1、個人資料保護(hù)與ISMS資訊安全管理資訊風(fēng)險管理組 魯君禮 協(xié)理.tw簡報大綱個人資料保護(hù)法個人資料管理個人資料保護(hù)與ISMS基本資訊安全認(rèn)知Q&A個人資料保護(hù)法立法院於99年4月27日，將電腦處理個人資料保護(hù)法，修訂並三讀通過為個人資料保護(hù)法修訂方向：擴(kuò)大保護(hù)客體普遍適用主體增修行為規(guī)範(fàn)強(qiáng)化行政監(jiān)督妥適調(diào)整罰則促進(jìn)民眾參與個人資料保護(hù)法範(fàn)圍擴(kuò)大擴(kuò)大適用行業(yè)原適用八大行業(yè)(徵信、醫(yī)院、學(xué)校、電信、金融、證券、保險及傳播業(yè))適用範(fàn)圍擴(kuò)大至公務(wù)機(jī)關(guān)(含行政法人)與公務(wù)機(jī)關(guān)外的自然人、法人或其他團(tuán)體。個資新定義與科技演進(jìn)結(jié)合原個資定義：姓名、生日、身份證字號、特徵、指紋、婚姻、職業(yè)等。增加了護(hù)照號碼、

2、犯罪前科、聯(lián)絡(luò)方式，並原病歷擴(kuò)大為需考量醫(yī)療、基因、性生活、健康檢查等。調(diào)整資料儲存型式：原有對儲存於電磁紀(jì)錄物或其他類似媒體。調(diào)整為以自動化機(jī)器或非自動化個人資料之集合個人資料保護(hù)法提高賠償責(zé)任與罰則提高賠償責(zé)任與罰則於公務(wù)機(jī)關(guān)在非天災(zāi)等不可抗力因素外，導(dǎo)致個資外洩而侵害當(dāng)事人權(quán)益時，得依每人每一事件新臺幣500元20000元以下；若造成多數(shù)人權(quán)益受損時，則由2000萬調(diào)高至2億。（請詳?shù)?章第28條）加重違反罰則違反時仍為處以二年以下有期徒刑、拘役並由原有的4萬元以下罰金增加為20萬（請詳?shù)?章第41條） ；增加意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪

3、除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，處5年以下有期徒刑、拘役或科或併科新臺幣100萬元以下罰金（請詳?shù)?章第42條） 。 個人資料保護(hù)法總覽第一章 總則 (114條)定義、當(dāng)事人權(quán)利、告知、限制蒐集.第二章 公務(wù)機(jī)關(guān)對個人資料之蒐集、處理及利用(1518條)公開、安全維護(hù).第三章 非公務(wù)機(jī)關(guān)對個人資料之蒐集、處理及利用(1927條)主管機(jī)關(guān)檢查、處分第四章 損害賠償及團(tuán)體訴訟(2840條)賠償金額、舉證責(zé)任第五章 罰則(4150條)告訴乃論與刑責(zé)第六章 附則(5156條)排除及適用第十六條第七款、第二十條第一項(xiàng)第五款所稱書面同意，指當(dāng)事人經(jīng)蒐集者明確告知特定目的外之

4、其他利用目的、範(fàn)圍及同意與否對其權(quán)益之影響後，單獨(dú)所為之書面意思表示。個資法第七條當(dāng)事人蒐集個人資料時，應(yīng)明確告知當(dāng)事人下列事項(xiàng)：一、公務(wù)機(jī)關(guān)或非公務(wù)機(jī)關(guān)名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區(qū)、對象及方式。五、當(dāng)事人依第三條規(guī)定得行使之權(quán)利及方式。六、當(dāng)事人得自由選擇提供個人資料時，不提供將對其權(quán)益之影響。個資法第八條摘要(二)公務(wù)機(jī)關(guān)或非公務(wù)機(jī)關(guān)違反本法規(guī)定，致個人資料被竊取、洩漏、竄改或其他侵害者，應(yīng)查明後以適當(dāng)方式通知當(dāng)事人。個資法第十二條公務(wù)機(jī)關(guān)應(yīng)將下列事項(xiàng)公開於電腦網(wǎng)站，或以其他適當(dāng)方式供公眾查閱；其有變更者，亦同：一、個人資料檔案名稱。二、保有機(jī)關(guān)名

5、稱及聯(lián)絡(luò)方式。三、個人資料檔案保有之依據(jù)及特定目的。四、個人資料之類別。個資法第十七條摘要(三)公務(wù)機(jī)關(guān)保有個人資料檔案者，應(yīng)指定專人辦理安全維護(hù)事項(xiàng)，防止個人資料被竊取、竄改、毀損、滅失或洩漏。個資法第十八條非公務(wù)機(jī)關(guān)保有個人資料檔案者，應(yīng)採行適當(dāng)之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業(yè)主管機(jī)關(guān)得指定非公務(wù)機(jī)關(guān)訂定個人資料檔案安全維護(hù)計畫或業(yè)務(wù)終止後個人資料處理方法。個資法第二十七條摘要(四)非公務(wù)機(jī)關(guān)違反本法規(guī)定，致個人資料遭不法蒐集、處理、利用或其他侵害當(dāng)事人權(quán)利者，負(fù)損害賠償責(zé)任。但能證明其無故意或過失者，不在此限。個資法第二十九條有下列情形之一者，不適用本

6、法規(guī)定：一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結(jié)合之影音資料。公務(wù)機(jī)關(guān)及非公務(wù)機(jī)關(guān)，在中華民國領(lǐng)域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。個資法第五十一條摘要(五)個人資料生命週期管理(Personal Data Life Management)清除存取傳輸儲存使用蒐集C. I. A.個人資料管理重點(diǎn)(一)蒐集蒐集個人資料之理由、方法與告知義務(wù)確認(rèn)個人資料之正確性及內(nèi)容是否為法律定義之得以直接或間接方式識別該個人之資料使用符合法律之使用規(guī)範(fàn)符合組織政策之內(nèi)部使用規(guī)範(fàn)(例如：交叉行銷)存取存

7、取個人資料之權(quán)限管理委外或外包廠商之資訊安全管理個人資料保護(hù)管理措施將政策及目標(biāo)文件化建立專責(zé)組織建立執(zhí)行計畫對組織全員進(jìn)行宣導(dǎo)確認(rèn)個人資料涵蓋範(fàn)圍辨識相關(guān)法令及規(guī)定鑑別風(fēng)險並管理風(fēng)險確認(rèn)必要資源制定相關(guān)規(guī)範(fàn)實(shí)施教育訓(xùn)練落實(shí)執(zhí)行相關(guān)控管措施監(jiān)督檢視管理成效執(zhí)行矯正預(yù)防措施PlanDoCheck & Act個人資料保護(hù)管理與ISO27001(1/4)法令規(guī)章之遵循業(yè)務(wù)持續(xù)運(yùn)作管理資訊安全事件管理人員安全實(shí)體與環(huán)境安全通訊與操作管理系統(tǒng)發(fā)展與維護(hù)存取控制資訊資產(chǎn)分類與管理資訊安全組織資訊安全政策資訊安全管理稽核將政策及目標(biāo)文件化建立專責(zé)組織建立執(zhí)行計畫個資保護(hù)之PlanISO 27001 資訊安全

8、管理內(nèi)容個人資料保護(hù)管理與ISO27001(3/4)法令規(guī)章之遵循業(yè)務(wù)持續(xù)運(yùn)作管理資訊安全事件管理人員安全實(shí)體與環(huán)境安全通訊與操作管理系統(tǒng)發(fā)展與維護(hù)存取控制資訊資產(chǎn)分類與管理資訊安全組織資訊安全政策資訊安全管理稽核監(jiān)督檢視管理成效執(zhí)行矯正預(yù)防措施個資保護(hù)之Check & ActISO 27001 資訊安全管理內(nèi)容個人資料保護(hù)管理與ISO27001(4/4)法令規(guī)章之遵循業(yè)務(wù)持續(xù)運(yùn)作管理資訊安全事件管理人員安全實(shí)體與環(huán)境安全通訊與操作管理系統(tǒng)發(fā)展與維護(hù)存取控制資訊資產(chǎn)分類與管理資訊安全組織資訊安全政策資訊安全管理稽核ISO 27001 資訊安全管理內(nèi)容個人資料保護(hù)法著作權(quán)法(避風(fēng)港條款)校園網(wǎng)路

9、管理辦法個人資料庫2.控管要求表5.SSL5.WEP5.SSH3.實(shí)體安全4.電腦安全5.網(wǎng)路安全6.存取控制 5.SSL備份流程銷毀流程分類標(biāo)示處理流程存取權(quán)限管理ReadWrite能存取哪些欄位(與個資有關(guān))6.登入驗(yàn)證Log帳號管理6.登入驗(yàn)證Log帳號管理1.資訊資產(chǎn)清單-資料類書面文件加密加密那些欄位與個資有關(guān)？合法蒐集個別客戶行政管理DBAWeb AdData Owner上網(wǎng) eMail IM達(dá)成個資保護(hù)實(shí)作方式示意圖(配合ISMS)律師建議之自我檢查五步驟資料保護(hù)基本安全認(rèn)知(1/3)工作帶回家可能產(chǎn)生的資料外洩風(fēng)險除非組織規(guī)定允許，否則不應(yīng)將公務(wù)資料帶回家如果必須將公務(wù)資料帶回

10、家處理，應(yīng)確認(rèn)家中電腦亦有適當(dāng)?shù)陌踩雷o(hù)，例如啟用防火牆、安裝防毒軟體並更新最新病毒碼、更新系統(tǒng)修補(bǔ)程式等若使用家中電腦處理公務(wù)資料，應(yīng)儘量保持為較安全的使用環(huán)境，例如不要安裝P2P軟體，甚至離線作業(yè)儲存重要資料的外接式儲存媒體應(yīng)小心保管個人慣用的筆記型電腦常存有個人、公務(wù)資料，應(yīng)特別留意保管，勿讓宵小有機(jī)可乘資料保護(hù)基本安全認(rèn)知(2/3)重視個人帳號的密碼安全帳號密碼為身份驗(yàn)證的基本防護(hù)，務(wù)必重視密碼保護(hù)並設(shè)定強(qiáng)度足夠的安全密碼在工作場所之外的電腦登入使用系統(tǒng)，須留意是否為安全的使用環(huán)境並確認(rèn)密碼無外洩之虞適當(dāng)保護(hù)敏感資料，例如將文件加密或設(shè)定開啟密碼遵守組織的保密規(guī)定及遵行各項(xiàng)使用規(guī)範(fàn)提供資料供公開查閱，須確認(rèn)是否有民眾敏感資料（例如身份證字號、醫(yī)療資訊、通訊資料等）被不當(dāng)