相關資訊

個資法相關報導

個資外洩案例

產品相關報導

  • 個資法明上路 外洩最高賠 2 億

    2012-09-30 創紀錄 三讀後逾兩年才施行
〔記者項程鎮/台北報導〕「個人資料保護法」明天(十月一日)施行,未來個資外洩,最高可求償兩億元、刑度最重可處五年有期徒刑;至於有爭議的「特種個人資料」條款和「一年告知」條款共兩條文,則暫緩施行,將等立院修法通過後再實施。 「個資法」共五十六條條文,立法院九十九年四月二十七日三讀通過,明天將施行其中的五十四條條文,另兩條「特種個人資料」條款和「一年告知」條款暫緩施行。個資法也創下多項紀錄,包括「法案三讀通過後,逾兩年後才施行」,以及「部分條文未施行就準備修法」。 基於公益人肉搜索 不會違法
個資法明天施行後,未來民眾從網路等管道蒐尋資料,並無觸法之虞,例如找出虐貓者等基於公益的「人肉搜索」也不違法;個人部落格及臉書等,原則上可張貼一般日常生活或公共活動的合照或影音資料,只要內容不結合其他個人資料就不會觸法。 但違法蒐集、處理、利用或變造個資,造成他人損害,或者意圖營利,都可處以刑責及罰金,最重為五年徒刑;若難以證明實際損害金額,民眾也可向法院申請求償,每人每一事件五百元至兩萬元,但同一事件總額以兩億元為限;主管機關或所屬縣市政府除可依規定限期改正,也可視情節處以罰鍰。 違法外洩個資 最重處5年刑
在媒體免責條款部分,媒體基於公益目的報導新聞,原則上不必告知當事人個人資料來源;媒體在公開場合、公共活動的新聞報導跟拍,原則上也都合法。 銀行、保險、電信等民間企業擾人的電話行銷也將有法可管。企業利用個資行銷時,須經當事人書面同意,一經拒絕須立即停止行銷,否則將受罰。業者首次行銷時,須支付民眾拒絕行銷的所需費用(如提供免費回郵信封或免費服務電話)。
另外,若購物台、大賣場、網路業者不慎洩漏個資,民眾可以委託公益社團提請團體訴訟、集體求償;若有民眾自認明明沒提供業者個資,卻收到廣告DM,有權要求業者說明,如發現業者違法蒐集可以求償。 特種個資、一年告知 緩施行
全部條文中,引發高度爭議的是第六條「特種個人資料」條款、及第五十四條「一年告知」條款。
其中第六條「特種個人資料」,原條文規定醫療、基因、性生活、健康檢查、犯罪前科等敏感個資,因性質較為特殊,如不謹慎處理恐引發社會不安,或對當事人造成難以彌補傷害,因此原則上不得蒐集、處理或利用。 但法務部徵詢各界意見後,認為不夠周延,發現可處理利用的範圍太狹隘,像學校、計程車行等詢問教師或應徵者有無重大前科,或學校為特殊疾病學生妥適安排活動等,蒐集學生病歷等個資,都可能觸法,因此予以修正,增列「病歷」及規定「為維護公共利益所必要」、或「經當事人書面同意」可蒐集個資。 至於同樣有爭議的第五十四條,原規定本法施行前,間接蒐集個人資料應在一年內完成告知,但銀行、保險等金融業反映,他們動輒需處理數百萬筆個資,原條文規定一年完成告知的期限太短、成本過高,政院也認為過於嚴格,貿然實施對社會衝擊太大,因此刪除一年期限,修正為「處理或利用這些資料前,向當事人告知即可」。 原文網址 : 個資法明上路 外洩最高賠 2 億
自由時報 http://news.ltn.com.tw/news/focus/paper/619045
  • " 2014 亞太資諳論壇展後報導" 個資法退燒 資料保護著重內稽內控

    作者:編輯部 -04/11/2014 企業資安策略往往與法規遵循息息相關,台灣最明顯的例子就是個資法,2012年10月正式上路後,不少企業思考因應之道,市場上相關解決方案蔚為熱門,2013年資安展超過3分之1的議程都是以個資法為主題。 然而一年多的時間過去,媒體先後揭露好幾起個人資料外洩事件,卻不見主管機關大規模調查或開罰,也沒有民眾發起團體訴訟,個資法所帶來的影響似乎沒有想像中那麼大,企業關注度也跟著降低,這一點由2014年資安展以個資法為主軸的議題不到10場便可證明。 在個資法光環消退後,如今企業在談資料保護,不再以防止資料外洩解決方案為主,反而強調內稽內控的重要性,趨動市場轉變有兩股力道,一個是來自主管機關或主要客戶的稽核要求,另一個則是營業秘密法修正上路後的市場需求。對擁有Know-How的企業而言,透過稽核及監控作業可以保護自身的智慧財產權,避免員工竊取公司營業秘密,即便不能防堵機密資料外洩,也能在事後的法律追訴行動中取得優勢。 電子郵件稽核需求大 日誌管理(Log management, LM)是內部稽核不可或缺的工具之一,中華數位A Log產品經理張莉屏表示,從個人資料保護法與營業秘密法的角度來看,對於存放個人/機密資料檔案或資料庫,應有適當的存取控制與保護監控措施,例如對檔案伺服器(File Server)、NAS、DB Server進行存取記錄管控,因此A Log在2014年增加對Windows Server、NetAPP與EMC儲存伺服器的支援,滿足企業對檔案存取的稽核需求。 除了對檔案或資料庫進行存取稽核外,電子郵件稽核也相當重要,綠色運算副總經理陳兆寧認為,電子郵件稽核的好處是:1.交易信件是否遭入侵或擷取;2.有沒有黑函散播、異常通訊行為、資料外洩…等狀況;3.確認各部異常郵件的流量與動向。 然而,企業往來的電子郵件數量極為龐大,如何在巨量郵件中找出異常,考驗著各家產品的搜尋技術。陳兆寧指出,傳統使用電子郵件歸檔(Archiving)系統進行稽核的作法,只能利用關鍵字搜尋的方式檢索郵件,達不到分析或探勘的目的,甚至很多稽核規則也不能套用,如:搜尋收件者同時有客戶和供應商的郵件,導致很多異常郵件會找不到,因此綠色運算發展出巨量資料比對技術MPM,將非結構化資料也納入分析,強化搜尋精確度。 原文網址 : < 2014 亞太資安論壇展後報導 > 個資法退燒 資料保護著重內稽內控
資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7813#ixzz39iAIJf5j
  • 全台企業僅 3% 重視資料銷毀工作

    作者:張維君 -11/14/2012 個資法已正式上路,企業對於個人資料的蒐集、處理、利用等個資生命周期各階段必須做到更完善的管理。然而,許多單位卻忽略了資料生命週期的最後階段──資料銷毀的重要性。根據消磁服務廠商潘朵拉科技的預估,全台3千家中大型企業及政府機關中,僅有約3%開始重視資料銷毀工作。 資料銷毀是法規驅動的市場,沒有法規,不會有人重視。過去許多政府機關均通過資訊安全管理系統的驗證,在ISO 27001當中A.10.7.2雖然也提到媒體的報廢與汰除必須依照安全程序來處理,只是這些程序並沒有一套客觀的標準與做法,各機關當然可能自行決定採行低階格式化或實體破壞等方式來處理。然而現今個資法已正式實施,各機關需要思考資料銷毀工作的有效性,存在於報廢硬碟的敏感個資是否可能被以還原軟體等方式重新取得,整個作業流程需重新審視。除此之外,企業現今資料銷毀工作遇到的困難還有幾個因素如下: 規畫資料銷毀工作的4個提醒 提醒一、管理職責難劃分有賴高階重視
管理職責劃分的問題在大型金融機構尤其明顯。潘朵拉科技業務經理黃啟宏指出,資料銷毀是資訊部門還是管理(總務)部門的責任?許多企業最後在相互推拖之下,資料銷毀成了三不管地帶。這時有賴更高層級的管理者重視資料銷毀問題,才會做出職責劃分。 提醒二、風險應控制在外點
對於分支機構多的大型組織而言,就算了解資料銷毀的重要性,但仍然不知道該如何規劃儲存媒體銷毀作業。曾經有某大型機關為了節省成本,將所有各分公司的報廢硬碟、儲存媒體集中回總公司處理,這樣雖然可省下消磁設備的投資,只要在總公司佈署即可。但卻忽略了這些報廢媒體在運送過程中可能新增了遺失或其他人為疏失的風險。黃啟宏建議,風險應控制在外點。針對有多點分支機構的組織,企業可選擇經過認證的消磁服務廠商,以委外服務方式處理分支機構的報廢儲存媒體。 提醒三、資料中心的儲存媒體只進不出
外點可交由委外服務,而位於總部的資料中心則須把握儲存媒體只進不出的原則。也就是讓報廢的儲存媒體就地在資料中心進行消磁處理,而不需要有運送的風險。此外,值得一提的是,許多企業只注意到資料中心的銷毀問題,卻忽略在備援資料中心也會有一樣的問題。 提醒四、符合稽核規範的SOP
在規劃儲存媒體銷毀作業時,必需注意到整體銷毀的作業流程必須要符合稽核規範才能算是真正符合法規。銷毀作業不是單靠一台消磁機就算處理完畢,而是需搭配其他作業,包括分支機構委外處理時,服務廠商會將所有銷毀流程全程錄影,同時經手的每一個報廢硬碟也都必須在表單上清楚記錄序號,這部分也可以靠系統來自動化完成,減少人為介入的疏失。 唯有銷毀作業的整體環節都必須考慮在內,才算是讓整個個資生命周期的管理都符合法規。 原文網址: 全台企業僅3%重視資料銷毀工作
資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7165#ixzz39iB8jgbP
  • 中國信託網路繳費中心個資外洩案,金管會開罰 400 萬元

    文/蘇文彬 | 2013-08-28 發表 中國信託網站繳費中心今年 5 月爆發用戶個資外洩案,金管會調查後確定其內部程式設計、驗證,及內控程序上有缺失,導致大量用戶資料外露,因此裁罰 400 萬元。 今年五月間 ptt 上有網友反映中國信託網站的繳費中心可以查詢大筆的用戶連絡資料、甚至信用卡號,透過 Google 搜尋也能找到這些相關資料。可查詢到的資料包含繳費用戶的姓名、電話號碼、手機號碼、身分證號碼、信用卡卡號、人壽保險號碼、交通違規罰款編號、車主身分證字號、出生年月日等等。中信接獲用戶反映後即關閉網站功能,著手調查發生原因。 中國信託向金管會報告調查結果後,金管會認定中國信託內部業務疏失,網站索引檔案產出程式設計不夠嚴謹,驗證及程序缺乏周延,內部目錄網頁讀取權限未作嚴謹控管,導致網路上可搜尋瀏覽用戶資料,事後業者也未察覺疏失,顯示內部控管制度上的漏洞,依違反銀行法第 45 條之 1 第 1 項與第 129 條第 7 款規定裁罰 400 萬元。 金管會說明,中信是在 4 月 13 日將索引檔案上傳到搜尋引擎,而網友則是在 5 月 13 日發現中信用戶資料外洩,中間近1個月時間中國信託未曾發現用戶資料對外「公開」,顯示業者確實在內控上不夠嚴謹。 經中信清查統計,這次事件共有 33320 用戶,共計 57297 筆資料受到影響,這段期間用戶資訊曝露在外,是否被有心人士取得利用,使用戶人身、財產產生潛在風險不得而知。 雖然新版個資法已經實施,但考量到銀行法裁罰較重,金管會仍依銀行法開罰,同時要求業者依此事件加強內部管理、驗證制度。 原文網址 : 中國信託網路繳費中心個資外洩案,金管會開罰 400 萬元
iThome http://www.ithome.com.tw/node/82321
  • 委外惹的禍!! 台灣 Nokia 外洩 150 萬筆個資

    新版個資法上路不久,國內對於個資外洩事件特別敏感,日前,台灣 Nokia 爆發個資外洩事件,數量超過百萬筆,引起市場高度關注,甚至揣測是否會成為第一起個資訴訟案件。

     

    台灣 Nokia 在 2/22 對外證實,旗下 5 個委外給安捷達 (Agenda) 顧問公司負責的行銷網站,因為遭駭客入侵導致資料被竊取,駭客更公布了其中 17 萬筆個資,而總外洩的個資筆數可能高達 150 萬筆。

     

    這 150 萬筆個資主要是 Nokia 之前舉辦行銷活動所留下的參與者資料,包含姓名、E-mail、電話號碼,以及其他活動相關的資料需求,其中,有部份資料含有密碼或是較機密的資訊,筆數不超過 7,000 筆,Nokia 也已經透過電子郵件或簡訊通知這些個資當事人。

     

    Nokia 表示,外洩的資料不包括銀行帳號、信用卡卡號、醫療相關資訊、或是身分證號碼等機密性資料,而且多數資料都有 1 年以上的歷史,有的甚至是 7 年前的舊資料,對用戶的影響應該不大,但 Nokia 依舊提醒用戶或是有參與過 Nokia 活動的使用者,近期需特別留意惡意郵件或簡訊。

     

    目前 Nokia 已經協同 Agenda 和其母公司 WPP (Wire & Plastic Products Group) 集團展開調查,也修復好伺服器上的漏洞,不過為了調查方便,仍會暫時關閉相關網站,並移除伺服器上的資料庫,估計調查至少需要 4 週甚至更長的時間,後續若有進一步發現,Nokia 也會透過電子郵件或簡訊通知相關用戶。

     

    從個資法角度來看,Nokia 值得檢討之處有二點,第一、對委外廠商 Agenda 有沒有善盡監督管理的責任?第二、行銷資料的保存年限是否恰當?

     

    個資法施行細則第 8 條提及,企業若將個資相關業務委外時,應善盡監督責任,Nokia 是否定期稽核 Agenda 的資安機制,確保資料安全無虞,這是值得深究的地方,再者,企業從行銷活動取得的資料,是否需要保存 7 年之久?很多企業並沒有訂定資料使用期限,導致內部有很多已經不再使用卻又沒有刪除的個人資料,在個資法上路之前,保存這些資料或許沒有什麼關係,但如今每多一筆個人資料,企業就多一分個資外洩風險。

     

    另一方面, Nokia 也建議消費者未來在參與網路活動時,若要輸入任何個人資料,必須先確認活動網站的隱私權政策,如果網站沒有提供相關隱私權政策,或者要求填入的資訊太過私人、與活動沒有直接相關,最好都不要填寫。此外,也儘量避免在社群網路、聊天室、或論壇等公開網站上提供個人資料,並謹守在單一網站上使用單一密碼的原則,同時最好每 60 天就更改一次密碼。

     

    原文網址 : 委外惹的禍!! 台灣 Nokia 外洩 150 萬筆個資
    資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7349#ixzz39haHS9S4

  • 汰換硬碟資料外洩 兆豐銀遭罰

    (中央社記者吳靜君台北31日電)兆豐國際商業銀行電腦中古硬碟,沒有做好妥善處理及格式化,讓部分硬碟資料流入二手市場。行政院金融監督管理委員會認為,兆豐銀行未落實內部控制,處新台幣200萬元罰鍰。 金管會表示,兆豐銀行基隆分行為了要進行電腦設備汰換,共有27部電腦要銷毀,有11部電腦交付外部廠商銷毀,而兆豐銀沒有派員監控,導致電腦沒有格式化,硬碟內資料因而流入二手市場。 金管會查,流入二手市場的資料多以內部作業資料為多,尚無客戶的資訊,因此還未有客戶因此權益受損。
但金管會認為,兆豐銀沒有做好資訊管理,落實執行內部控制制度,處200萬元罰鍰。 原文網址 : 汰換硬碟資料外洩 兆豐銀遭罰
雅虎奇摩新聞 https://tw.news.yahoo.com/汰換硬碟資料外洩-兆豐銀遭罰-122419629.html
  • 買二手硬碟 赫見銀行往來個資

    【中央社╱台北29日電】2012.02.29 12:35 pm 民進黨立委黃偉哲今天指出,購買二手硬碟中竟有民眾與銀行往來借貸個資與上市上櫃公司明細,是資安重大漏洞。與會銀行局官員帶回相關事證將盡速查明真相。 黃偉哲舉行「資安漏洞,隱私不保」記者會指出,一名林姓民眾向他反映,在光華商場購買 2 顆中古硬碟,接上電腦後發現有銀行業者的工作資料、民眾與銀行往來借貸相關資料,並清楚記載與銀行業務往來的民眾姓名、身分證資料、地址、借款金額等相關資料。 出席記者會的行政院金融監督管理委員會銀行局科長王允中表示,任何個人資料外洩都不應該,他會帶回相關事證,深入了解,防杜類似事件發生。 王允中說,金管局對於銀行的金融檢查分為事前與事後監督,事前監督部分,銀行須依據銀行公會制定的「金融機構資訊系統安全基準」規定進行硬體設備的銷毀,各銀行本身內部硬碟汰換處理相關規定。 事後監督部分,金管會發動金融檢查時會對銀行資訊系統是否安全進行處理,若發生個資外洩,會追查源頭,以了解是否為銀行的過失,若為銀行疏失,會依照電腦處理個人資料保護法與銀行法相關規定進行懲處。 王允中說,依據電腦處理個人資料保護法的罰則規定,可處新台幣2萬元以上、10 萬以下罰鍰;銀行法的罰則規定,可處新台幣 200 萬以上 1000 萬以下罰鍰。 至於民間企業如加油站的會員個人資料或各醫院的病患個人資料若外洩,與會的法務部法律事務司科長李世德表示,目前只能回到民法「隱私權保護」的概念,民眾可作民事求償,相關資訊安全規定,則回歸各企業目的事業主管機關的規範。 與會的檔案管理局副局長張聰明表示,公家機關的檔案清理制度必須依照檔案法規定,經核定保存年限,在年限期滿後依法銷毀,公部門的電腦資料汰換的銷毀程序比照紙質檔案,須提檔案銷毀計畫,舊硬碟就由資訊單位進行資安控管。 原文網址 : 買二手硬碟 赫見銀行往來個資
聯合新聞網 http://udn.com/NEWS/LIFE/LIF1/6930184.shtml
  • 修筆電 取回赫見 A 片
    2011年10月21日 呂先生對於華碩筆電送修後,原廠更換的硬碟出現他人存檔A片,相當不滿。
【投訴組╱台北報導】呂先生筆電硬碟故障送回華碩原廠維修,取件後卻發現硬碟內存有大量鹹濕日本A片、AV女優圖片,及一名屏東陳先生個人銀行帳號密碼資料,痛批華碩維修作業馬虎。華碩電腦公司坦承是特約維修中心作業疏失,將終止並取消該中心維修授權資格,已更換全新筆電給呂先生。消保官批評,華碩應檢討改進,遭洩個資民眾可向華碩求償。 客服:重灌就好
台北呂先生表示,9月中旬取回送修筆電,發現硬碟內的資料全是屏東一陳姓民眾所有,不僅有家族親友通訊錄、銀行帳號密碼、身分證資料,甚至有對方珍藏的大量日本A片、AV女優圖檔,讓他感覺「很不舒服」!事後聯絡華碩特約維修中心,客服人員卻要他送回重灌電腦資料就好。 已更換全新筆電
對此,華碩電腦公司張姓公關表示,經查是特約維修中心的工程師,把替屏東陳先生維修電腦時備份的資料,搞錯灌進換給呂先生的全新硬碟,但華碩不會推諉責任,已向呂先生致歉及更換全新同款筆電,將終止並取消該中心維修授權資格。
台北市消保官沈杏霖批評,保固期內送修筆電,華碩應更換全新零件,不應把儲存私密資料的硬碟重複利用,且此舉已洩露民眾隱私,受害者可向業者求償。 原文網址 : 修筆電 取回赫見A片
頻果日報 http://www.appledaily.com.tw/appledaily/article/headline/20111021/33753652
  • 紐約 170 萬民眾醫療資料遭竊

    文/陳曉莉 | 2011-02-17發表 紐約市健康醫療總局(New York City Health and Hospitals Corporation,HHC)本周表示,去年底存有 170 萬名病人、醫院員工、供應商員工等資料的電腦備份磁帶在運送途中遭竊,內含個人資料或受保護的健康資訊,並已開始通知受影響的民眾。 HHC 表示,這些失竊的電腦備份磁帶儲存的是 Jacobi Medical Center、North Central Bronx Hospital 及其所屬的兩個醫療中心 20 年以來的資料,內含上述醫療組織的員工、供應商或承包商的個人資訊,以及病人的健康醫療資訊,涵蓋姓名、地址、社會安全碼、病歷等資料。 去年 12 月時,這些備份磁碟原本是要由 GRM 資訊管理服務公司負責運送到安全的儲存地點,在運送途中由於司機下車取貨忘了上鎖,而讓竊賊有機可趁。雖然當天就已報警,但迄今尚未尋獲失竊的備份磁帶。 由於資料是存於磁帶中,因此 HCC 表示,這些資料若無相關專業技術或資料探勘工具是無法存取的,而且現在並無證據顯示相關資料已遭濫用。HHC 本周起以 17 種語文的信件通知受影響的民眾,並提供一年免費的信用偵測與詐騙解決服務。 在此一事件發生後,HCC 已與 GRM 解約,並提出訴訟要求 GRM 必須負責所有相關損失與成本。(編譯/陳曉莉) 原文網址 : 紐約 170 萬民眾醫療資料遭竊
iThome http://www.ithome.com.tw/node/65969
  • 男子購買二手硬碟驚見企業資訊

  • 86 小舖疑個資外洩 83 客戶遭詐 300 萬

  • 買新硬碟赫見機密 對岸鐵路檔案俱全

  • 因應個資法 企業該如何有效保存數位資訊

    文/黃彥棻 | 2012-11-23 發表 當個資法從今年10月1日正式實施後,不分何種產業別,包括公務與非公務機關,只要有蒐集、處理和利用各種電子和紙本個資,就必須承擔起更多的個資保護責任。但是,根據「iThome 個資法大調查」,其中企業因應個資法最困難的前三名分別是:缺乏可遵循的標準作法(68.6%);數位證據記錄、保存與舉證不易(45.8%)和法令動向不明(43.9%)。從第二困難的「數位證據記錄、保存與舉證不易」來看,企業接下來將開始關注「個資法的數位鑑識」的作法。 由於企業本身已經擁有當事人個資,依法也必須採行必要的安全措施,負起保護個資安全的責任。臺灣勤業眾信執行副總經理萬幼筠表示,首先,因應個資法第 27 條規定「防止個人資料遭受侵害」,以及施行細則第 12 條 11 款安全維護措施中規定的「使用紀錄、軌跡資料及證據保存」等,在在都證明,企業也必須有效保存數位證據,才能夠證明自身已經落實個資的保護。 其次,個資法採用「舉證責任倒置」的原理,也就是說,企業一旦遇到當事人提起相關的個資訴訟時,根據個資法第29條的規定,企業必須要能夠證明本身沒有故意或過失責任,否則,就要負起賠償的責任;加上第12條也規定,「若企業因違反個資法而導致個人資料被侵害,應查明後以適當方式通知當事人。」,企業依法,將難以隱匿個資外洩事件。 所以,萬幼筠說,企業除了要配合個資法保留「使用紀錄、軌跡資料及證據保存」作為證明外,為了讓這些數位證據可以做為未來企業面對法庭訴訟之用,在蒐證之初,就必須合乎數位鑑識的流程。 企業提供數位證據,仍應符合比例原則 萬幼筠表示,數位證據涵蓋範圍很廣,不只是各種網路、伺服器、資安設備、資料庫、作業系統或應用程式的 Log(日誌檔),其他包括各種電子郵件、紙本或電子文件,或者是資料庫內容等,也都包含在數位證據的範圍內。 臺灣勤業眾信企業風險管理副理陳威棋進一步解釋,關鍵在於企業所舉證的證據與犯罪事實之間的關連性。就實務面來說,單一層面的 Log 檔案並無法清楚描述其一連串的個資外洩或其他犯罪行為,往往必須要將一系列的 Log 檔案以軌跡資料(Audit Trail)的角度來進行分析。 所以,他說,企業所提供的數位證據要包含行為面的軌跡紀錄(Log Files),或者是案件中數位資料本身(如電子郵件、紙本和數位文件及資料庫資料等檔)或紙本資料本身(如各業務流程中,相關簽核及核准之存取及授權紀錄)等。而這些紙本或數位檔案,都是企業因應個資法時,可以提供的證據內容之一。 前警政署資訊室主任李相臣表示,個資法規範的本意還是要促進個資的合理利用,依照個資法的規定,各種數位證據的提供,若能夠提供「足茲證明」的 Log 檔或許就足夠,但是,他說:「而這些 Log 檔除了要做到集中保管,並證明沒有被竄改外,還必須要具有來源 IP、使用者在什麼時間,針對什麼檔案進行讀、寫、刪的行為,都必須完整記載清楚。」 除了足茲證明的 Log 檔外,李相臣表示:「根據個資法的精神,企業提供相關的數位證據時,還是必須要符合比例原則。」也就是說,企業依照公司規模大小不同,作法將有所不同。 他以個資法施行細則第 12 條規定的 11 項安全維護措施中,要保留的「使用紀錄、軌跡資料及證據保存」為例,十人的微型企業不見得有錢可以投資上百萬的專業日誌檔管理設備(Log Management),但大型的金控公司,不僅必須投資專業的日誌管理設備,連其餘細則規定的安全維護措施,都必須全部落實外,甚至還必須評估同業水準針對個資保護的程度才行。 數位證據必須符合「證據能力」和「證據力」 數位鑑識範疇較廣,因應個資法而提供的數位鑑識只是其中一環。但是,許多企業以往從來沒有聽過或了解數位鑑識,也分不清楚這和一般的資安事件調查(Incident Response,簡稱 IR)有何不同?企業需要的究竟是一般的資安事件調查,還是必須因應個資法規範,提出數位鑑識做成呈堂證供。這其間的差異,則是企業在個資法施行之際,必須要進一步了解的內容資訊。 臺灣勤業眾信企業風險管理副理宋子莉表示,只要牽扯到「鑑識」這個名詞,就跟法律訴訟息息相關;而「數位鑑識」就是,透過嚴謹的科學技術和資訊科技,來調查和處理各種資訊系統設備相關的數位資料,並以數位型態的數位證據,作為未來進行法庭訴訟的呈堂證供之用。 因為牽涉到法律訴訟,所以數位證據蒐集過程必須非常嚴謹。臺灣勤業眾信企業風險管理協理曾韵表示,一般而言,民事訴訟上對於證據的要求,只需要兩造雙方,在形式上同意該證據的效力即可;但在刑事訴訟上,因為要判斷證據的真偽,整個蒐證的過程必須非常嚴謹。 調查局資通安全處電腦犯罪防制科調查官錢世傑指出,檢警調單位的數位鑑識往往因應刑事訴訟的案件,對於數位證據的「證據能力」以及「證據力」要求十分嚴謹,唯有先符合「證據能力」的數位證據,才能進一步到法庭檢視其「證據力」。 證據能力和證據力兩者的區別,錢世傑套句廣告用語來解釋,「用藥先講求不傷身體,再講究療效。」所謂的不傷身體就是,數位證據是否是在非脅迫、出於自由意志,並按照一定鑑識蒐集流程中所蒐集的數位證據;當蒐證程序合法後,就可以進一步細究其證據內容,對於該個資外洩或犯罪事實的佐證程度有多深。 他表示,由於蒐證的程序是否符合數位鑑識的原則,攸關該項數位證據是否可以作為法庭證據之用。這也是法律訴訟時,兩造雙方首先會提出質疑的環節。因此,如何讓數位證據的提出過程都具有證據能力,將會是企業因應個資法提出數位證據佐證時,其首要考慮的關鍵因素。 確保數位鑑識流程,符合法律規範 從今年個資法施行後,警政署資訊室巡官叢培侃發現,有不少企業,包括電信、銀行、網通和資安業者等,都開始派員參加數位鑑識的訓練課程,而這些人員上課的目的,就是希望能證明企業在落實個資保護的過程中,沒有故意或過失責任;而企業所保留的「使用紀錄、軌跡資料及證據保存」,也都合乎數位鑑識程序,未來都可以作為法庭證據之用。 叢培侃表示,不論是因為個資法或者是其他民刑事訴訟法,由檢警調提供的數位鑑識,都必須符合四大原則。首先,整個數位證據的蒐證過程,都必須符合可驗證性,也就是說,其他人員若按照蒐證人員宣稱的驗證程序,都可以得出相同的結果。 其次,數位證據蒐證時必須對所蒐集到的資料做完整性驗證,他說,最常見的方式就是,將蒐證時的數位證據,先記錄其雜湊值(Hash Value)於表單中,若法庭對於蒐證的數位證據有疑慮時,只要驗算出的雜湊值和原始記錄的值一致,就可以證明該數位證據並未被竄改。 第三點就是落實證物鏈監管。叢培侃指出,從蒐證現場到法庭的過程中,每一個蒐證和保管的過程環節,都必須清楚被記載在相關的表單中,確保蒐證的證物沒有被污染。 第四點則是最小更動原則。他表示,根據路卡交換原理(Locard's exchange principle),任何人、物只要進入了犯罪現場,必會帶走現場某些東西,也必然會留下某些東西,就是所謂的微物跡証之相互移轉。進行數位蒐證的過程中,鑑識人員必須遵守鑑識流程,非不得已,絕不任意變更電腦狀態,並讓電腦系統維持最小程度的變更。 他認為,企業可以參考警方執行數位鑑識的流程,內化成企業本身專門鑑識團隊的流程,或者是用來檢視委外數位鑑識團隊專業與否。而企業也必須意識到,假若整個數位鑑識流程無法滿足上述四大原則時,所採證的數位證據被法院採信的機會就比較低,可能變成白做工了。 原文網址 : 因應個資法 企業該如何有效保存數位資訊
資安人科技網 http://www.ithome.com.tw/node/77448
  • 硬碟管理與銷毀手段一樣重要

    文/林柏凱 | 2014-03-19發表 將報廢、汰換的硬碟,使用抹寫、消磁及物理破壞之後,我們就可以高枕無憂了嗎?其實硬碟銷毀的過程中,我們還必須要有妥善的紀錄,包括每臺銷毀的硬碟資訊、銷毀方式、銷毀執行人員、複查稽核人員,時間與地點等,有了這樣的報告,才有確實完整執行硬碟銷毀的證明。 舉例來說,如果某員工的辦公室電腦中,存有相當重要且敏感的資訊,如果日後這名員工離職,而他所使用的電腦硬碟也銷毀,此時卻爆發了機密或個資外流的狀況,而且來源和這臺電腦有關時,若有足夠記錄證明企業已落實硬碟銷毀,就有機會可以免責。 換句話說,這種情況要提出各種有效證據,說明企業確實有處理指定的硬碟與資料,而且在處理這些資料和硬碟的過程沒有疏失,沒有任何機會讓這些資料外流。而這樣的證明並不難,只要持續記錄都會做的到,但是問題往往就在於沒有記錄,無法證明,存有該筆資料的硬碟經過銷毀。 而無法記錄,或記錄不夠詳實,一般都發生在企業內部自己執行銷毀,卻不小心疏忽造成。因此,目前也有許多廠商提供銷毀服務,可以記錄硬碟銷毀的過程,並且提供完整報表。 作業流程留下記錄是關鍵,銷毀報告整合資產報表可避免作業疏失 目前有提供銷毀服務的廠商,包括潘朵拉、寶信興、錢隆科技、遠象科技的信息守護者、IBM。 這些廠商多數都是消磁機或物理破壞設備的代理或經銷商,以自家的設備代客銷毀硬碟,而所提供的銷毀服務流程基本上大同小異,包括在客戶指定地點執行銷毀作業、錄影存證、銷毀硬碟、將破壞之後的硬碟回收,並提供消磁記錄報告。 一般情況下,他們多數是以硬碟臺數為單位計價,當客戶委託他們破壞100臺硬碟,他們就會在銷毀服務開始前,清點總硬碟數量是否為100臺。而之後提交的銷毀記錄,就會記載這100臺硬碟的廠牌、序號、方法和操作人員等。 有了這樣的報告,我們在日後必要時,可提出基本證明,證實企業有落實硬碟銷毀的流程。 結合資產管理系統,進一步提升銷毀流程與報告的準確度 另外,如果企業本身已經有一套資產管理系統,還可以將報告的記錄與資產管理系統核對,確認銷毀的硬碟,除了數量正確之外,同時可以比對清單,確認有銷毀正確的硬碟。 結合了資產管理系統,我們可以在事前就達到基本的檢核與過濾,免除因為人工的疏失,例如拿錯硬碟,或是有心人士刻意調換硬碟等情況。 因此,如果如果企業自身還沒有資產管理系統,在自己執行銷毀硬碟,或是尋找銷毀服務廠商,務必記得要有完整的銷毀報告。 在三種硬碟銷毀的設備中,資料抹寫設備是唯一可以連接硬碟,並直接讀取硬碟廠牌、型號與序號等資訊,可以避免人工輸入錯誤,或是被有心人士竄改消磁資訊,可確保資料的真實性。 原文網址 : 硬碟管理與銷毀手段一樣重要
iThome http://www.ithome.com.tw/tech/85877
  • 保密防「碟」 首選資迅科技

    撰文 / 廣告企畫

    出處 / 今周刊 919 期

     

    關聯關鍵字: 硬碟, 資料處理, 資迅科技, 廣告企畫, 9192014/07/31

    保密防「碟」 首選資迅科技  市場上硬碟汰換處理方式比一比

     

    市場上硬碟汰換處理方式比一比

     

    金融界最重要的資產就是客戶資料,每年更新電腦資訊設備,硬碟裡儲存大量的工作資料、重要數據、個人資料等等,市面上唯有資迅科技「硬碟資料抹除機」,只銷毀資料,不傷硬碟,並且為每一顆硬碟提供獨立的證明報告,不用擔心管理疏失,造成資料外洩。

     

    在二〇一三全台共有六四七萬筆個資外洩,其中有三一.二%的個資外洩,皆肇因於企業內部錯誤的硬碟處理方式,尤其高敏感度行業如果處理不慎可能造成無法預估的損失,如:軍事單位造成情資洩密、金融業銀行的客戶及帳戶資料外流等,除造成損失外甚至還要面臨罰款及刑責問題。所以,硬碟的資料銷毀變成每家銀行、企業非常重視的課題之一。

     

    提供給客戶最佳的硬碟銷毀方案

     

    目前,銀行業都是使用售價昂貴的消磁機,來銷毀硬碟資料,通常只有總行有,所以各分行硬碟銷毀時,必須把硬碟送回總行集中處理,過程中可能會遇到:硬碟遺失、遭到竊取、以及未妥善處理等狀況。

     

    資迅科技發現這樣的問題,並且以最高的道德標準和行為規範,為客戶提供完整的硬碟資料銷毀方案,協助企業解決資訊安全問題,讓客戶能安心且無後顧之憂。因此,資迅科技在二〇一四年依據 ISO27001、27002 的規範,推出了高安全性、高可靠度的「證據型硬碟抹除機」(TP-400-I),來為客戶解決硬碟資料銷毀的問題。

     

    硬碟抹除機:安全性高、成本最低

     

    建議企業不論硬碟是否再利用,硬碟在汰除前,先透過高安全性的抹除設備先做第一道抹除防護,抹除後再做集中銷毀或委外銷毀處理,在硬碟離開分行或分公司前就將所有可能風險控管,把會發生資安的任何因素排除,將風險性降到最低,盡可能讓資安做到滴水不漏。TP400-I 抹除機擁有三大特點:

     

    一、四種專業抹除功能:最安全的 Secure Erase、美國國防部標準 DoD Erase、七次 Erase、完整抹除。

     

    原文網址 : 保密防「碟」 首選資迅科技
    今週刊 http://www.businesstoday.com.tw/article-content-80394-109496

版權所有©和彥企業有限公司・E-mail:info@jawin-system.com・TEL:852-2331-3505・FAX:852-2331-3511・Mobile:852-9884-3987