零壹科技 個人資料管理系統 (PIMS) WorkShop
-
date post
24-Jan-2015 -
Category
Technology
-
view
1.174 -
download
3
description
Transcript of 零壹科技 個人資料管理系統 (PIMS) WorkShop
專注.專業.創新.服務 http://www.zerone.com.tw P. 1
零壹個人資料管理系統
PIMS Personal Information Management System
劉冠麟 Leo Liu Senior Consultant
STEPS
專注.專業.創新.服務 http://www.zerone.com.tw
簡報大綱
• 台灣個人資料保護法介紹
• 法規定義適當之安全措施
• 個人資料保護法解決方案介紹
• 解決方案導入範例說明
• 架構佈署說明
專注.專業.創新.服務 http://www.zerone.com.tw
台灣個人資料保護法介紹
專注.專業.創新.服務 http://www.zerone.com.tw
台灣個人資料保護法介紹
• 全名『電腦處理個人資料保護法』
• 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
• 個人資料檔案 ▫ 指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
• 擴大適用範圍為公務機關與非公務機關 ▫ 公務機關:指依法行使公權力之中央或地方機關或行政法人。
▫ 非公務機關:指前款以外之自然人、法人或其他團體。
• 已頒布『電腦處理個人資料保護法施行細則』
專注.專業.創新.服務 http://www.zerone.com.tw
台灣個人資料保護法介紹
• 法規定義之罰則 ▫ 可處有期徒刑、拘役或科或併科罰金。
▫ 政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰。
▫ 如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
▫ 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
專注.專業.創新.服務 http://www.zerone.com.tw
台灣個人資料保護法介紹
• 個資外洩重點案例介紹
專注.專業.創新.服務 http://www.zerone.com.tw
台灣個人資料保護法介紹
• 個資法規第二十九條(針對非公務機關) ▫ 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
• 新增個資法施行細則第十二條 ▫ 本法所稱適當安全維護措施、安全維護事項、適當之安全措施,參考德國聯邦個人資料保護法第九條規定,應係指技術上及組織上之措施,爰為第一項規定。
▫ 為確保個人資料檔案之合法且正當蒐集、處理或利用,辦理安全維護之適當措施內容宜予規範,爰為第二項規定。其目的為與國際接軌,乃以P-D-C-A方法論予以建立,使各企業得參考所列之十一款內容,考量組織規模與保有個人資料之數量或內容,依比例原則建立技術上與組織上之措施。
專注.專業.創新.服務 http://www.zerone.com.tw
法規定義適當之安全措施
專注.專業.創新.服務 http://www.zerone.com.tw
法規定義適當之安全措施
• 個資法規施行細則第十二條 ▫ 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。
專注.專業.創新.服務 http://www.zerone.com.tw
個人資料保護法解決方案介紹
專注.專業.創新.服務 http://www.zerone.com.tw
個人資料管理系統
• 零壹科技針對個資法 推出個人資料管理系統(PIMS) 個資外洩時,法規流程管理範例
當個人資料外洩,您是否知道該如何應變才能符合法規?
專注.專業.創新.服務 http://www.zerone.com.tw
法規流程管理使組織自動化合規
個資小組人員,怎麼樣運作才有效率?需可『分權』與『分責』
她負責.. 他負責..
專注.專業.創新.服務 http://www.zerone.com.tw
分權與分責之概念劃分
Servers & Desktops
Applications Directories
OS and File Systems
Identity Help Desk
Telephone and Building Access
Cloud Service
Databases Desktop
網路設備管理員
AD系統管理員
資料庫管理員
對資訊系統管理有權限與責任
他負責確認違反個資事項
她負責採取因應措施
對於個資管理制度施行的責任
專注.專業.創新.服務 http://www.zerone.com.tw
個資小組執行個資法管理
專注.專業.創新.服務 http://www.zerone.com.tw
個人資料保護法解決方案介紹
• 遵循BS10012:2009國際標準,已預定義多種角色
專注.專業.創新.服務 http://www.zerone.com.tw
部署個資防禦與矯正措施
在個人資料外洩之前,您是否有防禦與矯正措施?
專注.專業.創新.服務 http://www.zerone.com.tw
• 遵循台灣個人資料保護法
• 以BS10012:2009國際標準(英國標準)為參考設計
IT 系統 個資管理
零壹科技協助您,將個資管理與IT系統,合而為一
將組織上與技術上個資管理合一
專注.專業.創新.服務 http://www.zerone.com.tw
• 符合個資法規施行細則第十二條採取技術上必要措施規範。
• 符合 BS10012:2009 PIMS 國際標準。
• 已預定義管理組織角色與權限分配。
• 針對界定之個人資料範圍,收容設備與系統紀錄。
• 與個資風險評鑑結果整合。 *可匯入ISO27005 風險評鑑的數據。
• 已內含個資處理流程,提供事故之預防、通報及應變機制。
• 提供個人資料蒐集、處理及利用管理。
• 提供資料安全管理及人員管理。
個資管理系統特點(一)
專注.專業.創新.服務 http://www.zerone.com.tw
• 提供知識庫,輔助認知宣導及教育訓練。
• 提供設備安全管理與資料安全稽核機制。
• 提供使用紀錄、軌跡資料及證據之保存。
• 提供個資流程管理,個人資料安全維護之整體持續改善。
• 比對、查證資料存取之正當性,強調鑑識與法律舉證效力。
• 硬件式設計隨插即用,網頁式簡易管理。
• 跨設備聯合搜尋、關聯分析與報表。
• 彈性橫向、縱向延展擴充,組織分層管理。
• 技術採分散架構,適用於大型組織單位
個資管理系統特點(二)
專注.專業.創新.服務 http://www.zerone.com.tw
個資管理系統硬體規格
• NetIQ Sentinel 台灣個資法 軌跡稽核管理系統
硬體規格(NIQ-500型號)
Model NIQ-500
Management Web Console
CPU Intel Xeon quad core 2.80GHz
RAM 16GB, 1600 MHz RDIMM
Supported Sources SYSLOG (TCP/UDP/SSL), SNMP, FILE (FTP, SCP, SFTP, CIFS, NFS), DATABASE,
SDEE, WMI, AUDIT, CEF, SENTINEL_LINK, OTHERS
Compression 10:1 (In Average)
Devices 250
EPS 500
Storage 1TB SAS 6Gbps 3.5" x 4, RAID 6, HOT SWAP
Chassis 1U
Power Dual Hot Plug Power Supplies 550W
Ethernet Interfaces Dual Gigabit Network Adapter
專注.專業.創新.服務 http://www.zerone.com.tw
個資管理系統遵循NIST規範
• 證據保存,遵循NIST標準 ▫ 檔案系統加密,遵循FIPS 140-2標準,採用AES密碼演算法
▫ 日誌完整性檢查,遵循FIPS 180-2標準,採用SHA-256進行安全雜湊運算,確保證據保全之有效性
• 透過零壹專業個資顧問服務,持續不斷進行PDCA循環達成個人資料安全維護之整體持續改善。
專注.專業.創新.服務 http://www.zerone.com.tw
解決方案導入範例說明
專注.專業.創新.服務 http://www.zerone.com.tw
該如何開始進行個資管理導入
依據個資法施行細則第九條規範之第二項必要措施,『界定個人資料之範圍』
1
將範圍對應至IT系統與設備,找出存取 紀錄,以及『網路路徑』設備。
2
Servers & Desktops
Applications Directories
OS and File Systems
Identity Help Desk
Telephone and Building Access
Cloud Service
Databases Desktop
逐一收取紀錄,開始進行個資管理。 透過個資管理系統符合個資法規。
3
專注.專業.創新.服務 http://www.zerone.com.tw
解決方案導入範例說明
• 自動化個資分析規則與儀表板,與AD、LDAP身分整合
專注.專業.創新.服務 http://www.zerone.com.tw
硬體隨插即用網頁式管理
專注.專業.創新.服務 http://www.zerone.com.tw
完整證據保全制度
• 預設已支持上百種系統設備軌跡格式(LOG)進行證據保存。
專注.專業.創新.服務 http://www.zerone.com.tw
支持設備紀錄格式客製化
• 支持個資系統設備軌跡紀錄收容客製化 • 客戶關係管理系統、ERP、人力資源管理系統、帳單系統,與其他系統。
專注.專業.創新.服務 http://www.zerone.com.tw
身分識別系統整合
• 資料安全及人員管理,自動化身分識別整合 • 可整合AD、LDAP、資料庫、CMDB
Deny tcp src inside:10.8.8.198/62113 dst outside:61.247.48.214/80 by access-group
"inside_access_in" [0x0, 0x0]
專注.專業.創新.服務 http://www.zerone.com.tw
內建設備安全管理規則
• 可自動化即時安全監控與分析 • 自動化安全行為學習
專注.專業.創新.服務 http://www.zerone.com.tw
資料安全稽核機制
• 內建資料安全稽核機制,提供即時監控稽核 • 即時監控與報表皆可自動化執行合規程序
專注.專業.創新.服務 http://www.zerone.com.tw
內建網路黑白名單機制
• 內建網路黑白名單(IP、Host、URL)、弱點資訊 • 網際網路黑名單與最新弱點資訊,透過訂閱保持更新
專注.專業.創新.服務 http://www.zerone.com.tw
應變措施專家建議
• 內建弱點評估報告功能 • 提供個資安全小組威脅應變措施與建議
專注.專業.創新.服務 http://www.zerone.com.tw
個資管理系統維運
• 維運模式可分為三大類
自行維運 1
以專案方式進行個資管理系統建置,建置結束之後由客戶自行
維運個資管理系統。
2 協同維運
以專案方式進行個資管理系統建置,建置結束之後由服務提供商
與客戶共同進行個資管理系統維運。
委外維運 3
客戶不進行個資管理系統建置,利用服務提供商已建置好的個資
管理系統提供服務,將客戶界定之個人資料範圍,進行日誌軌跡
收集、分析、法規遵循等。
專注.專業.創新.服務 http://www.zerone.com.tw
架構佈署說明
專注.專業.創新.服務 http://www.zerone.com.tw
解架構佈署《基本型》
• 一部個資管理系統PIMS • 中小型企業架構適用
一部個資管理系統由
三大可延展原件組成
日誌軌跡採集器
關聯分析引擎
報表引擎
1 基本型:僅需一部PIMS設備,已內建三大元件
專注.專業.創新.服務 http://www.zerone.com.tw
解架構佈署《分散運算》
• 一部主要個資管理系統PIMS • 加上分散式的引擎元件進行聯合運算
主要個資管理系統 PIMS
分散運算(一): 一部主PIMS設備,另加三大元件可分散運算
2
日誌軌跡採集器 關聯分析引擎 報表引擎
專注.專業.創新.服務 http://www.zerone.com.tw
解架構佈署《分散運算》
• 多部主要個資管理系統PIMS • 適合中、大型組織
分散運算(二): 可以將多部個 PIMS 設備進行堆疊,聯合操作
3
• 日誌軌跡紀錄分類保存,效能處理亦可分散
• 在單一管理介面,跨設備聯合搜尋與報表
附註: 堆疊中的每部PIMS設備,還可以各自三大元件再拆開再分散運算
專注.專業.創新.服務 http://www.zerone.com.tw
解架構佈署《複合型》
• 多部主要個資管理系統PIMS • 適合中、大型組織
組織階層管理設計,各層級做好個資管理, 逐層通報機制,達成個資法規遵循。 4
台中
台南
高雄
台北總部
個資小組
專注.專業.創新.服務 http://www.zerone.com.tw
http://www.zerone.com.tw/
http://ipartner.zerone.com.tw/