著眼個資法規需求，貴公司(或機構)最擔心哪些資安問題？

innoing123

帳號密碼被駭  恐陷入身份被盜用、錢包失血 等四大危機  

【2013 年02月19日 台北訊】還記得上次更新網路帳號密碼是何時嗎?年前傳出25萬twitter用戶被駭恐噵致個資外洩的事件，讓密碼設定再度成為資安議題。帳號密碼更新的頻率與密碼設定方式為保護帳戶內個人資訊的關鍵，然而根據趨勢科技 (東京證券交易所股票代碼：4704)調查發現，近三成民眾更換密碼的頻率與換牙刷周期最接近，卻有一成的民眾認為「離開地球前往別的星球居住時」才需換密碼，顯見仍有部分民眾未具有密碼應定期更換的意識。

- `1 U5 T6 E4 \繼hotmail密碼外洩事件、Yahoo被駭事件後，日前更傳出高達25萬個twitter用戶帳號密碼被駭，被駭帳號多為twitter早期使用者，歐巴馬等全球知名政治人物帳號都可能是受害對象。而從Yahoo被駭事件中，45萬被外洩的用戶名稱和密碼主要都是連續數字或單字，顯見大多數網路使用者仍在使用不安全的密碼。

密碼是啟動網路身份的關鍵，更保護著使用者身份和敏感資料，根據趨勢科技病毒防治中心的研究，帳號與密碼一旦被駭，使用者面臨四大危機：

, X, Q' G  c2 M! ~·         垃圾郵件受害者：帳號被加入駭客發送垃圾郵件的列表，內含惡意程式或網頁的垃圾郵件將塞滿信箱，增加成為攻擊受害者的機率。
- T+ r1 a& }; S7 f6 E) N" q·         金錢損失：密碼被利用以進行未經授權交易。
8 _3 K& I; `" v, E# e! k: F# s·         身份被盜用：駭客可以使用你的身份掩蓋其犯罪蹤跡。
·         身份被販賣以牟利：將帳號資料賣給其他犯罪團體，讓不法人士在其他攻擊計畫裡可使用此份資料。根據一個地下市場的研究，個人網路帳號的登錄憑證可以在地下市場賣到一至五美金。

innoing123

! e$ X  i3 r- g/ c
除了密碼內容外，另一個保護個資的關鍵則是定期更新密碼，以降低駭客駭中密碼的機率。而根據趨勢科技針對台灣地區超過2000名民眾進行的趣味網路調查顯示，民眾更換密碼的頻率最接近換牙刷的頻率，然而仍有近一成的使用者則認為到了「要離開地球前往別的星球居住」的那天，才需要換密碼。顯見仍未對密碼外洩具有危機意識。
, Z7 F' a& u8 J& x( A6 t$ @/ x

( \" ~. f% [$ Y. h& a趨勢科技呼籲在設定密碼時可參考下列步驟，為自己的個資設定安全有效的關鍵密碼：
2 ~) m. Q, H  M% G( j( B9 x/ E
·         使用不常見的單字
- P# r$ j2 j& l$ K·         使用特殊字元和數字（非連續）
·         使用至少14個字元
·         在每個網路帳號使用不同的密碼
, A2 [1 ?7 [- }# _% F. B·         定期變更新密碼
·         使用密碼管理工具來記住密碼

amatom

資料安全+防毒防駭的「卡巴斯基PURE 3.0」全新首次在台上市 提供您純淨安全的網路生活
& m3 L8 X1 N% J
' o  R+ B7 Y4 U) Z7 t
0 b7 v2 }( ]# w. F+ W3 X" {5 W    2013年5月30日 台北訊-全球領先的資訊安全解決方案供應商—卡巴斯基，於2013年5月30日正式在台灣首次推出「卡巴斯基PURE 3.0」中文版。獨步全球整合了網路安全與資料防護的頂級資訊安全解決方案，同時擁有強大的即時雲端防毒安全技術，以人性化的操作介面，為專業工作者與家庭用戶提供全新頂級的電腦安全防護。
/ v/ P7 f8 v4 G, b
3 W7 F, S9 ~: ]  p1 |    卡巴斯基台灣區總經銷展碁國際軟體事業處 魏正棠副總經理表示：「非常高興卡巴斯基多年來在台灣推出第三套個人安全產品—「PURE 3.0中文版」，這套集結了資料防護、電腦防毒、網路安全的全新產品，帶給用戶一個純淨無毒的網路環境，提供使用者個人安全產品更多選擇。」

amatom

Pure原為純淨之意，即在為用戶提供純淨安全的網路生活。在現今「木馬程式」、「釣魚網站」日益氾濫的網路世界，個人隱私、工作檔案、公司機密文件、網路銀行帳號密碼等重要資料，已越來越容易被他人竊取或瀏覽，「卡巴斯基PURE 3.0」中文版涵蓋「KIS網路安全套裝」的所有功能，再具備以下領先技術：

1.        智慧型密碼管理員：使用者只需記住一組密碼，即可登入不同網站與應用程式。
2.        貼心線上備份檔案：雲端硬碟備份資料，隨時線上存取重要資料，還可藉由設定同步更新指定資料夾中的檔案。
5 E" ?$ b7 Q3 j& C; X3.        全新保險箱功能：快速儲存並加密使用者所想要保護的文件及資料置於「虛擬保險箱」，除了使用者設定的密碼，任何動作都無法讀取或破壞「保險箱」內的資料。
4.        令人放心的檔案粉碎機：徹底清除隱私紀錄，無論是資料夾檔案、暫存檔或資源回收桶的檔案，放進「粉碎機」確認移除後，即可完成刪除不留痕跡。
5.        簡單好用的中央控管：可在多台電腦上掃描病毒或跨電腦平台執行程式更新、資料備份並修復系統漏洞。
6 C! i# E$ v  d/ I  Q
, i$ u; ?9 Q! t) B; U- [# o2 B為慶祝「卡巴斯基PURE 3.0」登台首賣， 特別推出物超所值的優惠活動，原1機1年版定價1690元，上市搶先價只要1490元，再送好禮3加1，好禮1：手機防護中文版180天，好禮2：平板電腦防護中文版180天，好禮3：MAC電腦防護中文版180天，上網登錄再送「泰騰恩安全特盤」乙支，贈品價值1690元！

tk02561

(20130620 10:27:55)勞委會於101年11月28日修訂《就業服務法》第5條第2項第2款修正案，明定雇主不得違反求職者或員工之意思，要求提供非屬就業所需之隱私資料。勞委會進一步於102年6月7日修正《就業服務法施行細則》增訂第1條之1，明定所稱隱私資料之類別及內容為：1、生理資訊：基因檢測、藥物測試、醫療測試、HIV檢測、智力測驗或指紋等。2、心理資訊：心理測驗、誠實測試或測謊等。3、個人生活資訊：信用紀錄、犯罪紀錄、懷孕計畫或背景調查等。條文中還明定雇主於要求求職人或員工提供隱私資料時，應尊重當事人的權益，不得逾越基於經濟上需求或維護公共利益等特定目的之必要範圍，並應與目的間具有正當合理的關聯。
" x  c2 u2 |8 x; i1 F" k9 z. t
. a$ K% e: E, i  ]1 W, ]' |8 w中華人事主管協會講師 沈以軒律師指出，《就業服務法》相關規範施行後，雇主要求求職者或員工提供隱私資料，均要能夠舉證該隱私資料與職務內容相關，且未違反求職者或員工之意願，若有違規者除了主管機關可依就業服務法第67條規定，處以6萬元至30萬元行政罰鍰之外，更重要者，該行為屬於蒐集求職者或員工之個人資料，亦同時適用101年10月1日新修正之《個人資料保護法》(簡稱「個資法」)第41條規定，即法律責任尚包括個資法第41條違法蒐集行為之二年以下有期徒刑刑事責任。而依照目前實務現狀觀察，對於企業違法蒐集個資之行為，勞工均以向法院檢察署提起個資法刑事告訴為首要選擇；兩者不同的是：《就業服務法》裁罰主體是針對公司，《個資法》刑事責任犯罪嫌疑人對象是自然人，即以企業負責人與人資主管為常見被告，值得企業人資引以為戒。

tk02561

再者，依照個人資料保護法第27條規定，企業在蒐集求職者或員工之個人資料後，必須採行適當之安全措施，以防止個人資料被竊取、竄改、毀損、滅失或洩漏，若企業欠缺上述適當安全機制，除依《個資法》第48條規定，再處以2萬元至20萬元行政罰鍰外，當企業離職人員或在職員工下班時間所為一切洩漏個資行為，企業當難辭其咎恐與肇事者共同負擔高達新台幣二億元之連帶民事賠償責任。
$ ?9 O8 R/ T# ], a6 L' Y5 d3 ]: U
沈以軒律師提醒，在《就業服務法》與《個人資料保護法》陸續修正通過後，勞動權益保障益趨完整，企業人資應自即日起嚴格檢視蒐集求職者個資之履歷表與勞工名卡欄位，是否均符合現行法定規範要求，同時必須確保企業對已蒐集之個資檔案是否已建置適當比例安全防護措施，否則將會使企業以及人資主管個人面對難以預測的法律風險。
# m: z; s" u; X/ t
. s2 t( g; ~0 G+ W% w  @$ o# m中華人事主管協會執行長林由敏表示，企業人資接觸員工個資在所難免，在兩法修訂實施的強力規範下，若不小心觸法，有別過去「花錢了事」的觀念，除了得面對刑事責任，還可能面臨2億元的天價賠償，企業人資相對身處「高風險」職場環境，對於新法實施必須有充分了解。中華人事主管協會為因應新法施行後相關職場議題，特邀請有近百場個資法講座與輔導企業建置個資因應方案的資深講師 沈以軒，以實務經驗與專業法學解析，協助企業與人資了解個資法施行後，該如何落實該法第27條暨施行細則第12條「適當安全必要措施」中11個因應方案要求？並逐步教導企業建置防止個人資料被竊取、竄改、毀損、滅失或洩漏之法定必要維護措施，同時將針對《就業服務法》修正歷程一併說明解釋，並提供企業人資者具體因應之道。「台北場6/20、7/16、8/27」、「台中場7/17、8/21」、「高雄場7/18、8/20」、「桃園場7/19」、「新竹場8/22」，全台九個班次熱烈報名中，相關課程諮詢請洽02-2748-5188或上協會官網www.hr.org.tw。
$ y; @1 O) R+ f7 |4 G
訊息來源：中華人事主管協會

ritaliu0604

(20130719 14:21:21)重要的期交、證交所在一周內分別當機，讓資訊安全再次躍上新聞版面，成為各界討論焦點。世界各國已將資訊安全提升至國家安全議題的同時，台灣因為受到景氣蕭條的影響，從政府到企業，卻大砍資安預算，想要透過賭一把以及出事後遮掩的方式來面對這個日益重大的議題。

儘管，台灣是網路應用發達，駭客攻擊次數也世界排名第一，但台灣的政府和企業卻將此議題重要性往後擺，資訊安全的預算被不斷地刪減。當攻擊事件產生，更是用盡各種代價來遮掩，殊不知平靜的氛圍背後已經隱藏了許多已爆發或是未爆發的危機，一旦漏洞或風險成為駭客的遊樂場，將會造成更多損失。

奕瑞科技執行長張義淵表示：「資訊安全是所有事業經營者和主管也應該必須注意的議題。不能一味的把責任推到網管人員的身上，這是企業高層應該主動重視，採取積極的態度來規劃和執行，甚至於政府應該督促企業重視資安的規劃和執行，預防有重大攻擊時，而不是出了問題再來繳學費學教訓。」
* O0 t% w6 A9 t4 k
9 r$ i+ B5 S$ @( v奕瑞科技提醒大家重視資安問題，提早做好防範措施。台灣先進的網路環境以及鬆散的資安防範都已經成為許多駭客選定的攻擊目標。資訊安全的議題已經不能再輕忽，越早一步做出正確的投資，就能增加越多的競爭力。
  i( w+ _9 h3 j0 r5 y4 ?6 l: s
9 H! s/ l- Z7 `4 D  A2 z訊息來源：奕瑞科技有限公司

tk02376

倚碩科技與其達科技攜手合作 為企業「巨量郵件資料」量身打造最佳解決方案

" I2 d9 O2 p3 A- l2 g倚碩科技宣布，與其達科技達成合作協議，雙方將共同推廣企業「巨量郵件資料」的客製化解決方案。

倚碩科技執行長蘇德正表示，倚碩科技非常高興能有機會與其達科技合作，其達科技在企業內部資料傳輸的市場具有相當令人讚賞的技術實力，提供的解決方案並獲得台積電、宏達電等大型企業採用。倚碩科技近年針對雲端與巨量資料的市場需求，從趨勢研究分析到實際跨足市場，與其達科技的合作無疑是開啟了第一扇門，除了原有的嵌入式技術與分析工具外，希望能提供客戶除了產品開發之外更多的商用技術服務。
' A# U( R- y! h( F( q% _
其達科技總經理鄭瑞能表示，非常期待未來與倚碩科技的合作。其達科技提供企業針對內部FTP或是E-mail等資料傳輸行為的控管與稽核軟體，能夠在巨量傳輸軌跡資料內進行搜尋比對，一旦系統發現到違反公司保密規定狀況時，不僅能快速揪出內賊，也可節省蒐集事證所需耗費的成本。希望藉由倚碩科技長年耕耘企業技術服務的經驗，幫助更多企業在資料傳輸上以最低的成本做到最有效的控管與安全防護。

sophiew

為提供資訊安全風險管理之實作指南，經濟部標準檢驗局修訂公布CNS 27005「資訊技術-安全技術-資訊安全風險管理」國家標準

(20131203 10:46:56)為提供資訊安全風險管理之實作指南，經濟部標準檢驗局修訂公布CNS 27005「資訊技術-安全技術-資訊安全風險管理」國家標準
4 P' ?* x  t; ^, E- ?
  d. _# K/ K+ j3 x9 L「資訊安全風險管理」是資訊安全管理中的核心工作之一，為協助組織落實資訊安全風險管理，標準局修訂公布CNS 27005「資訊技術-安全技術-資訊安全風險管理」，以供各界參考，並期能於資訊安全風險管理之應用上，提供實務的執行指南。
5 g) ~! C2 |: y5 v$ z
. u" R0 q/ p1 s9 G, q" S3 NCNS 27005支援CNS 27001「資訊技術-安全技術-資訊安全管理系統-要求事項」國家標準所規定之一般觀念，包含資訊安全風險管理過程及其活動之相關內容，並以結構化之方式進行說明。本次修訂新增風險管理的高階觀點示意圖及調整資訊安全風險評鑑相關內容之架構，以增加使用者參考使用之方便性。協助使用者進行決策時，分析可能發生之資安風險及後果，以降低風險至可接受的等級。

標準局表示，資訊安全是組織或企業經營中不可或缺的重要環節。資訊安全風險管理亦需有系統化作法，以識別組織之資訊安全要求，並建立有效之資訊安全管理系統(ISMS)，以期圓滿達成營運目標，維護企業的永續發展。
  ]/ M; \5 i/ S/ }
相關國家標準資訊(料)已置放於該局「國家標準(CNS)網路服務系統」(網址為http://www.cnsonline.com.tw)，歡迎各界上網查詢閱覽。

訊息來源：經濟部標準檢驗局