一、 個資法的衝擊

(一)資訊自決權~個資當事人自主控制個人資料的權利。

(二)「個資法」具備有強制要求性,必須遵守。

(三)個資範圍擴增;行為規範趨嚴;舉證責任倒置;處罰刑責加重。

(四)「個資法」告訴我們“該要做甚麼?(What)”卻不會告訴我們“該要怎麼做(How) ” 。

(五)比例原則 ? 量力而為? 模糊空間太大?

二、 借鏡日本

根據日本JNSA(Japan Network Security Association)調查研究部安全受害調查工作團體 2011年6月8日 於JNSA2010年度活動報告會上所提出的2010年關於情報安全意外事件的調查報告書~個人資料洩漏篇~對 日本於2005年4月1日實施個資法後到2010年度間個資安全事件相關內容的變化趨勢所做的分析顯示日本在 個資安全維護方面的幾個重要訊息:
(一) 日本個資法實施於2005年4月1日後,個人資料洩漏事件在2007年達到最低點,然後逐年上升。但是受害人數在2007年達到最高點,然後逐年下降。
(二) 日本個資法實施於2005年4月1日後,個人資料洩漏事件民事賠償在2007年達到最高峰,然後逐年下降。
(三) 由日本的經驗可以知道在個資法開始實施的前三年,由於受到個資法規範的組織對於個資安全維護的經驗不足,每次發生個資洩漏事件規模都很龐大;受害人數很多,賠償金額很大。然而2008年以後,雖然行使個資當事人權利的意識愈來愈普及,個人資料洩漏事件在2007年後逐年上升,但是由於受到個資法規範的組織對於個資安全維護的經驗累積與能力進步,反而受害人數逐漸降低。
(四) 台灣新版個資法正式實施日期可能在2012年中旬,受到個資法規範的組織對於個資安全維護需要學習時間,預計受害人數與求償高峰會在2015年出現,然後逐年下降。

三、個資法專區目的

新碩資訊基於服務客戶的理念,設立個資法專區提供關於個資法相關議題的討論與分享,希望與客戶互相切磋、一起努力降低個資法為企業營運所帶來的風險。

四、不能逃避的個資法

無法逃避個資法的衝擊~法律的強制性。
最高領導者以身作則、明白宣示;
組成跨部門個資安全維護組織;
指派高階主管負責管理;
遵循PDCA(Plan、Do、Check、Action)指導原則;
確實執行十一項安全維護事項必要措施;
深植『尊重個資當事人隱私與權利』的理念於員工心中;
落實『個資安全維護』融入組織個資處理業務流程;
預防個資事故之發生方是上策。
即便萬一發生事故,已盡到善良管理人責任,
有利於未來舉證:證明組織無故意或是無過失行為,
降低個資法為組織營運帶來的風險。

五、個資法專區架構

個資法專區主要討論議題如下:
新聞~個資法相關法律、命令之新聞報導。
◆ 法令架構~個資法、施行細則、行政命令內容之說明。
◆ 安全維護事項~個資法施行細則十一項必要安全維護措施討論。
◆ 安全維護事項管理篇~十一項安全維護事項管理面討論。
◆ 安全維護事項技術篇~十一項安全維護事項技術面討論。
◆ 個案分享~個資事件、行政裁決、法院判例說明與討論。

一、法令架構

(一) 個資母法:
新版《個人資料保護法》民國 99年4月27日立法院院會完成三讀程序。
總統於民國 99年5月26日明令公佈。
行政院於民國 101年10月01日明令實施。
(二) 施行細則:
第 55 條 本法施行細則,由法務部定之。
法務部於民國 101年10月01日公佈個資法施行細則明令實施。
(三) 實施辦法:
第 27 條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
法務部於民國102年01月08日公佈個人資料保護法非公務機關之中央目的事業主管機關。
(四) 行政裁決:
第 25 條 非公務機關有違反本法規定之情事者,中央目的事業主管機 關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處 分:
1. 禁止蒐集、處理或利用個人資料。
2. 命令刪除經處理之個人資料檔案。
3. 沒入或命銷燬違法蒐集之個人資料。
4. 公布非公務機關之違法情形,及其姓名或名稱與負責人。
第 五 章 罰則 第41-50條
(五) 法院判決:
法院依個案審理決定是否違反義務。
目前尚無依據新法的判例。

二、個資法架構

三、 個資法摘要

章 節 條 款 重 點
第一章 總則 第1 – 14條 ★立法目的
★個人資料定義、規範行為定義
★當事人權利
★委託關係責任
★特種資料不得蒐集、處理或利用與例外
★書面同意之形式
★個資蒐集告知之義務與事項
★個資蒐集告知義務之免除
第二章 公務機關對個人資料之蒐集、處理及利用 第15 – 18條 ★個資蒐集與處理必要特定目的與例外
★個資蒐集與處理之義務
★個資利用之義務
★個資公告之義務
★公開於電腦網站之義務
★必要安全維護措施
第三章 非公務機關對個人資料之蒐集、處理及利用 第19 – 27條 ★個資蒐集與處理必要特定目的與例外
★個資蒐集與處理之義務
★個資利用之義務
★國際傳輸之限制
★行政檢查權
★行政檢查權之異議權
★行政檢查權補償措施
★行政檢查權處罰
第四章 損害賠償及團體訴訟 第28 – 40條 ★損害賠償
★損害賠償免責
★損害賠償請求權
★個人訴訟
★團體訴訟
第五章 罰則 第41 – 50條 ★罰金
★連帶罰鍰
★刑事責任基本刑罰
★刑事責任加重處罰
★國境外適用
★行政檢查權處罰
★連帶罰鍰處罰
第六章 附則 第50 – 56條 ★個資法適用排除
★受託檢查單位保密義務
★定特定目的及個資類別訂定
★告知前非經當事人提供之個資義務
★施行細則由法務部定之
★公布施行日由行政院定之

五、 個資法施行細則下載(法源依據個資法第55條)

六、 個資法及施行細則修正條文對照下載

七、 各目的事業主管機關行政命令(法源依據個資法第27條)

主管機關 命令名稱 日期 備註 下載
金融監督管理委員會 金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法 102/11/08 所有條文 下載
內政部 不動產經紀業個人資料檔案安全維護管理辦法 102/07/10 所有條文 下載
行政院勞工委員會 人力仲介業個人資料檔案安全維護計畫及處理辦法 102/05/01 所有條文 下載
公平交易委員會 多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法 102/04/30 所有條文 下載
法務部 個人資料保護法非公務機關之中央目的事業主管機關 102/01/08 下載
法務部 中央目的事業主管機關依個人資料保護法第二十七條第三項規定訂定辦法之參考事項 102/01/07 參考事項總說明及對照表
總統府 總統府個人資料保護管理要點 101/12/19 所有條文 下載
中央銀行 票據交換所個人資料檔案安全維護計畫標準辦法條文 101/11/30 所有條文 下載
中央銀行 票據交換所個人資料檔案安全維護計畫標準辦法總說明 101/11/30 下載
法務部 個人資料保護法之特定目的及個人資料之類別 101/10/01 下載
交通部 觀光旅館業接受個人資料查詢閱覽或製給複製本收費標準 101/04/06 所有條文 下載
國家通訊傳播委員會 電信業及傳播業受理當事人查詢或請求閱覽個人資料或製給複製本收費標準 99/10/19 所有條文 下載
財政部證券暨期貨管理委員會 證券業暨期貨業個人資料檔案安全維護計畫標準 87/01/15 所有條文 下載
財政部證券暨期貨管理委員會 證券業暨期貨業接受個人資料查詢閱覽製給複製本之程序及收費標準辦法 87/01/15 所有條文 下載
行政院衛生署 醫院電腦處理個人資料登記管理辦法 85/12/04 所有條文 下載
財政部 金融業個人資料檔案安全維護計畫標準 85/08/12 所有條文 下載
財政部 保險業個人資料檔案安全維護計畫標準 85/07/27 所有條文 下載
財政部 保險業接受個人資料查詢閱覽製給複製本之程序及收費標準 85/07/27 所有條文 下載

八、 解釋函

機關 發文字號 日期 主題 要旨 下載
教育部 102/05/15 學校事務、活動涉及個人資料得否公開 檢送「學校事務、活動涉及個人資料得否公開(利用)流程及說明」(如附件),惠請宣導並參考運用 下載
法務部 法律 字第 10100518090 號 101/02/17 基於法律不溯及既往原則,個人資料保護法自以違法行為發生於修正施行後者為限 電腦處理個人資料保護法第 27 條、個人資料保護法第 28 條等規定參照,基於法律不溯及既往原則,個人資料保護法自以違法行為發生於修正施行後者為限,個人資料外洩違法行為及所生損害結果均須在個人資料保護法修正施行後,始有該法適用 下載
法務部 法律決 字第 0999028404 號 99/08/19 有關 ETC 用路人之個人資料管理疑義 公務機關除有依規定不予公告事項、或有妨害公務執行或第三人重大利益之虞之情事外,應依當事人之請求,就其保有之個人資料檔案,答覆查詢、提供閱覽或製給複製本;至有無前述除外情形,涉及事實認定問題,宜由主管機關本於職權審認 下載

一、法令依據

根據個人資料保護法條文第55條:本法施行細則,由法務部定之。目前法 務部擬定的施行細則草案第九條明定十一項安全維護事項(參考英國 BS10012:2009及日本JISQ15001:2006等個人資料管理系統之規範)所稱適 當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關 為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必 要措施。前項安全維護事項可以分成兩個層級:組織管理面與技術面,本篇 將討論組織管理面;技術面請參考個資法安全維護事項技術篇。
施行細則第12條: 適當安全維護事項
本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
1. 配置管理之人員及相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 必要之使用紀錄、軌跡資料及證據之保存。
11. 個人資料安全維護之整體持續改善。
第1項必要措施,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。

二、 個資法必要安全維護事項

個資法11項安全維護事項
項次 階段 重點說明 參與單位 因應對策
配置管理之人員及相當資源 PLAN
規畫階段
1.成立管理組織
2.配置相當資源
3.個資安全維護組織運作
組織高層負責
個資安全維護組織
個資處理業務
稽核部門與法務
配置管理之人員及相當資源
界定個人資料之範圍 PLAN
規畫階段
1.個人資料定義
2.個人資料盤點
3.個人資料管理權責規劃
IT
個資處理業務
稽核部門與法務
界定個人資料之範圍
個人資料之風險評估及管理機制 PLAN
規畫階段
1.個人資料隱私衝擊分析
(威脅分析)
2.個人資料之風險評估
(弱點分析)
3.個人資料之風險管理機制
組織高層
IT
個資處理業務
稽核部門與法務
個人資料之風險評估及管理機制
事故之預防、通報及應變機制 PLAN
規畫階段
1.事故之預防
2.事故之通報
3.事故應變機制
IT
個資處理業務
稽核部門與法務
事故之預防
通報及應變機制
個人資料蒐集、處理及利用之內部管理程序 DO
執行階段
1.個人資料蒐集流程管理
2.個人資料處理流程管理
3.個人資料利用流程管理
IT
個資處理業務
稽核部門與法務
個人資料蒐集
處理及利用之內部管理程序
資料安全管理及人員管理 DO
執行階段
1.資料安全管理
2.內部人員管理
3.第三方受託機關人員管理
IT
個資處理業務
HR
稽核部門與法務
資料安全管理及人員管理
認知宣導及教育訓練 DO
執行階段
1.認知宣導
2.教育訓練
IT
個資處理業務
HR
稽核部門與法務
認知宣導及教育訓練
設備安全管理 DO
執行階段
1.實體與環境安全管理
2.儲存設備安全管理
3.傳輸設備安全管理
IT
稽核部門
個資法防護方案
設備安全管理
資料安全稽核機制 CHECK
監控階段
1.內部個資處理流程稽核
2.內部個資記錄稽核
3.部署適當監控工具
IT
稽核部門
資料安全稽核機制
Email稽核/備份
稽核記錄
上網行為管理
資料庫防火牆
資料遺失防護(DLP)
使用紀錄、軌跡資料及證據保存 CHECK
監控階段
1.個資使用記錄之保存
2.軌跡資料之保存
3.證據之保存
IT
稽核部門與法務
使用紀錄、軌跡資料及證據保存
Email稽核/備份
稽核記錄
上網行為管理
資料庫防火牆
個人資料安全維護之整體持續改善 ACTION
改善階段
1.定期內部審查
2.定期個資安全維護組織會議
3.個資安全維護改善計畫
IT
個資處理業務
稽核部門與法務
個人資料安全維護之整體持續改善

三、關鍵成功因素

個資法必要安全維護事項是法律層面要符合個資法的規範應當如何進行的最具體說明。所以新碩資訊也建議各界以回應這十一個必要安全維護事項做為個資法因應的出發點。
這十一個必要安全維護的關鍵成功因素:
高層領導、組織、流程、人員、資訊技術等五大基礎元素,環環相扣,缺一不可(都是執行必要安全維護事項所需要的,少了某一環節對於個資法的落實就會有很大的影響)。
高層領導
組織~個資安全維護組織運作
流程
1.個人資料風險評估及管理流程
2.個人資料蒐集流程
3.個人資料處理流程
4.個人資料利用流程
5.資料安全管理流程
6.資料安全稽核流程
7.事故之預防、通報及應變流程
8.持續改善流程
人員
1.內部人員管理
2.第三方受託機關人員管理
資訊技術
1.資料安全管理
2.設備安全管理
3.資料安全稽核
4.使用紀錄、軌跡資料及證據保存

一、配置管理之人員及相當資源

(一) 高層領導
1. 高層領導(通常指實際負責組織營運的最高負責人~執行長、總經理)要為個資維護的成功與 否負全責,高層領導要負責擬定個資安全維護政策成立個資安全維護組織分配適當資源, 而且要以身作則
2. 擬定個資安全維護政策(個資安全維護政策):
高層領導須依據個資法之條文、施行細則及相關主管機關行政命令,擬定明白公佈組織內 之個資安全維護政策以及遵循規範。
個資安全維護政策內容包含:個資安全維護定義、目標、涵蓋範圍、實施內容、執行組織、 權責分工、員工責任、事件通報程序、處理流程等。
3. 決定個資安全維護可接受的風險等級
4. 成立個資安全維護組織
指定高階主管人員帶領跨部門個資安全維護組織,負責協調、推動及監督組織個資安全維護 之相關事宜及監督個資安全維護作業。以能夠熟悉個資作業流程、掌握個資安全維護技術以 及擅長跨部門溝通、協調者為佳。
高階領導必須藉由明確方向承諾指導方針與支援由上而下支持個資安全維護組織,並明確定義個資安全維護組織之執掌與責任。
個資安全維護組織應當為常設單位直屬高層領導組織架構)。
個資業務以及相關部門同仁(以擔任部門主管或副主管職務者為佳)組成個資安全維護組 織擔任個資安全維護專責機關個資業務部門不僅限定於行銷、銷售部門,凡涉及個資蒐集、處理和利用作業之單位都應納入(例如:負責員工資料的HR;負責股東資料的股務部門等)。
公務機關,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。
個資法第18條公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料 被竊取、竄改、毀損、滅失或洩漏。
施行細則第二十一條 本法第十八條所稱專人,指具有管理及維護個人資料檔案之專業能力,且足以擔任機關檔案資料安全維護經常性工作之人員。公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。
非公務機關亦可比照施行細則第二十一條之內容辦理,通常IT部門同仁是較適合承擔人員。
5. 配置相當資源(資源、人力)
高層領導為達成個資安全維護目標必須投入適當費用以執行必要措施,其所支出之費用與所欲 達成之個人資料維護目的符合適當比例者為限。
所謂適當比例原則意指高層領導為落實個資安全維護目標所投入的資源多寡與企業的能力以及 個資利用目的是否平衡?未來若涉及個資外洩事件,組織是否可以證明已經盡到善良管理人的 注意義務

 

(二) 個資安全維護組織運作
1. 個資安全維護組織需承擔組織個資安全維護作業責任、遵循高層領導所擬定的組織個資安全維 護政策、落實個資安全維政策、定期將成果呈請高層領導審查。
2. 個資安全維護組織需負責建立風險評估方法(個資風險分析)、管理風險(個資風險管理機制) 並呈報給高層領導審查。
3. 個資安全維護組織管理者負責招集成員組成團隊(組織架構)。
4. 個資安全維護組織管理者若未負起督導管理之責,管理者還會遭到和組織一樣額度的行政罰鍰 (個資法第50條行政罰法第15條)。
5. 個資安全維護組織管理者負責建立個資安全維護組織運作模式及成員職掌分配(工作職掌表)。
6. 擬定個資安全維護工作項目以及推動工作時程(工作時程)。
7. 規劃與執行組織內部個資維護認知宣導及教育訓練(認知宣導及教育訓練);個資訊息發佈。
8. 協助組織內個資業務處理部門鑑別所保有之個資項目,並建議採取相關控制措施。
9. 建立風險評估方法,執行風險管理並陳報給管理高層作審查。
10. 組織個資業務處理流程之監督、管制;內部流程調整建議;推動表;個資安全維護技術支援。
11. 保存組織個資安全維護相關控制措施證據(如:表單紀錄),以證明組織已盡良善管理之責任。
12. 組織內個資業務部門間個資業務協調聯繫之窗口。
13. 組織內個資業務部門個資安全事件通報之窗口。
14. 組織重大個資外洩事件之對外聯繫窗口;個資事件處理。
15. 提供「個資法」的專家建議和指引:確保組織取得相關更新法令及適當指引,持續檢視並反映法律、實務和技術的變更。
16. 定期執行稽核作業,以確保相關管理措施之有效性。

 

(三) 個資處理部門運作
1. 個資處理部門應納入所有個資生命週期涵蓋部門。
2. 個資處理部門應指派個資維護專責人員,進行各項專業工作。
3. 個資維護專責人員擔任部門內「個資安全維護種子成員」負責部門內個資安全維護作業推動與 協助支援工作。
4. 個資處理部門主管應負責部門營運相關個資定義以及部門擁有個資盤點。
5. 個資處理部門主管應負責部門內個人資訊處理程序之監督,包括隱私權聲明的管理和傳達、訴 願處理、與個資安全維護組織聯繫、妥善保存個資安全維護相關控制措施證據(如表單紀錄)… 等,證明已盡良善管理之責任。
6. 個資處理部門主管應定期執行稽核作業,確保個資安全維護相關管理措施之有效性。
7. 個資維護專責人員負責協調聯繫個資安全維護組織窗口、通報個資安全事件。
8. 個資處理部門應妥善保存相關控制措施證據(如:表單紀錄),以證明個資處理部門已盡良善管 理之責任。

二、界定個人資料之範圍(作業流程)

(一) 個資定義作業(由上而下作業方式)
1. 確認組織內每一種需使用到個資的特定目的(特定目的,盡可能符合公司的營業項目)。
2. 根據個資生命週期確認組織內所有個資處理業務流程組織個資處理作業流程表)。
3. 確認組織內每一種特定目的所需個資的資料類別以及個資範圍(電腦處理個人資料保護法之特定目的及個人資料之類別【法務部85年8月7日法85令字第19745號令】)。
4. 確認組織內每一種個資是否有包含特種資料(個人資料檔案若包含醫療、基因、性生活、健康 檢查及犯罪前科等五項即為特種資料,需受特別的規範。個資法第6條。)。
5. 確認組織內每一種個資處理業務流程中的所有利害關係人,例如:個資當事人/使用者、組織 內部員工、委外廠商、供應者…等等。
6. 確認每ㄧ種利害關係人所扮演的角色:
◆ 個資所有權人~個資當事人。
◆ 個資權責部門~依業務區分個資之權責部門。
◆ 個資保管部門~個資處理之資訊設備管理單位。
◆ 個資使用部門~有權限存取個資之部門或個人。
7. 確認組織內每一種個資的存在形式(如:紙本、電子檔案或資料庫欄位),以及個資範圍內容
8. 確認組織內每一種電子檔個資處理業務流程所涉及的資訊系統
9. 確認組織內每一種個資處理業務的作業流程(蒐集、儲存、處理、利用),從個資蒐集(個資 來源)開始到個資銷毀(個資生命週期)。
10. 確認組織內每一種個資的個資來源以及蒐集方式
11. 建立組織個資定義清單(個資定義清單)。

 

(二) 個資盤點作業(由下而上作業方式)
1. 個資盤點作業需動員全體員工,由組織高層帶領比較容易成功。
2. 個資盤點說明,對全體員工進行個資安全維護認知宣導(認知宣 導及教育訓練)。
3. 以部門為個資盤點基本單位,部門員工負責盤點個人所蒐集、儲存、處理或利用到的個資~蒐 集、處理或利用個資之途徑與方式;個資的性質。
4. 部門個資維護專責人員協助部門員工執行個資盤點並負責彙整部門個資盤點結果,提報個資安 全維護組織審查。
5. 個資安全維護組織審查各部門提報個資盤點結果。
6. 建立組織個資盤點清單(個資盤點清單)。

 

(三) 確認有效個資的資料類別以及個資範圍(不要太多也不要太少,適合特定目的使用即可)。
1. 比對個資定義清單個資盤點清單每一種特定目的所需個資的資料類別以及個資範圍
2. 特定目的所需資料類別以及個資範圍相符項目轉入個資清單(個資清單)。
3. 特定目的或所需資料類別個資範圍不相符項目進行差異項目分析,確認正確的特定目的資 料類別個資範圍
4. 新增特定目的所需個資~建立相關個資蒐集表格;增加資料類別以及個資必要內容(個人資料 蒐集流程管理)。
5. 刪除特定目的所需個資~廢除相關個資蒐集表格;刪除資料類別以及個資的相關內容(個人資 料銷毀流程管理)。
6. 新增資料類別以及個資範圍~修正個資蒐集表格;增加資料類別或個資必要內容(個人資料蒐 集流程管理)。
7. 刪除資料類別以及個資範圍~修正個資蒐集表格;刪除資料類別或個資不必要的個資內容(個 人資料銷毀流程管理)。
8. 建立組織個資清單(個資清單)。

 

(四) 個資管理權責規劃
1. 確認各項個資的管理人(負權責人)、保管人及使用人。
2. 確認各項個資內容的資訊分級標示(機密性、敏感性及一般性)。
3. 確認各項個資的管理人(負權責人)、保管人及使用人對個資各項內容的權責區分。
4. 建立適當的個資使用權限表(不要太多也不要太少)。

三、個人資料之風險評估及管理機制

(一)個人資料隱私衝擊分析(威脅分析)

(二)個人資料之風險評估(弱點分析)

(三)個人資料之風險管理機制

四、事故之預防、通報及應變機制

(一) 事故之預防
1. 事故~發生個資被竊取、洩漏、竄改或其他侵害導致個資當事人產生損失及毀損之狀況。
2. 預防個資事故之發生方是上策。

 

(二) 事故之通報
1. 發生個資事故,組織沒有通報個資當事人以及目的事業主管機關將負更大的責任和罰則。
第 12 條公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適 當方式通知當事人。
第 48 條非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未 改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰……。
2. 事故個資當事人通報方式~通報方式可以採用電子郵件、簡訊、電話、書函、或其他可使當事人知悉的方式,亦 可採用公告、媒體等方式,可運用多種方式搭配補強。
3. 事故之目的事業主管機關通報。
4. 事故之通報應保留記錄。

 

(三)事故應變機制1.確認事故之發生、事故的規模以及損害的範圍。2.確認事故發生事實、原因及對策。3.事故發生之立即個資安全維護補強作業,防止損害持續擴大或二次損害。4.擬定事故發生通知個資當事人之通報方式、作業流程以及通報之內容格式(個資當事人通報作業流程)。5.擬定事故發生後個資當事人求償之協商作業以及補償方式。6.因應事故發生後目的事業主管機關檢查,彙總整理事故相關之記錄、軌跡資料及證據(使用紀錄、軌跡資料及證據保存)。7.尋求資訊安全專業(新碩資訊)以及法律專業諮詢與協助。8.記取經驗,擬定個資安全維護改善計畫持續落實。

五、個人資料蒐集、處理及利用之內部管理程序

(一) 個資生命週期
對個資法的規範,定義個資生命週期為從產生個資的蒐集作業流程、處理個資的處理作業流程、利用個資的個資的利用作業流程到將個人資料銷毀的個資銷毀作業流程。如下圖所示:
個人資料生命週期管理
個資蒐集:依據組織營運需要針對特定目的之對象(例如:客戶、股東或員工),蒐集必要的個資內容。蒐集方式包含:直接蒐集(紙本文件、電子檔案);間接蒐集(紙本文件、電子檔案);系統自動蒐集(電子檔案)。
個資處理:對於個資的記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、內部傳送(國際傳輸)。
個資利用:將蒐集之個資做個資處理以外之使用。
個資銷毀:個資當事人依據個資當事人權益行使請求刪除該當事人個資,或是組織針對某一特定目的消失或期限屆滿時應主動刪除。

 

(二) 個資蒐集、處理及利用作業之管理原則
1. 個資作業流程應整合於組織的整體營運流程當中。
2. 個資作業相關流程之設計應納入當事人個資維護的觀念:
公平及合法處理個資。
明確個資具體用途。
確保個資正確性。
確保個資完整性。
當事人權利。
3.個資蒐集的範圍(內容)應以適用為原則,多餘的個資內容對於組織而言是風險的增加。
4.個資作業相關流程之設計應以簡單為原則,不要複雜化。
5.個資作業相關流程之設計應納入個資安全稽核的觀念。
6.制定出個資作業相關流程的標準作業流程並文件化。

 

(三) 個資蒐集作業流程管理
1.直接蒐集(紙本文件)流程管理。
2.直接蒐集(電子檔案)流程管理。
3.間接蒐集(紙本文件)流程管理。
4.間接蒐集(電子檔案)流程管理。
5.系統自動蒐集流程管理。

 

(四) 個資處理作業流程管理
1.個資處理作業流程
個資處理作業流程
2.電子檔案更正、記錄、輸入作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
3.電子檔案編輯、檢索作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
4.電子檔案儲存(檔案伺服器、資料庫)作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)
5.電子檔案複製作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
6.電子檔案刪除作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
7.電子檔案輸出(列印)作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
8.電子檔案內部傳送(包含國際傳輸)(網路、電子郵件或是社群網站)作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
9.紙本文件更正、記錄、輸入作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
10.紙本文件電子化作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
11.紙本文件儲存(存檔)作業流程(授權、存取控制、監督、稽核及行為記錄機制)。
12.紙本文件複製(影印)作業流程(授權、存取控制、監督、稽核及行為記錄機制)。
13.紙本文件刪除(銷毀)作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。

 

(五) 個資利用作業流程管理(特定目的利用)
1.員工個資利用作業流程管理。
2.客戶個資利用作業流程管理。
3.股東個資利用作業流程管理。
4.個資利用作業流程產生之相關個資蒐集管理。

 

(六) 個資銷毀作業流程管理
1.電子化個資銷毀作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
2.紙本個資銷毀作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。

 

(七) 個資當事人權利行使之回應
1.個資當事人請求查詢或閱覽作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
2.個資當事人請求製給複製本作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
3.個資當事人請求補充或更正作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
4.個資當事人請求停止蒐集、處理或利用作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。
5.個資當事人請求刪除作業流程管理(授權、存取控制、監督、稽核及行為記錄機制)。

六、資料安全管理及人員管理

(一) 資料安全管理
1. 防止外部不當入侵個人資料檔案
2. 個人資料檔案使用正面表列原則
3. 個人資料檔案存取權責
4. 防止個人資料檔案存取目的外使用
5. 個人資料檔案加密
6. 個人資料檔案備份
7. 個人資料檔案異地備份
8. 個人資料檔案銷毀

 

(二) 內部人員管理
1. 員工招募
招募新進員工必須要求新進員工同意並且簽署員工個資使用的書面同意書(書面同意書)。
內部處理個資檔案新進員工,應簽訂保密切結書(保密切結書面書)。
對內部處理個資檔案新進員工之進用及調派,應作適當之安全評估。
對內部處理個資檔案新進員工施予資訊安全與個資隱私保護之職前教育訓練(認知宣導及教育訓練)。
設計符合個資法規範之相關招募以及人事表單(面試資料表、員工資料表)。
2. 員工在職
員工應盡之安全責任應納入其工作說明書或系統文件。
定期對內部處理個資檔案員工施予資訊安全與個資隱私保護之教育訓練,並於單位內宣導個資隱私保護之重要性(認知宣導及教育訓練)。
處理個資檔案員工應瞭解組織之個資安全政策及個人應負之責任。
處理個資檔案員工職務如有異動,應將所保管之儲存媒體及個資有關資料列冊移交,接辦人員除應於相關系統重置通行碼外,應視需要更換使用者識別帳號(資料安全管理)。
訂定處理個資檔案員工違反組織個資安全政策與程序之懲處規定(員工個資安全權維護管理)。
3. 員工離職
處理個資檔案員工離職時,應確認其使用或保管之資訊資產是否依規定繳回或辦理移除(員工離職作業流程)。
處理個資檔案員工離職時,應確認取消或停用其使用者識別帳號,且收繳其通行證及相關證件(員工離職作業流程)。
處理大量個資檔案員工離職時,應稽核並確認其是否有異常的個資處理記錄(資料安全稽核機制、稽核記錄設備資料庫防火牆)。
離職員工個人資料的處理作業(離職員工個資處理流程)。

 

 

(三) 第三方受託機關人員管理

七、認知宣導及教育訓練

(一) 認知宣導
(二) 教育訓練

八、設備安全管理

(一) 實體與環境安全管理
(二) 儲存設備安全管理
(三) 傳輸設備安全管理

九、資料安全稽核機制

(一) 內部個資處理流程稽核
(二) 內部個資記錄稽核
(三) 部署適當監控工具

十、使用紀錄、軌跡資料及證據保存

(一) 個資使用記錄之保存
(二) 軌跡資料之保存
(三) 證據之保存

十一、個人資料安全維護之整體持續改善

(一) 建立PDCA(規劃、執行、監控、改善)機制,訂定個資安全目標或KPI,透過預防及矯正措施,來改善任何個資 安全維護管理的異常事件或弱點。
(二) 定期以及不定期內部稽核以確認組織是否落實個資安全維護,所有內部稽核的查核記錄都必須 妥善保存以符合法令規範(資料安全稽核機制)。
(三) 定期招開個資安全維護組織團隊會議,審查內部個資處理安全維護作業流程是否符合法令要求。
(四) 定期檢討內部個資處理安全維護作業績效,並提出個資安全維護改善計畫。
(五) 主動積極、妥善處理來自個資當事人之客訴及抱怨(事故應變機制)。
(六) 高層領導定期審查個資安全維護組織對於個資安全維護作業(每年1-2次)。

網路安全防護

稽核紀錄

新版個資法通過後舉證責任在企業,企業需留存有「證據能力」之紀錄作為提供無故意與無過失重要證據。

HP ArcSight Logger

廣泛的支援性,超過300+種的設備
易於管理 (No DB Administration)
同時保存原始紀錄(Raw Data),可用於電腦鑑識(Forensic)
資料的不可修改性 (Integrity Check,符合NIST 800-92)
具備身份別管理 (RBAC:Role-Based Access Control)

相關網站

RSA

完整的SIEM功能,同時提供企業資安監控(SOC)及資訊系統法規稽核應用。
不需要代理程式,可完整收集所有資訊系統及設備產生的事件。
提供標準及客製化法規/資安報表及警示。
內建超過1000+的各式國際法規及IT管理報表,無需額外費用。

相關網站

Sawmill

全中文化報表欄位與操作介面。
支援多種的日誌格式。
快速的處理分析引擎。
自動化的SHA-1校驗碼核對機制,提供日誌不可否認性的依據。

詳細介紹

網頁應用程式防火牆

深入分析網站存取的要求和回應,立即阻擋對網站系統與應用程式漏洞的攻擊行為,避免個資外洩的發生。

F5

針對網路攻擊的目標已轉移到網頁攻擊手法的現象,全球應用遞送網路領導廠商F5台灣暨香港區董事總經理許慧嫻指出,F5 BIG-IP ASM網頁應用程式防火牆(Web Application Firewall,, WAF)提供特定應用系統XML過濾與驗證功能,能夠確保網站應用程式輸入的XML文件格式正確,進行應用程式安全保護,可以偵測HTTP、FTP、 SMTP的流量,防止包括Command injection、encoding攻擊。該功能還提供了欄位(schema)認證、一般攻擊緩解,以及XML parser阻斷服務攻擊防護。

相關網站

iMPERVA

能分析出針對應用程式或隱藏其中的攻擊。
完整針對的網路層、OS層、應用程式層、資料使用層分析,可做主動防禦,或是被動稽核管理。
整合特徵碼、政策、通訊協定行為、敏感性資料定義、URL行為進行分析。
支援layer 2 inline bridge及sniffer模式不需更動應用程式、網路架構。
自動建立白名單做為資料使用的規範以及稽核依據。
獨立的研究中心針對全球所有資料庫、網站之行為研究及弱點漏洞分析,自動更新報表、政策、特徵碼、知識庫等服務。
提供超過兩百項以上的預設稽核及報表格式,並可自型客製化定義,直接滿足內外稽要求。
動態的剖析網站架構,自動學習設定。

詳細介紹

防火牆/UTM

Cisco

支援IPv6、QoS、VLAN、支援兩條WAN線路備援(A/S)及支援兩台防火牆達到備援功能(A/S)。
整合DDNS、Layer 2-7檢查,管理IM(即時通訊、P2P..)、URL Filtering、H.323、SIP。
支援PoE乙太網路線上供電。
先進易上手的網管工具(ASDM)。

相關網站

Fortigate

Fortinet 為整合式威脅管理(UTM)領導廠商。
提供完整的整合式網路安全功能,包括防毒、防火牆、VPN、入侵防護 (IPS)、網頁過濾、防垃圾郵件和流量最佳化。
專屬設計加速特定安全處理能力的專利FortiASIC晶片,以及提供所有安全功能基礎的專利作業系統FortiOS。
FortiGate 設備也加入高可用性和自動容錯移轉(failover)功能;而多部較高階的設備,並具備系統虛擬化能力。

詳細介紹

Juniper

為企業和服務供應商提供最齊備的高效能網路與安全防護解決方案。
與頂級安全防護應用緊密整合在一起,以抵擋蠕蟲、木馬、病毒,以及其他惡意軟體。
提供完整的CLI、WebUI等多重管理機制,並透過NetScreen Security-Manager 支援集中式管理,以力快速部署,並降低後續維運成本。

詳細介紹

Paloalto

Palo Alto新世代防火牆是Layer 7等級的防火牆。
可以監測900種應用程式 有效防阻資料外洩。
以使用者及應用程式來做為控管的依據。
功能強大的視覺化及管理工具提供安全管理者廣泛的資料參照點。
政策為基礎的控制可強制適當使用應用程式。
應用程式識別與內容檢查。
強大報表與日誌記錄功能,可協助分析安全事件、應用程式使用狀況,以及通訊流樣本。
單一設備同時提供旁接模式(SPAN Mode)、透通模式(Transparent Mode) 及路由模式(Route Mode)等三種運作模式。

詳細介紹

入侵防禦系統

可針對各種不同的威脅和攻擊,提供入侵偵測和保護,有效降低企業受駭的風險。

McAfee

專屬硬體提供wire-speed,multi-gigabit效能,以支援網路核心、邊界及遠端辦公室。
全面即時防護,以保護已知,零時差,DDoS及SSL加密型等多種攻擊。
精確地偵測並防禦網頁流覽弱點,間諜程式,VOIP及機器人(BOT)網路等威脅。
提供極為彈性的虛擬IPS及內部防火牆功能。
提供功能強大且容易安裝部置及管理設定的圖形化使用者介面。

詳細介紹

TippingPoint

L4-L7攻擊行為分析與統計(IP De-fragmentation、Flow Reassembly、第七層封包解析比對、攻擊行為統計分析、流量限速、惡意封包阻擋、DoS/DDoS攻擊防禦、Spyware防護、異常流量狀態追蹤)。
網路流量限速以及惡意封包阻擋。
超過170種的應用層網路通訊協定分析。
零時差攻擊保護畫(Zero-DayInitiative; ZDI)。
TippingPoint透過數位疫苗服務(Digital Vaccines)。

相關網站

Paloalto

Palo Alto新世代防火牆是Layer 7等級的防火牆。
可以監測900種應用程式 有效防阻資料外洩。
以使用者及應用程式來做為控管的依據。
功能強大的視覺化及管理工具提供安全管理者廣泛的資料參照點。
政策為基礎的控制可強制適當使用應用程式。
應用程式識別與內容檢查。
強大報表與日誌記錄功能,可協助分析安全事件、應用程式使用狀況,以及通訊流樣本。
單一設備同時提供旁接模式(SPAN Mode)、透通模式(Transparent Mode) 及路由模式(Route Mode)等三種運作模式。

詳細介紹

進階持續性威脅防護

主要為偵測及封鎖網頁與電子郵件威脅媒介的攻擊和潛藏於檔案共用上的惡意軟體,可遏止進階惡意軟體、零時差攻擊和APT手法的新一代威脅與攻擊。

FireEye
Web Malware Protection System (MPS): 可阻擋傳統與新一代的防火牆、IPS、AV與Web閘道所阻擋不了的Web型攻擊。它可抵禦零時差Web入侵與多重通訊協定回呼,以維護敏感資料與系統的安全。
Email Malware Protection System (MPS): 可抵禦規避防垃圾郵件與信用評價型技術的魚叉式網路釣魚電子郵件。對於藉由零時差入侵、電子郵件與惡意URL發動的混合式先進目標性攻擊,FireEye MPS能夠防範這些攻擊的解決方案。為封鎖魚叉式網路釣魚電子郵件,Email MPS會使用能夠安全而精確地識別零時差攻擊的無特徵碼Virtual Execution (VX)引擎,對每個附件進行分析。
相關網站

上網行為管理

提供網路側錄、管理工具,詳細記錄旗下員工的上網情況,並可用來遏止員工於上班時間,利用企業之網路資源,而從事私人活動,有效提昇工作效率。

 

Bluecoat

防禦Denial of Server(DoS)攻擊。
具備阻擋pop-up廣告網頁功能。
具備可制定網路瀏覽政策功能。
支援對即時通訊軟體的控管。
支援與防毒牆設備整合,達到阻絕病毒、防止木馬等惡意程式之攻擊。
可依使用者的需要制定不同的報表格式及內容。

相關網站

Nusoft產品(新軟)

可採旁接 ( Sniffer ) 模式或橋接 ( Bridge ) 模式架設並支援Bypass功能。
記錄內容包含HTTP、SMTP、POP3、IM、Web Mail、FTP和TELNET。
郵件記錄備份功能。
使用者中毒警示功能。
使用者名單結合IP / MAC。
群組管理員。
智慧型最佳容量設定提示。
使用者和服務名稱兩種記錄分類。
無使用人數限制,永久免費更新服務。
具遠端管理功能。
簡單易用的控制介面,清晰易懂的多種記錄圖表。

詳細介紹

Paloalto

Palo Alto新世代防火牆是Layer 7等級的防火牆。
可以監測900種應用程式 有效防阻資料外洩。
以使用者及應用程式來做為控管的依據。
功能強大的視覺化及管理工具提供安全管理者廣泛的資料參照點。
政策為基礎的控制可強制適當使用應用程式。
應用程式識別與內容檢查。
強大報表與日誌記錄功能,可協助分析安全事件、應用程式使用狀況,以及通訊流樣本。
單一設備同時提供旁接模式(SPAN Mode)、透通模式(Transparent Mode) 及路由模式(Route Mode)等三種運作模式。

詳細介紹

Websense

結合了領先同業的URL過濾與眾多的安全功能。
包含網站信譽服務與廣泛的安全類別,如間諜軟體、網路釣魚、鍵盤側錄與惡意行動程式碼等。
可以管制即時通訊 (IM) 與 IM的附件,這也是資料外洩與惡意攻擊的主要來源之一。
直覺式的政策控制項目、委派的管理方式,以及彈性、整合式的回報作業有效管理。

詳細介紹

Network-DLP

對所有出入網路流量的通訊埠、通訊協定和內容類型進行全方位的掃描。防止機敏資料外洩。

涵蓋所有網路埠的全部TCP通道(包含SSL)
系統對Web及電子郵件具備管理、偵測及封鎖能力
系統對各種檔案型態(含壓縮檔)可自訂過濾條件
系統提供個人資料建立及比對功能
系統可定義警告級別及追蹤管理
系統可完整記錄事件,管理者必要時可列印報表以供查詢比對
系統可支援Syslog或SNMP等網管功能

相關網站

Data Discover
提供無代理程式的網路與資料探索功能,可以有效地找出機密資料的位置。
Data Monitor
可以監聽所有內部與外部的商業通訊、追蹤電子郵件、網路列印、FTP、HTTP、HTTPS、IM 與其他通訊,以降低資料外洩的風險並管理法規。
Data Protect
組織可以佈署如阻擋、隔離、強制加密與通知等強制動作,同時還提供一組功能優異的事件管理工具,可以避免資料外洩、改善商業程序、管理法規與風險。
Data Endpoint
提供探索、監聽與保護資料的能力,無論使用者是否連線到網路。它包含資料識別所需的文件指紋資訊與政策範本,即使使用者離線,也能避免資料從 USB 裝置、列印、IM 和複製/貼上、螢幕列印等方式外洩。

認證管理

身份辨識與IP/MAC綁定

SSL VPN

讓員工在家裡或出差在外,透過瀏覽器可輕易的建立加密的VPN通道存取公司內部網路的資源,讓遠端連線更安全。

 

Juniper

使用者能夠透過任何連線裝置、使用任何作業系統,來存取企業資源。
連線之前與連線過程中全程掃瞄終端設備,以確認其符合安全政策的規範。
可針對特定族群客製安全政策,使其僅能存取所需的重要資料。

動態密碼系統

動態密碼產生的密碼,具有不可預測、不可重複、使用一次等特性,替企業增加一道安全的防護鎖。

系統平台防護

稽核紀錄

新版個資法通過後舉證責任在企業,企業需留存有「證據能力」之紀錄作為提供無故意與無過失重要證據。

HP ArcSight Logger

廣泛的支援性,超過300+種的設備
易於管理 (No DB Administration)
同時保存原始紀錄(Raw Data),可用於電腦鑑識(Forensic)
資料的不可修改性 (Integrity Check,符合NIST 800-92)
具備身份別管理 (RBAC:Role-Based Access Control)

相關網站

RSA

完整的SIEM功能,同時提供企業資安監控(SOC)及資訊系統法規稽核應用。
不需要代理程式,可完整收集所有資訊系統及設備產生的事件。
提供標準及客製化法規/資安報表及警示。
內建超過1000+的各式國際法規及IT管理報表,無需額外費用。

相關網站

Sawmill

全中文化報表欄位與操作介面。
支援多種的日誌格式。
快速的處理分析引擎。
自動化的SHA-1校驗碼核對機制,提供日誌不可否認性的依據。

詳細介紹

弱點掃描

可隨時掃描系統(資安設備),找出系統的弱點並加以修補,減少被駭客攻擊的機率。

DVM安全弱點管理系統

支援各類型伺服器與工作站設備,進行安全弱點之稽核與掃瞄檢測。
弱點稽核系統可對遠端網段進行稽核掃瞄。
弱點稽核系統全中文介面、安全弱點稽核訊息及弱點改善之修正建議。
稽核檢測結果提供高風險 IP/Port 的防火牆阻擋建議。

相關網站

IP-guard

完整記錄各種文件操作行為,以及文件加/解密、外發等資訊,且能以多種條件查詢,方便管理人員快速找到所需資料,以進行稽核。
可自動於使用者進行文件修改、刪除、解密、外發等行為時,備份相關文件,除可作為稽核之用,亦能防止文件毀損或流失。
文件可以部門為單位,進行安全區隔,可設定不同部門無法使用彼此的文件。
可進行分級保密,根據使用者職務級別或其他條件,設定文件讀取權限。

詳細介紹

Smart IT

硬體資產管理-硬體資產清單、租賃資產清單、逾期稽核清單。
軟體資產管理-軟體資產清單、軟體授權、軟體變更資訊、軟體黑名單、軟體反安裝。
資產生命週期-資產授權清單、週邊設備清單、待確認設備清單、線上用戶清單、輸出資產編號、輸出資產條碼。
資訊安全管理-外接式儲存管理、檔案抄寫管理、軟體禁用管理、網頁禁用管理、螢幕側錄管理、印表機稽核說明。
報表中心管理-列印報表、匯出報表。
遠端維護管理-硬體資產、網路截斷、遠端設定、遠端開關機、檔案傳輸。
系統警示通知-變更警示、可用性警示、安全警示、服務警示。

相關網站

X-ITasset

針對電腦硬體資產,自動蒐集資產內容,產生盤點記錄與報。
針對問題電腦之報修,提供線上叫修、電腦效能、遠端遙控等多項功能搭配運用。
針對員工任意更動軟硬體的行為,進行電腦軟硬體異動記錄。
版權管理方式進行人工或自動配置授權,隨時掌握非法軟體之現況,並配合軟體控管政策。
自動側錄每台電腦之軟體操作、檔案操作與網頁瀏覽過程。
可執行裝置控管與列印控管政。

相關網站

防毒軟體

提供電腦系統第一道的防護。

Kaspersky

滿足企業端點防毒與閘道安全防護的需求。
可一次快速移除其他防毒軟體,自動派送安裝卡巴斯基防毒軟體。
提供辦公室及行動商務應用的行動安全性。
可防禦駭客網路攻擊及網路詐騙等犯罪行為。
Kaspersky KOSS可整合K-SOC防毒資安預警系統,提供直覺化、圖形化的防毒監控、法規遵循報表與病毒事件即時告警,提升防毒管理效能,降低企業因中毒所引起的損失及人力成本。

相關網站

McAfee 對PC與伺服器來說,MMcAfee VirusScan是創新的技術。它能主動阻止與移除惡意軟體,延伸防護的範圍到新的安全威脅上,並減少管理病毒爆發回應所需的支出。藉由結合先進的防毒、防火牆與入侵防禦等技術,VirusScan可以處理絕大多數的威脅。採用進階啟發式及泛型偵測,使其能夠找到甚至是全新、未知的病毒,即使其隱藏在壓縮檔裡。McAfee VirusScan會尋找以Microsoft 應用程式與服務為目標的弱點,也能辨識並阻斷利用JavaScript與Visual Basic程式碼的威脅。由於使用最新的病毒碼才會增進病毒保護的效果,VirusScan資料庫每天都會使用McAfee Avert Labs的資訊予以更新,這是全球最頂級的威脅研究中心。 相關網站
NOD 32 病毒、黑客軟體、廣告插件和間諜軟件的防護程序會拖慢您的電腦,並難於進行管理,必將帶來安全問題。ESET NOD32則設計了一個高效的內核,作為一個單獨的、高度優化的引擎,提供統一的安全保護,防止不斷的更新病毒、蠕蟲、間諜程序的惡意攻擊。ESET NOD32擁有先進的ThreatSense R技術,可通過對惡意代碼進行分析,實時偵測未知的病毒,讓您時刻走在病毒編寫者的前面。 相關網站

系統備份

作業系統定期的備份可減少重新安裝的時間浪費。

Acronis Acronis為全球儲存管理與災難復原軟體領導廠商,其技術先進和具延展性的軟體能協助企業保護資訊,確保資訊架構的可用、安全與完整,並具備還原能力。Acronis專利的磁碟映像與管理技術,在資料保護、備份還原、系統部署,及實體、虛擬伺服器的移轉,表現卓越履履榮獲業界各項大獎。旗艦級產品Acronis True Image,為Windows及Linux平台領先的商用磁碟映像(disk-imaging)和裸機還原(bare-metal)解決方案,同時也是優良的自動化系統移轉工具。 相關網站
BESR

可以透過排程或事件導向等備份方式自動備份系統。
使用Restore Anyware技術還原至不同硬體。
能夠將異地備份複本備份至FTP位置或次要磁碟上以強化災難復原能力。
可針對VMware、Microsoft及Citrix虛擬環境,完美執行實體到虛擬(P2V)及虛擬到實體(V2P)的轉換。
Double-take

可自動化或手動即時監控容錯針對整機、應用程式、檔案進行遠端或本地端容錯。
提供企業達成資料備份不中斷功能。
提供主機多樣備份選擇(One-to-one,one-to-many,many-to-one)。
可與虛擬環境(VMware/Hyper-V)整合。
實現企業主機系統異地備援需求。

相關網站

ShadowProtect

搬遷:StorageCraft擁有數種技術來減輕實體和虛擬主機間互相搬遷的痛苦,包括作業系統、資料、資料庫、設定等。ExactState技術在實體伺服器上可以快速簡單而準確地異機還原或以HeadStart Restore來對虛擬主機做搬遷。
保護:資料、資料庫(如Exchange、SQL、Oracle、SharePoint等)和作業系統,不須任何選項或模組即可以每隔15分鐘的快照來保護您的資料,降低資料流失及機器損毀或中毒的停機時間。
恢復:資料可以在幾秒內以任何15分鐘的時間點即時回復所有資料,立刻回存檔案文件匣或甚至整個磁碟。
測試:您將有能力以VirtualBoot技術在幾分鐘內回復您的資料、資料庫和作業系統,而且備份的測試可隨時進行。

相關網站

硬碟資料救援 凌威科技有限公司成立於1989年,是一家在亞洲及台灣最早成立的專業硬碟資料救援( Hard Disk Data Recovery )科技公司。
凌威科技始終以『硬碟醫院』為經營理念,擁有一群經驗豐富的技術團隊。作為一名『醫生』,所有工程師皆以執行外科手術般的嚴謹態度及精準技術,一視同仁救援每位客戶的硬碟資料,以期不辜負客戶的信任並為客戶解決問題。 相關網站

維運管理

可以協助企業監督廠商或IT人員操作系統與設備時的狀況。

應用系統防護

稽核紀錄

新版個資法通過後舉證責任在企業,企業需留存有「證據能力」之紀錄作為提供無故意與無過失重要證據。

HP ArcSight Logger

廣泛的支援性,超過300+種的設備
易於管理 (No DB Administration)
同時保存原始紀錄(Raw Data),可用於電腦鑑識(Forensic)
資料的不可修改性 (Integrity Check,符合NIST 800-92)
具備身份別管理 (RBAC:Role-Based Access Control)

相關網站

RSA

完整的SIEM功能,同時提供企業資安監控(SOC)及資訊系統法規稽核應用。
不需要代理程式,可完整收集所有資訊系統及設備產生的事件。
提供標準及客製化法規/資安報表及警示。
內建超過1000+的各式國際法規及IT管理報表,無需額外費用。

相關網站

Sawmill

全中文化報表欄位與操作介面。
支援多種的日誌格式。
快速的處理分析引擎。
自動化的SHA-1校驗碼核對機制,提供日誌不可否認性的依據。

詳細介紹

原碼檢測

在程式開發的階段,透過源碼檢測工具找出潛在的風險,降低被駭客攻擊機會。

CodeSecure

程式原始碼(源碼)檢測工具,能及早在 Web軟體開發初期階段,透過自動靜態分析(ASA)來驗證程式源碼的安全性。
內建源碼編譯器,讓程式開發者無需費時於開發環境 (IDE)之整合,避免逐機軟體安裝,透過 Web2.0介面 「隨寫即掃、馬上安全」,讓有心人士「無洞可駭」。

相關網站

弱點掃描

可隨時掃描系統(資安設備),找出系統的弱點並加以修補,減少被駭客攻擊的機率。

DVM安全弱點管理系統

支援各類型伺服器與工作站設備,進行安全弱點之稽核與掃瞄檢測。
弱點稽核系統可對遠端網段進行稽核掃瞄。
弱點稽核系統全中文介面、安全弱點稽核訊息及弱點改善之修正建議。
稽核檢測結果提供高風險 IP/Port 的防火牆阻擋建議。

相關網站

IP-guard

完整記錄各種文件操作行為,以及文件加/解密、外發等資訊,且能以多種條件查詢,方便管理人員快速找到所需資料,以進行稽核。
可自動於使用者進行文件修改、刪除、解密、外發等行為時,備份相關文件,除可作為稽核之用,亦能防止文件毀損或流失。
文件可以部門為單位,進行安全區隔,可設定不同部門無法使用彼此的文件。
可進行分級保密,根據使用者職務級別或其他條件,設定文件讀取權限。

詳細介紹

Smart IT

硬體資產管理-硬體資產清單、租賃資產清單、逾期稽核清單。
軟體資產管理-軟體資產清單、軟體授權、軟體變更資訊、軟體黑名單、軟體反安裝。
資產生命週期-資產授權清單、週邊設備清單、待確認設備清單、線上用戶清單、輸出資產編號、輸出資產條碼。
資訊安全管理-外接式儲存管理、檔案抄寫管理、軟體禁用管理、網頁禁用管理、螢幕側錄管理、印表機稽核說明。
報表中心管理-列印報表、匯出報表。
遠端維護管理-硬體資產、網路截斷、遠端設定、遠端開關機、檔案傳輸。
系統警示通知-變更警示、可用性警示、安全警示、服務警示。

相關網站

X-ITasset

針對電腦硬體資產,自動蒐集資產內容,產生盤點記錄與報。
針對問題電腦之報修,提供線上叫修、電腦效能、遠端遙控等多項功能搭配運用。
針對員工任意更動軟硬體的行為,進行電腦軟硬體異動記錄。
版權管理方式進行人工或自動配置授權,隨時掌握非法軟體之現況,並配合軟體控管政策。
自動側錄每台電腦之軟體操作、檔案操作與網頁瀏覽過程。
可執行裝置控管與列印控管政。

相關網站

文件/資料庫防護

稽核紀錄

新版個資法通過後舉證責任在企業,企業需留存有「證據能力」之紀錄作為提供無故意與無過失重要證據。

HP ArcSight Logger

廣泛的支援性,超過300+種的設備
易於管理 (No DB Administration)
同時保存原始紀錄(Raw Data),可用於電腦鑑識(Forensic)
資料的不可修改性 (Integrity Check,符合NIST 800-92)
具備身份別管理 (RBAC:Role-Based Access Control)

相關網站

RSA

完整的SIEM功能,同時提供企業資安監控(SOC)及資訊系統法規稽核應用。
不需要代理程式,可完整收集所有資訊系統及設備產生的事件。
提供標準及客製化法規/資安報表及警示。
內建超過1000+的各式國際法規及IT管理報表,無需額外費用。

相關網站

Sawmill

全中文化報表欄位與操作介面。
支援多種的日誌格式。
快速的處理分析引擎。
自動化的SHA-1校驗碼核對機制,提供日誌不可否認性的依據。

詳細介紹

個資盤點

透過軟體盤點企業與機關個人資料,除了降低由人工盤點的不確定性外,並提供詳細的報表資訊讓相關部門了解個資分散的情況

資料備份

作業系統定期的備份可減少重新安裝的時間浪費。

Acronis Acronis為全球儲存管理與災難復原軟體領導廠商,其技術先進和具延展性的軟體能協助企業保護資訊,確保資訊架構的可用、安全與完整,並具備還原能力。Acronis專利的磁碟映像與管理技術,在資料保護、備份還原、系統部署,及實體、虛擬伺服器的移轉,表現卓越履履榮獲業界各項大獎。旗艦級產品Acronis True Image,為Windows及Linux平台領先的商用磁碟映像(disk-imaging)和裸機還原(bare-metal)解決方案,同時也是優良的自動化系統移轉工具。 相關網站
BESR

可以透過排程或事件導向等備份方式自動備份系統。
使用Restore Anyware技術還原至不同硬體。
能夠將異地備份複本備份至FTP位置或次要磁碟上以強化災難復原能力。
可針對VMware、Microsoft及Citrix虛擬環境,完美執行實體到虛擬(P2V)及虛擬到實體(V2P)的轉換。
Double-take

可自動化或手動即時監控容錯針對整機、應用程式、檔案進行遠端或本地端容錯。
提供企業達成資料備份不中斷功能。
提供主機多樣備份選擇(One-to-one,one-to-many,many-to-one)。
可與虛擬環境(VMware/Hyper-V)整合。
實現企業主機系統異地備援需求。

相關網站

ShadowProtect

搬遷:StorageCraft擁有數種技術來減輕實體和虛擬主機間互相搬遷的痛苦,包括作業系統、資料、資料庫、設定等。ExactState技術在實體伺服器上可以快速簡單而準確地異機還原或以HeadStart Restore來對虛擬主機做搬遷。
保護:資料、資料庫(如Exchange、SQL、Oracle、SharePoint等)和作業系統,不須任何選項或模組即可以每隔15分鐘的快照來保護您的資料,降低資料流失及機器損毀或中毒的停機時間。
恢復:資料可以在幾秒內以任何15分鐘的時間點即時回復所有資料,立刻回存檔案文件匣或甚至整個磁碟。
測試:您將有能力以VirtualBoot技術在幾分鐘內回復您的資料、資料庫和作業系統,而且備份的測試可隨時進行。

相關網站

硬碟資料救援 凌威科技有限公司成立於1989年,是一家在亞洲及台灣最早成立的專業硬碟資料救援( Hard Disk Data Recovery )科技公司。
凌威科技始終以『硬碟醫院』為經營理念,擁有一群經驗豐富的技術團隊。作為一名『醫生』,所有工程師皆以執行外科手術般的嚴謹態度及精準技術,一視同仁救援每位客戶的硬碟資料,以期不辜負客戶的信任並為客戶解決問題。 相關網站

Email備份/稽核

除了電子郵件的備份外還可針對重點使用者來設定郵件稽核條件(主旨、內文、收件人)等,減少透過郵件外洩重要資料的機會。

Cellopoint

安全防禦-有效阻擋日益增多的垃圾郵件、病毒、釣魚郵件、間諜程式、郵件炸彈、跳板發送等威脅。
內容稽核-輕鬆達成企業法規遵循管理的目標,使企業組織能夠遵從HIPAA、GLB、SOX等法規要求。
備份檢索-壓縮郵件及索引功能,提升管理效益,幫助企業管理法規遵循的風險。
加密傳輸-提供集中化管理、符合世界安全標準的郵件加密方式,保障郵件傳輸的安全性。

詳細介紹

Softnext

郵件稽核過濾,角色分權管理。
遠端歷史郵件調閱。
MySPAM個人化服務 落實個人自主管理 安全分級管理有效率。
互動式垃圾郵件回報功能。

詳細介紹

Openfind

Mail2000-單主機多網域管理,完整管控郵件收發權限與流向。
MailBase-機敏資料定期追蹤探勘,警示企業洩密事件與個資風險。
MailGates-智慧偵測合法連線,連線階段即可阻擋 90% 的惡意攻擊。

詳細介紹

資料庫防火牆

iMPERVA

防止資料庫攻擊和欺騙性活動。
透過虛擬修補程式透通地保護資料庫。
利用簡易圖形和稽核分析來進一步調查事件。
將資料庫保護自動化與集中化。
完成資料安全及遵循法規的生命週期。

詳細介紹

文件加密

透過底層加密技術如同將企業內重要的文件上鎖,無權限者開啟文件時則會呈現亂碼將無法正常讀取,大幅解決機敏資料外洩問題。

EFM

可對任意檔案進行即時加解密。
採用更安全非對稱式EIDS加解密機制,提供更安全的公鑰 1024bit,私鑰256bit 演算方式。
具身份認證、列印控制、程式控制、外發控制、檔案自動加密等多種技術。

相關網站

以柔

線上閱讀保護:防止不當的文件列印、剪貼、螢幕拷貝、另存新檔,並提供浮水印保護。
精確的版本管控─系統提供正確版本,降低錯版重工的浪費與衍生的損失。
完整的權限控管與內容保護─只將對的文件給對的人執行對的操作,避免不必要的企業智慧資產外流。
行為的稽核與追蹤─單一存取平台紀錄所有操作行為,利於安全稽核與知識利用率的追蹤。
簽核建議紀錄:線上完整呈現所有簽核者的意見。

相關網站

精品X-DoRM

隨選即用,全程保護-透明加解密技術,不需改變使用者操作習慣,便可即時進行讀寫加解密,使用簡易,並有效保護文件。
多樣檔案,同時保護-包括:Office、PDF、AutoCAD、Pro/E等,滿足同公司、不同部門的工作使用需求,同時降低IT成本。
分層管理,確實控管-支援Windows AD帳號管理,提供完善的分層管理機制,由主管或依文件的重要性,決定文件的分類,可避免資料歸類錯誤,同時使組織內各單位,確實控管所屬資料。
目錄加密,輕鬆簡易-將資料夾設定為加密目錄,配合權限範本,將檔案拖曳至資料夾中,即可按照資料夾的權限設定進行加密。
使用過程,完整記錄-可針對列管文件,詳細記錄其使用過程,便於日後稽核及追蹤之憑據

相關網站

全景文件影像管理系統(DIMS)
OA自動化的文件輸入:除傳統批次處理外,DIMS組合了網路掃描器及印表機,成為新一代的OA文件事務機:DIA (Digital Imaging Appliance),輕鬆地以影印歸檔Copy Filing功能將文件入庫。
自動化文字表格辨識索引:可利用條碼辨識(Barcode)、文字辨識(OCR)、表單辨識 建置自動化索引建庫機制,大量快速的自動分類並建置內容索引。以分類檢索、關鍵字檢索、全文檢索展現資料庫查詢的強大效益。
文件影像壓縮保存:利用多形態分解式文件壓縮技術,分析文件並自動判別出最佳保存格式。綜合利用JBIG等所有壓縮技術,將彩色文件壓縮一百倍以上。除增加儲存的效率外,並減少網路傳輸的時間。
文件影像防偽辨識功能:最新影像watermark技術,提供自動的隱藏式影像防偽浮水印。文件一經入庫便確保文件的正確性,無法變造。更可植入更多擴充性浮水印,進行洩密追蹤及版權保護工作。
系統管理及整合功能:將持續提供最新標準影像檔案格式(Adobe PDF, FDF)。並採用標準ODBC及ADO資料庫存取標準,提供Microsoft EIP (SharePoint)等料庫整合能力。

文件管理

集中管理檔案,透過設定來管理使用者對文件的存取權限,並且具有完整的存取記錄。

EFM

可對任意檔案進行即時加解密。
採用更安全非對稱式EIDS加解密機制,提供更安全的公鑰 1024bit,私鑰256bit 演算方式。
具身份認證、列印控制、程式控制、外發控制、檔案自動加密等多種技術。

相關網站

以柔

線上閱讀保護:防止不當的文件列印、剪貼、螢幕拷貝、另存新檔,並提供浮水印保護。
精確的版本管控─系統提供正確版本,降低錯版重工的浪費與衍生的損失。
完整的權限控管與內容保護─只將對的文件給對的人執行對的操作,避免不必要的企業智慧資產外流。
行為的稽核與追蹤─單一存取平台紀錄所有操作行為,利於安全稽核與知識利用率的追蹤。
簽核建議紀錄:線上完整呈現所有簽核者的意見。

相關網站

精品X-DoRM

隨選即用,全程保護-透明加解密技術,不需改變使用者操作習慣,便可即時進行讀寫加解密,使用簡易,並有效保護文件。
多樣檔案,同時保護-包括:Office、PDF、AutoCAD、Pro/E等,滿足同公司、不同部門的工作使用需求,同時降低IT成本。
分層管理,確實控管-支援Windows AD帳號管理,提供完善的分層管理機制,由主管或依文件的重要性,決定文件的分類,可避免資料歸類錯誤,同時使組織內各單位,確實控管所屬資料。
目錄加密,輕鬆簡易-將資料夾設定為加密目錄,配合權限範本,將檔案拖曳至資料夾中,即可按照資料夾的權限設定進行加密。
使用過程,完整記錄-可針對列管文件,詳細記錄其使用過程,便於日後稽核及追蹤之憑據

相關網站

全景文件影像管理系統(DIMS)
OA自動化的文件輸入:除傳統批次處理外,DIMS組合了網路掃描器及印表機,成為新一代的OA文件事務機:DIA (Digital Imaging Appliance),輕鬆地以影印歸檔Copy Filing功能將文件入庫。
自動化文字表格辨識索引:可利用條碼辨識(Barcode)、文字辨識(OCR)、表單辨識 建置自動化索引建庫機制,大量快速的自動分類並建置內容索引。以分類檢索、關鍵字檢索、全文檢索展現資料庫查詢的強大效益。
文件影像壓縮保存:利用多形態分解式文件壓縮技術,分析文件並自動判別出最佳保存格式。綜合利用JBIG等所有壓縮技術,將彩色文件壓縮一百倍以上。除增加儲存的效率外,並減少網路傳輸的時間。
文件影像防偽辨識功能:最新影像watermark技術,提供自動的隱藏式影像防偽浮水印。文件一經入庫便確保文件的正確性,無法變造。更可植入更多擴充性浮水印,進行洩密追蹤及版權保護工作。
系統管理及整合功能:將持續提供最新標準影像檔案格式(Adobe PDF, FDF)。並採用標準ODBC及ADO資料庫存取標準,提供Microsoft EIP (SharePoint)等料庫整合能力。
相關網站

端點安全防護

端點控管

可設定使用者PC端的USB類型控管與提供印表機使用管理、燒錄器使用權限等,有效防堵重要資料被攜出。

DVM安全弱點管理系統

支援各類型伺服器與工作站設備,進行安全弱點之稽核與掃瞄檢測。
弱點稽核系統可對遠端網段進行稽核掃瞄。
弱點稽核系統全中文介面、安全弱點稽核訊息及弱點改善之修正建議。
稽核檢測結果提供高風險 IP/Port 的防火牆阻擋建議。

相關網站

IP-guard

完整記錄各種文件操作行為,以及文件加/解密、外發等資訊,且能以多種條件查詢,方便管理人員快速找到所需資料,以進行稽核。
可自動於使用者進行文件修改、刪除、解密、外發等行為時,備份相關文件,除可作為稽核之用,亦能防止文件毀損或流失。
文件可以部門為單位,進行安全區隔,可設定不同部門無法使用彼此的文件。
可進行分級保密,根據使用者職務級別或其他條件,設定文件讀取權限。

詳細介紹

Smart IT

硬體資產管理-硬體資產清單、租賃資產清單、逾期稽核清單。
軟體資產管理-軟體資產清單、軟體授權、軟體變更資訊、軟體黑名單、軟體反安裝。
資產生命週期-資產授權清單、週邊設備清單、待確認設備清單、線上用戶清單、輸出資產編號、輸出資產條碼。
資訊安全管理-外接式儲存管理、檔案抄寫管理、軟體禁用管理、網頁禁用管理、螢幕側錄管理、印表機稽核說明。
報表中心管理-列印報表、匯出報表。
遠端維護管理-硬體資產、網路截斷、遠端設定、遠端開關機、檔案傳輸。
系統警示通知-變更警示、可用性警示、安全警示、服務警示。

相關網站

X-ITasset

針對電腦硬體資產,自動蒐集資產內容,產生盤點記錄與報。
針對問題電腦之報修,提供線上叫修、電腦效能、遠端遙控等多項功能搭配運用。
針對員工任意更動軟硬體的行為,進行電腦軟硬體異動記錄。
版權管理方式進行人工或自動配置授權,隨時掌握非法軟體之現況,並配合軟體控管政策。
自動側錄每台電腦之軟體操作、檔案操作與網頁瀏覽過程。
可執行裝置控管與列印控管政。

相關網站

Host-DLP

透過在電腦中安裝Agent程式,將事前所制定的政策套用後即可進行資料內容比對、周邊裝置控管等防護措施。

桌面虛擬化

桌面虛擬化的好處除了能讓員工擺脫辦公室座位的束縛外還有以下優點:1.管理集中、減少維修負擔2.資料安全控管、統一儲存備份3.員工使用彈性、提升效率等。

VMWare

VMware vSphere是業界第一套雲端作業系統,運用強大的虛擬化功能將資料中心轉換成大幅簡化的雲端運算基礎架構,讓IT組織能以安全、低風險的方式使用內部和外部資源,提供新世代彈性且可靠的IT服務。
基礎架構服務:虛擬化並彙總硬體資源(VMware vCompute、VMware vStorage、VMware vNetwork)。
應用程式服務:應用程式的內建服務層級控制(例如可用性、安全性和延展性)。
確保應用程式移動順暢性以及雲端之間的選擇性。

相關網站

行動裝置管理

桌面虛擬化的好處除了能讓員工擺脫辦公室座位的束縛外還有以下優點:1.管理集中、減少維修負擔2.資料安全控管、統一儲存備份3.員工使用彈性、提升效率等。

VMWare

VMware vSphere是業界第一套雲端作業系統,運用強大的虛擬化功能將資料中心轉換成大幅簡化的雲端運算基礎架構,讓IT組織能以安全、低風險的方式使用內部和外部資源,提供新世代彈性且可靠的IT服務。
基礎架構服務:虛擬化並彙總硬體資源(VMware vCompute、VMware vStorage、VMware vNetwork)。
應用程式服務:應用程式的內建服務層級控制(例如可用性、安全性和延展性)。
確保應用程式移動順暢性以及雲端之間的選擇性。

相關網站

一、個資事件

案例 新聞來源
Visa、萬事達卡遭駭 台灣百張信用卡遭殃、已通知換卡 NOWnews

二、行政裁決

案例 新聞來源
猜猜個人資料怎麼用?第一起保經遭罰案例 資安人

三、法院判例

案例 新聞來源