的教學方式，讓她的學生學到更多有關生物學的知識。某天，倪教授打開電視機，發現「自然萬象」頻道上，正在播出由達爾文科學教育公司於今年製作首播的「生物的奧秘」電視影片，該影片片長約九十分鐘，內容有精彩的影像畫面與旁白介紹，倪教授眼睛一亮，「咦！這和我正在授課的課程內容有關呢！」，倪教授便馬上利用家裡的錄放影機，將與授課有關的影片內容，共計約十分鐘，側錄在一卷錄影帶上，以便自己為學校授課做課前準備之用，以及上課時，利用學校的錄放影機與電視，在教室中播放給上課的學生們觀看之用。倪教授並在該錄影帶上註記「達爾文科學教育公司製作」字樣。第二天，學生們在看過該錄影帶後，雖然只有十分鐘，