跳到主要內容區塊
跳到主要內容區塊
資料處理中
手機版選單
search
搜尋
口述歷史影片
111年度檔案局種子教師名單
上級指導檔案應用管理績效
口述歷史影音區
工程計畫
中和工務段
中壢工務段
內部控制聲明書
公共工程契約
公告事項
公務出國報告
公路工程
公路成俗
公路建設
公路相簿
公路景觀
公路資料
公路管理養護事績
公路網圖
公路影音
公路影音專區
公路憶當年-口述歷史
公路總局工地安全專區
公路總局新聞
支付或接受之補助
文物典藏-影音
文物館活動花絮
出版品
出版品、文物、影片
本處交通位置
本處勞務承攬申訴窗口
本處單位
本處影音專區
申辦表格
交易補助揭露公開資料
交通亮點
各工務段
各類文件
安全專區
行政指導有關文書
行政院即時新聞
串聯檔案月活動(109-110年)
利益衝突迴避法相關表格下載
利益衝突迴避法相關說明
抗旱專區
災害通報
防災資源配置
使用說明
委託研究報告
法規及行政規則
表單填寫
便民服務
保有個人資料檔案公開項目彙整表
挖掘公路工程計畫書範本
政府資訊公開
政府網站資料開放宣告
政風信箱
政風宣導
政風相關表格
政策宣導廣告刊登
政策規範
施政計畫
活動紀實影像
相關網站
訊息公告
問卷調查
基本資料
基隆工務段
常用表格
常見問答
採購契約
教育訓練
條約
組織介紹
組織架構與職掌
組織職掌聯絡方式
處長信箱
通報資訊
最新消息
復興工務段
景美工務段
著作權聲明
訴願決定書
進度查詢
開放資料
廉政專區
意見回饋
新竹工務段
會計月報
業務統計
資料目錄
資料查詢
資通安全政策
路平專區
路面整修工程
道路通阻查詢
預算及決算書
對外關係文書
緊急通報人
網站連結
網站導覽
影音及出版品
徵收土地案件及使用情形
標竿學習活動
請願處理結果
養護範圍
樹木修剪成果
歷史沿革
歷史沿革與回顧
優良績效成果
檔案及政府資訊開放應用申請流程圖
檔案展覽活動
檔案複製收費標準
檔案應用申請表單
檔案應用服務Q&A
檔案應用服務推廣
檔案應用專區
檔案應用與下載
環境生態
環境監測
聯合宣導
聯絡及申辦
隱私權政策
職業安全衛生專區
關於本處
進階搜尋
分享
Facebook
Plurk
Twitter
line
Email
便民服務
處長信箱
政風信箱
安全專區
意見回饋
廉政專區
常見問答
網站連結
災害通報
通報資訊
資料查詢
防災資源配置
公路建設
公路工程
環境生態
公路景觀
公告資訊
最新消息
公路總局新聞
行政院即時新聞
檔案應用專區
檔案下載
申辦表格
各類文件
政府資訊公開
開放資料
本處資訊
本處單位
各工務段
組織架構
交通資訊
首長介紹
歷史沿革
影音專區
出版品
政策規範
熱門關鍵字
上方連結
首頁
網站導覽
常見問答
討論區
English
下方連結
隱私權政策
資訊安全規範
著作權聲明
政府網站資料開放宣告
:::
主題專區
亮點績效
訊息公告
施工管制路段
特色公路
社群及出版品
熱門推薦
熱門推薦
熱門頁面
最新消息
各工務段
中壢工務段
本處單位
中和工務段
熱門下載
替代路線圖1
改道路線圖
改道路線圖
替代路線圖2
01
倒數計時
回最上面
公路總局及所屬機關
中華民國交通部公路總局
公路總局致力於省道公路工程、公路運輸管理及公路監理業務,簡政便民。業務範圍分為公路工程、公路運輸、公路監理三大類別,提供民眾便利且安全的服務。
公路總局及所屬機關清單
監理機關
臺北市區監理所
臺北區監理所
新竹區監理所
臺中區監理所
嘉義區監理所
高雄市區監理所
高雄區監理所
工程機關
第一區養護工程處
第二區養護工程處
第三區養護工程處
第四區養護工程處
第五區養護工程處
西部濱海公路北區臨時工程處
西部濱海公路南區臨時工程處
蘇花公路改善工程處
訓練機關
公路人員訓練所
中部訓練中心
南部訓練中心
_
上方連結
首頁
網站導覽
常見問答
討論區
English
字級
小
中
大
分享
Facebook
Plurk
Twitter
line
Email
交通部公路總局第一區養護工程處
交通部公路總局第一區養護工程處
便民服務
處長信箱
處長信箱-表單填寫
處長信箱-進度查詢
政風信箱
政風信箱-表單填寫
政風信箱-進度查詢
安全專區
公路總局工地安全專區
職業安全衛生專區
意見回饋
問卷調查
本處勞務承攬申訴窗口
廉政專區
政風宣導
利益衝突迴避法相關說明
利益衝突迴避法相關表格下載
交易補助揭露公開資料
政風相關表格
常見問答
網站連結
相關網站
聯合宣導
災害通報
通報資訊
緊急通報人
資料查詢
道路通阻查詢
防災資源配置
景美工務段
中和工務段
中壢工務段
新竹工務段
復興工務段
基隆工務段
公路建設
公路工程
養護範圍
路平專區
工程計畫
路面整修工程
交通亮點
環境生態
環境監測
公路景觀
公路相簿
公路影音
樹木修剪成果
公告資訊
最新消息
公路總局新聞
行政院即時新聞
檔案應用專區
檔案下載
申辦表格
常用表格
各類文件
公告事項
挖掘公路工程計畫書範本
公路資料
公路網圖
政府資訊公開
法規及行政規則
對外關係文書
條約
行政指導有關文書
施政計畫
業務統計
委託研究報告
公務出國報告
預算及決算書
訴願決定書
請願處理結果
公共工程契約
採購契約
支付或接受之補助
組織職掌聯絡方式
徵收土地案件及使用情形
會計月報
內部控制聲明書
政策宣導廣告刊登
財物出租公告
開放資料
使用說明
資料目錄
本處資訊
本處單位
各工務段
組織架構
交通資訊
首長介紹
歷史沿革
影音專區
公路影音專區
文物典藏-影音
本處影音專區
活動紀實影像(含檔案展直播)
口述歷史影音區
出版品
政策規範
隱私權政策
資通安全政策
保有個人資料檔案公開項目彙整表
搜尋
search
搜尋
口述歷史影片
111年度檔案局種子教師名單
上級指導檔案應用管理績效
口述歷史影音區
工程計畫
中和工務段
中壢工務段
內部控制聲明書
公共工程契約
公告事項
公務出國報告
公路工程
公路成俗
公路建設
公路相簿
公路景觀
公路資料
公路管理養護事績
公路網圖
公路影音
公路影音專區
公路憶當年-口述歷史
公路總局工地安全專區
公路總局新聞
支付或接受之補助
文物典藏-影音
文物館活動花絮
出版品
出版品、文物、影片
本處交通位置
本處勞務承攬申訴窗口
本處單位
本處影音專區
申辦表格
交易補助揭露公開資料
交通亮點
各工務段
各類文件
安全專區
行政指導有關文書
行政院即時新聞
串聯檔案月活動(109-110年)
利益衝突迴避法相關表格下載
利益衝突迴避法相關說明
抗旱專區
災害通報
防災資源配置
使用說明
委託研究報告
法規及行政規則
表單填寫
便民服務
保有個人資料檔案公開項目彙整表
挖掘公路工程計畫書範本
政府資訊公開
政府網站資料開放宣告
政風信箱
政風宣導
政風相關表格
政策宣導廣告刊登
政策規範
施政計畫
活動紀實影像
相關網站
訊息公告
問卷調查
基本資料
基隆工務段
常用表格
常見問答
採購契約
教育訓練
條約
組織介紹
組織架構與職掌
組織職掌聯絡方式
處長信箱
通報資訊
最新消息
復興工務段
景美工務段
著作權聲明
訴願決定書
進度查詢
開放資料
廉政專區
意見回饋
新竹工務段
會計月報
業務統計
資料目錄
資料查詢
資通安全政策
路平專區
路面整修工程
道路通阻查詢
預算及決算書
對外關係文書
緊急通報人
網站連結
網站導覽
影音及出版品
徵收土地案件及使用情形
標竿學習活動
請願處理結果
養護範圍
樹木修剪成果
歷史沿革
歷史沿革與回顧
優良績效成果
檔案及政府資訊開放應用申請流程圖
檔案展覽活動
檔案複製收費標準
檔案應用申請表單
檔案應用服務Q&A
檔案應用服務推廣
檔案應用專區
檔案應用與下載
環境生態
環境監測
聯合宣導
聯絡及申辦
隱私權政策
職業安全衛生專區
關於本處
進階搜尋
熱門關鍵字
:::
公告資訊
最新消息
公路總局新聞
行政院即時新聞
:::
首頁
公告資訊
最新消息
最新消息
_
網頁功能
[開啟新連結]列印內容
111年12月機關安全維護宣導-客戶資料的安全防護
公告期限:112-02-28 16:17
分類
政風宣導
公告日期
111-12-06 16:17
公告單位
第一區養護工程處-政風室
內容
據國外網路報導,多家銀行透過黑市購得一批金融卡資訊,而相關資料是從Home Depot外流而來,Home Depot也正式承認該公司的多個支付資料系統被入侵,可能影響其在美國與加拿大商店使用金融卡消費的顧客。無獨有偶地,國內的中國信託網站繳費中心也爆發用戶的個人資料外洩事件,金管會調查後確定其內部程式設計、驗證,及內控程序上有缺失,導致大量用戶資料外洩,因而裁罰新臺幣400萬元。
從事資訊工作的小潘看到這些新聞,回顧自己的工作,由於公司跨入電子商務領域,資訊系統與網際網路的關係也日漸密切,自然也開始擔心客戶資料庫的安全問題,思考著萬一有資料外洩的事件發生,可能會造成無法收拾的局面。針對這些擔心的問題,小潘決定要利用這個月的師生下午茶約會,好好地跟司馬特老師討論解決方案。
司馬特老師聽完小潘的問題,喝口咖啡後娓娓道來,長久以來,大家習慣把資訊安全問題的焦點放在外部駭客的入侵,將所有的心力、人力、預算與防護重點,都放在外部威脅的防護上。但是,越來越多的實際案例與研究報告顯示,內部有心人士或管理疏失已成為企業資料外洩的最大威脅來源,對於企業內部擁有合法存取權限的有心員工,毫無警覺與防備之心,已成為企業資料外洩最頻繁也最嚴重的主要原因。
早在2005年時,Vontu與Ponemon Institute就已經共同發表研究報告指出,資訊安全的最大威脅並非駭客或病毒,而是惡意或粗心的企業內部員工。後來Ponemon Institute又在2011及2012年另外與Symantec共同發表全美資料外洩成本研究報告,指出玩忽職守的員工是資料外洩的最大元兇,絕大部分的資料外洩是由人為錯誤與系統缺陷所致。Verizon所做的2014年資料外洩調查報告中指出,大約58%的公部門網路安全事件肇因於內部員工,其中約34%是員工在資料控管上的意外事故所造成,另24%則因未經授權與惡意的資料濫用所致。
小潘聽完司馬特老師的說明後,認同地表示:怠忽職守或粗心員工造成的資料外洩還好補救,只要透過一定的加密機制,多少可以降低風險;最令人擔心的,莫過於擁有合法權限員工的有意之舉,甚至是擁有最高權限的主管或資料庫管理員,這些人可能造成不可挽回的損害。
司馬特老師非常認同小潘的看法,喝完咖啡也繼續說明,在實務上今(103)年也發生過案例,1月下旬,可口可樂公司爆發7.4萬筆個人資料外洩事件,這些個資多半是社會安全碼與駕照號碼等敏感性資料,除了1.8萬名現職員工受到衝擊之外,大部分受到牽累的皆屬前任員工,而另外也有4,500筆個資是與外部承包商或供應商之員工有關。根據調查了解,該事件起因於前MIS人員將數十臺筆電偷走所致,由於被偷的筆電原屬人力資源部門人員所有,再加上筆電所有資料都沒有依照公司之安全政策進行加密,於是筆電裡的個人資料就這樣流落出去。
而AT&T早在2010年便曾發生客戶資料外洩的事件,因內部授權員工濫用存取行為,導致11.4萬筆旗下Apple iPad 3G綁約用戶之郵件地址外洩;今年又發生3名具備手機記錄存取權限的AT&T外部供應商員工,濫用存取權限竊取顧客生日及社會安全碼等資料,目的竟然是為了將AT&T綁約的手機解鎖,以便拿到二手市場上轉賣獲利。
小潘也認為具有權限的員工如果有心想要竊取存於系統上的客戶資料,一定是持續地五鬼搬運、不露痕跡,真是防不勝防,等到事發可能已經來不及了,應該要怎麼事先防範呢?
司馬特老師喝完咖啡繼續說下去,一般企業對員工的資安管理都很嚴格,但是對高階主管及具有系統管理權限的人,管理上往往相對鬆散;然而,容易洩密的卻都是這一群人。對於具有系統存取權限的員工,資料加密也是擋不住有心人士的竊取,這必須由管理面著手,首先要把公司的資料做機密等級的區分,密級以上的資料除應限制存取權限外,存放在系統或資料庫中時,還要另做加密處理。
而客戶資料是《個人資料保護法》保護的標的,又要特別小心處理,萬一不小心洩漏出去,每位受害人都可求償,最少賠償額度是500元,積少成多甚至可讓公司倒閉。所以,對於公司的客戶資料,尤其是電子商務的廠商,客戶資料尤其多,僅是資料加密可能無法阻止具有存取權限的有心人士竊取。為了防止資料外洩,除了在制度上要加以限制外,系統設計時也要置入預防措施,因為有心人士所要竊取的客戶資料一定要數量很大,才有相對利益,所以,要利用系統設置監控機制,對於異常的資料下載,需要即時對其主管警示,以採取必要的防止手段。
經過這次的討論,小潘對於資訊安全又有了深一層的認識。資訊安全要防範的除了外部威脅外,其實內部合法人員的非法存取才是最可怕的,尤其是客戶資料又涉及個人資料保護,處置不當將對公司造成無法彌補的損失,唯有透過制度跟系統雙管齊下,才能有效確保資訊安全。