零壹科技個人資料管理系統 (PIMS) WorkShop

專注．專業．創新．服務 http://www.zerone.com.tw P. 1

零壹個人資料管理系統

PIMS Personal Information Management System

劉冠麟 Leo Liu Senior Consultant

STEPS

專注．專業．創新．服務 http://www.zerone.com.tw

簡報大綱

• 台灣個人資料保護法介紹

• 法規定義適當之安全措施

• 個人資料保護法解決方案介紹

• 解決方案導入範例說明

• 架構佈署說明


台灣個人資料保護法介紹



• 全名『電腦處理個人資料保護法』

• 為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。

• 個人資料檔案 ▫ 指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。

• 擴大適用範圍為公務機關與非公務機關 ▫ 公務機關：指依法行使公權力之中央或地方機關或行政法人。

▫ 非公務機關：指前款以外之自然人、法人或其他團體。

• 已頒布『電腦處理個人資料保護法施行細則』



• 法規定義之罰則 ▫ 可處有期徒刑、拘役或科或併科罰金。

▫ 政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰。

▫ 如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。

▫ 對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。



• 個資外洩重點案例介紹



• 個資法規第二十九條（針對非公務機關） ▫ 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。

• 新增個資法施行細則第十二條 ▫ 本法所稱適當安全維護措施、安全維護事項、適當之安全措施，參考德國聯邦個人資料保護法第九條規定，應係指技術上及組織上之措施，爰為第一項規定。

▫ 為確保個人資料檔案之合法且正當蒐集、處理或利用，辦理安全維護之適當措施內容宜予規範，爰為第二項規定。其目的為與國際接軌，乃以P-D-C-A方法論予以建立，使各企業得參考所列之十一款內容，考量組織規模與保有個人資料之數量或內容，依比例原則建立技術上與組織上之措施。


法規定義適當之安全措施


法規定義適當之安全措施

• 個資法規施行細則第十二條 ▫ 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。


個人資料保護法解決方案介紹


個人資料管理系統

• 零壹科技針對個資法推出個人資料管理系統(PIMS) 個資外洩時，法規流程管理範例

當個人資料外洩，您是否知道該如何應變才能符合法規？


法規流程管理使組織自動化合規

個資小組人員，怎麼樣運作才有效率？需可『分權』與『分責』

她負責.. 他負責..


分權與分責之概念劃分

Servers & Desktops

Applications Directories

OS and File Systems

Identity Help Desk

Telephone and Building Access

Cloud Service

Databases Desktop

網路設備管理員

AD系統管理員

資料庫管理員

對資訊系統管理有權限與責任

他負責確認違反個資事項

她負責採取因應措施

對於個資管理制度施行的責任


個資小組執行個資法管理


個人資料保護法解決方案介紹

• 遵循BS10012:2009國際標準，已預定義多種角色


部署個資防禦與矯正措施

在個人資料外洩之前，您是否有防禦與矯正措施？


• 遵循台灣個人資料保護法

• 以BS10012:2009國際標準（英國標準）為參考設計

IT 系統個資管理

零壹科技協助您，將個資管理與IT系統，合而為一

將組織上與技術上個資管理合一


• 符合個資法規施行細則第十二條採取技術上必要措施規範。

• 符合 BS10012:2009 PIMS 國際標準。

• 已預定義管理組織角色與權限分配。

• 針對界定之個人資料範圍，收容設備與系統紀錄。

• 與個資風險評鑑結果整合。 *可匯入ISO27005 風險評鑑的數據。

• 已內含個資處理流程，提供事故之預防、通報及應變機制。

• 提供個人資料蒐集、處理及利用管理。

• 提供資料安全管理及人員管理。

個資管理系統特點（一）


• 提供知識庫，輔助認知宣導及教育訓練。

• 提供設備安全管理與資料安全稽核機制。

• 提供使用紀錄、軌跡資料及證據之保存。

• 提供個資流程管理，個人資料安全維護之整體持續改善。

• 比對、查證資料存取之正當性，強調鑑識與法律舉證效力。

• 硬件式設計隨插即用，網頁式簡易管理。

• 跨設備聯合搜尋、關聯分析與報表。

• 彈性橫向、縱向延展擴充，組織分層管理。

• 技術採分散架構，適用於大型組織單位

個資管理系統特點（二）


個資管理系統硬體規格

• NetIQ Sentinel 台灣個資法軌跡稽核管理系統

硬體規格（NIQ-500型號）

Model NIQ-500

Management Web Console

CPU Intel Xeon quad core 2.80GHz

RAM 16GB, 1600 MHz RDIMM

Supported Sources SYSLOG (TCP/UDP/SSL), SNMP, FILE (FTP, SCP, SFTP, CIFS, NFS), DATABASE,

SDEE, WMI, AUDIT, CEF, SENTINEL_LINK, OTHERS

Compression 10:1 (In Average)

Devices 250

EPS 500

Storage 1TB SAS 6Gbps 3.5" x 4, RAID 6, HOT SWAP

Chassis 1U

Power Dual Hot Plug Power Supplies 550W

Ethernet Interfaces Dual Gigabit Network Adapter


個資管理系統遵循NIST規範

• 證據保存，遵循NIST標準 ▫ 檔案系統加密，遵循FIPS 140-2標準，採用AES密碼演算法

▫ 日誌完整性檢查，遵循FIPS 180-2標準，採用SHA-256進行安全雜湊運算，確保證據保全之有效性

• 透過零壹專業個資顧問服務，持續不斷進行PDCA循環達成個人資料安全維護之整體持續改善。


解決方案導入範例說明


該如何開始進行個資管理導入

依據個資法施行細則第九條規範之第二項必要措施，『界定個人資料之範圍』

1

將範圍對應至IT系統與設備，找出存取紀錄，以及『網路路徑』設備。

2

Servers & Desktops

Applications Directories

OS and File Systems

Identity Help Desk

Telephone and Building Access

Cloud Service

Databases Desktop

逐一收取紀錄，開始進行個資管理。透過個資管理系統符合個資法規。

3


解決方案導入範例說明

• 自動化個資分析規則與儀表板，與AD、LDAP身分整合


硬體隨插即用網頁式管理


完整證據保全制度

• 預設已支持上百種系統設備軌跡格式（LOG）進行證據保存。


支持設備紀錄格式客製化

• 支持個資系統設備軌跡紀錄收容客製化 • 客戶關係管理系統、ERP、人力資源管理系統、帳單系統，與其他系統。

http://synergytek.com.tw/blog/wp-content/uploads/2010/07/patentcase1.png


身分識別系統整合

• 資料安全及人員管理，自動化身分識別整合 • 可整合AD、LDAP、資料庫、CMDB

Deny tcp src inside:10.8.8.198/62113 dst outside:61.247.48.214/80 by access-group

"inside_access_in" [0x0, 0x0]


內建設備安全管理規則

• 可自動化即時安全監控與分析 • 自動化安全行為學習


資料安全稽核機制

• 內建資料安全稽核機制，提供即時監控稽核 • 即時監控與報表皆可自動化執行合規程序


內建網路黑白名單機制

• 內建網路黑白名單（IP、Host、URL）、弱點資訊 • 網際網路黑名單與最新弱點資訊，透過訂閱保持更新


應變措施專家建議

• 內建弱點評估報告功能 • 提供個資安全小組威脅應變措施與建議


個資管理系統維運

• 維運模式可分為三大類

自行維運 1

以專案方式進行個資管理系統建置，建置結束之後由客戶自行

維運個資管理系統。

2 協同維運

以專案方式進行個資管理系統建置，建置結束之後由服務提供商

與客戶共同進行個資管理系統維運。

委外維運 3

客戶不進行個資管理系統建置，利用服務提供商已建置好的個資

管理系統提供服務，將客戶界定之個人資料範圍，進行日誌軌跡

收集、分析、法規遵循等。


架構佈署說明


解架構佈署《基本型》

• 一部個資管理系統PIMS • 中小型企業架構適用

一部個資管理系統由

三大可延展原件組成

日誌軌跡採集器

關聯分析引擎

報表引擎

1 基本型：僅需一部PIMS設備，已內建三大元件


解架構佈署《分散運算》

• 一部主要個資管理系統PIMS • 加上分散式的引擎元件進行聯合運算

主要個資管理系統 PIMS

分散運算（一）：一部主PIMS設備，另加三大元件可分散運算

2

日誌軌跡採集器關聯分析引擎報表引擎


解架構佈署《分散運算》

• 多部主要個資管理系統PIMS • 適合中、大型組織

分散運算（二）：可以將多部個 PIMS 設備進行堆疊，聯合操作

3

• 日誌軌跡紀錄分類保存，效能處理亦可分散

• 在單一管理介面，跨設備聯合搜尋與報表

附註：堆疊中的每部PIMS設備，還可以各自三大元件再拆開再分散運算


解架構佈署《複合型》

• 多部主要個資管理系統PIMS • 適合中、大型組織

組織階層管理設計，各層級做好個資管理，逐層通報機制，達成個資法規遵循。 4

台中

台南

高雄

台北總部

個資小組


http://www.zerone.com.tw/

http://ipartner.zerone.com.tw/

零壹科技個人資料管理系統 (PIMS) WorkShop

Technology

Transcript of 零壹科技個人資料管理系統 (PIMS) WorkShop

零壹科技 個人資料管理系統 (PIMS) WorkShop

Technology

Transcript of 零壹科技 個人資料管理系統 (PIMS) WorkShop

零壹科技個人資料管理系統 (PIMS) WorkShop

Transcript of 零壹科技個人資料管理系統 (PIMS) WorkShop