風險評鑑教育訓練 - ntut.edu.tw · 2019. 2. 19. · 風險評鑑教育訓練...
Transcript of 風險評鑑教育訓練 - ntut.edu.tw · 2019. 2. 19. · 風險評鑑教育訓練...
風險評鑑教育訓練
NII產業發展協進會
專業講師群
財團法人中華民國國家資訊基本建設產業發展協進會
簡報內容僅供參考,並非任何法律意見,請斟酌使用。 簡報智財權歸屬於NIIEPA。
課程大綱
隱私衝擊分析
風險評鑑作業
風險管理作業
2
風險評鑑與處理程序
3
個資衝擊分析
衝擊分析報告
風險值計算
個資資產鑑別
擬訂風險處理計畫
執行風險處理計畫
評估風險處理計畫
執行成效
決定可接受風險等級
風險評鑑程序 風險處理程序
風險分析
風險評鑑報告
隱私衝擊分析
風險評鑑作業
風險處理作業
課程大綱
隱私衝擊分析
風險評鑑作業
風險管理作業
4
風險評鑑與處理程序
5
個資衝擊分析
衝擊分析報告
風險值計算
個資資產鑑別
擬訂風險處理計畫
執行風險處理計畫
評估風險處理計畫
執行成效
決定可接受風險等級
風險評鑑程序 風險處理程序
風險分析
風險評鑑報告
隱私衝擊分析
蒐集 處理 利用
6
權責單位確認: 1. 個資流程 2. 個資評估值
核心考量: 保護當事人(自然人)的個人資料
責任歸屬: 1. 識別並制定個資的可歸責性 2. 清楚呈現各參與者的責任。
決策考量: 提供資訊,決定資源投入
隱私衝擊分析
隱私衝擊分析中重要活動有:
流程∕活動列表分析。
識別各項流程/活動之負責部門。
各活動存取個資之範圍。
各活動存取個資之存取方式。
各活動安全性之控制目標。
各活動現行控制措施之有效性。
7
8 8
隱私衝擊分析
資 產 編 號
流程 名稱
個 人 資 料 檔 案 名 稱
資料形式
數 量
法 律 依 據
特 定 目 的
個 人 資 料 類 別
個 人 資 料 之 範 圍
是 否 有 特 種 資 料 ?
蒐集
處理
利用
現有 控制
個資範圍評估值
來源
方式
單位
方 式
單 位
保存 銷毀
期 間
地 區
對 象
方 式
揭露
保 有 單 位
保 存 期 限
銷 毀 形 式
銷 毀 頻 率
揭露 對象
揭露 方式
揭露 個資範圍
個 人 資 料 資 產 編 號
業務流程名稱
個 人 資 料 表 單 或 檔 案 名 稱
電子或文件
一 年 的 數 量 、 總 數 量
依 據 法 令 法 規 ︵ § 8 ︶
個 人 資 料 保 護 法 之 特 定 目 的
個 人 資 料 保 護 法 之 資 料 類 別
姓名國民身分證統一編號、職業、聯絡方式(地址、電話地址)
有 無
個資蒐集來源︵ 當事人或校外機關
(購)︶
個資蒐集方式 ︵ 直接 、間接 ︶
個資蒐集單位
個 資 處 理 方 式
個 資 處 理 單 位
個 資 保 存 單 位
個 資 保 存 期 限
個 資 銷 毀 方 式
個 資 銷 毀 頻 率
個 資 利 用 的 期 間
台灣或是國外
個資利用對象
個資利用之方式及目的
個資揭露對象
個資揭露方式與目的
個資揭露的範圍
對個資之現有保護
3
隱私衝擊分析
以個資法之要求對組織個資作業之衝擊進行評估
分析,設定評估等級標準,如:
9
衝擊影響 程度
個人資料範圍
極高(4) 符合下列一項: 1. 含自然人之姓名及特種個人資料。 2. 含國民身分證統一編號 (或護照號碼) 及特種個人資料。
高度(3)
符合下列一項:
含國民身分證統一編號(或護照號碼)及其他個人資料。
含自然人之姓名及財務情況(如:帳號)。
中度(2) 含自然人之姓名及其他個人資料 ,但不包含國民身分證統一編號、財務情況或特種資料。
一般(1)
符合下列一項: 1. 屬於保管單位,且不接觸個人資料。 2. 兩項其他個人資料(含)以上,但不包含姓名、國民身分證統一編號、財務情況或特種資料。
10 10
隱私衝擊分析
資 產 編 號
流程 名稱
個 人 資 料 檔 案 名 稱
資料形式
數 量
法 律 依 據
特 定 目 的
個 人 資 料 類 別
個 人 資 料 之 範 圍
是 否 有 特 種 資 料 ?
蒐集
處理
利用
現有 控制
個資範圍評估值
來源
方式
單位
方 式
單 位
保存 銷毀
期 間
地 區
對 象
方 式
揭露
保 有 單 位
保 存 期 限
銷 毀 形 式
銷 毀 頻 率
揭露 對象
揭露 方式
揭露 個資範圍
個 人 資 料 資 產 編 號
業務流程名稱
個 人 資 料 表 單 或 檔 案 名 稱
電子或文件
一 年 的 數 量 、 總 數 量
依 據 法 令 法 規 ︵ § 8 ︶
個 人 資 料 保 護 法 之 特 定 目 的
個 人 資 料 保 護 法 之 資 料 類 別
姓名國民身分證統一編號、職業、聯絡方式(地址、電話地址)
有 無
個資蒐集來源︵ 當事人或校外機關
(購)︶
個資蒐集方式 ︵ 直接 、間接 ︶
個資蒐集單位
個 資 處 理 方 式
個 資 處 理 單 位
個 資 保 存 單 位
個 資 保 存 期 限
個 資 銷 毀 方 式
個 資 銷 毀 頻 率
個 資 利 用 的 期 間
台灣或是國外
個資利用對象
個資利用之方式及目的
個資揭露對象
個資揭露方式與目的
個資揭露的範圍
對個資之現有保護
3
個人資料範圍:
姓名、國民身分證統一編號、職業、聯絡方式
個資範圍評估值:
3
個資隱私流程衝擊價值 - 範例1
11
個人資料 檔案名稱
資料 形式
個人資料之範圍 衝擊值
個人生活 津貼資料
電子 姓名、身分證、職稱、官職等、俸點、俸額、戶籍地址、眷屬人事資料、就學資料(結婚補助、生育補助、子女教育補助、眷屬喪葬補助之當事人)。
3
個人人事資料 文件 姓名、身分證、性別、出生日期、通訊處及電話、學歷、考試、外國語文、訓練進修、家屬、兵役、教師資格、身心障礙及原住民註記、經歷及現職、獎懲、考績
4
人員健保名冊 電子 姓名、身分證、性別、出生日期、俸級、家屬、身心障礙及原住民註記
4
廠商通訊錄 文件 姓名、聯絡方式
2
個資隱私流程衝擊價值 - 範例2
流程名稱:辦理各項審查會議
流程:上網搜尋委員的聯絡資料,建立審查委員聯絡表(姓名、任職單
位、專長、e - mail、地址、電話)→逐一聯繫邀約,直至委員名單確認
(每案約3位)→召開會議或採書面審查→發給委員出席費或審查費(
付款時需蒐集受款人的姓名、身分證字號、戶籍地址、聯絡電話)
12
個人資料檔案名稱 資料形式 個人資料之範圍 衝擊值
審查委員名單 紙本 姓名、任職單位、專長、e - mail、地址、電話
2
簽到表_xx審查會議 紙本 姓名、任職單位 2
出席費領據 紙本 姓名、身分證字號、戶籍地址、聯絡電話 3
審查費領據 紙本 姓名、身分證字號、戶籍地址、聯絡電話 3
課程大綱
隱私衝擊分析
風險評鑑作業
風險管理作業
13
何謂風險
風險是對目標不確定性的效應
效應指結果與預期不同,可能是正面或負面。
風險管理是識別、評估風險,並將這種風險減小
到一個可以接受的程度
物理損壞。
人為錯誤。
設備故障。
內部和外部攻擊。
資訊誤用。
資料遺失。
應用程式出錯。
14
風險評鑑及風險管理所帶來的效益
Identify assets 識別資產– 我需要保護什麼?
Identify threats 識別威脅–我需要採取何種對策?
Calculating risks 計算風險–需要多少時間、人力、或
成本來保護重要資產?
15
財務資源
員工
競爭資料
實體資源
執行業務
聲譽
法務
風險緣由與事件
16
•定義:可能導致風險的要項
•天然災害:颱風、地震、水災及停電等
•地震可能威脅到個資資產的可用性及完整性。
•人為因素:非法存取資料、偷竊及竄改資料等
•偷竊可能威脅到個資資產的可用性及機密性。
風險緣由
•定義:所發生的變動或特定情況
• 常見事件:
• 不熟悉法令法規及內部規範。
• 個人資料被竊取、竄改、毀損、滅失或洩漏。
• 儲存媒介之不當存取。
• 誤用資料。
事件
常以風險緣由、事件,互相搭配描述,何謂[風險]
風險緣由、事件與風險的關係(例)
工程師在更新網站時,不小心將活動投保清單放
到網站的下載檔案區裡~
個資檔案
風險緣由
事件
風險
活動投保清單
工程師操作失誤
個資外洩
組織賠償損失、法律責任
風險評鑑與處理程序
18
個資衝擊分析
衝擊分析報告
風險值計算
個資資產鑑別
擬訂風險處理計畫
執行風險處理計畫
評估風險處理計畫
執行成效
決定可接受風險等級
風險評鑑程序 風險處理程序
風險分析
風險評鑑報告
風險評鑑與處理程序
19
個資衝擊分析
衝擊分析報告
風險值計算
個資資產鑑別
風險評鑑程序
風險分析
風險評鑑報告
風險評鑑 可能會造成組織損失的事件,並加以評估的過程。
風險分析
理解風險的本質並決定風險等級的過程。
(定性分析、定量分析)
風險分析方式
定量分析
試圖去分配獨立的數量化價值物件(例如財務價
值)作為風險評鑑的要素及潛在損失的評估。
當全部要素(個資評估值、影響、威脅頻率、防護效果
、防護成本、不確定性及可能性)是定量化處理,則表
示完全定量的考慮。
定性分析
以情節為導向。
個資評估值、風險緣由及事件的重要等級。
20
風險分析實務
組織執行的方式
由評鑑人員進行專業判斷(主觀判斷)。
以會議的方式進行討論(較為客觀)。
顧問常用的方式:
觀察 - 觀察實體環境、作業流程。
訪談 - 詢問資訊資產負責人或管理人。
檢視 - 相關文件(事件的報告、系統稽核及安全檢查的結果)。
測試及驗證 - 針對控制或作業的程序及結果進行正確性確認。
問卷 - 透過問卷瞭解眾人的意向。
其他 - 外部安全事故的經驗、資訊安全事件通報、資訊安全相關
論壇。
(以ISO 27005、ISO 31000為基礎)
21
風險評鑑工具 – 威脅弱點評估表
威脅及弱點評估表
22
23 23
風險評鑑工具 – 個人資料檔案清冊
資 產 編 號
流程 名稱
個 人 資 料 檔 案 名 稱
資料形式
數 量
法 律 依 據
特 定 目 的
個 人 資 料 類 別
個 人 資 料 之 範 圍
是 否 有 特 種 資 料 ?
蒐集
處理
利用
現有 控制
個資範圍評估值
來源
方式
單位
方 式
單 位
保存 銷毀
期 間
地 區
對 象
方 式
揭露
保 有 單 位
保 存 期 限
銷 毀 形 式
銷 毀 頻 率
揭露 對象
揭露 方式
揭露 個資範圍
個 人 資 料 資 產 編 號
業務流程名稱
個 人 資 料 表 單 或 檔 案 名 稱
電子或文件
一 年 的 數 量 、 總 數 量
依 據 法 令 法 規 ︵ § 8 ︶
個 人 資 料 保 護 法 之 特 定 目 的
個 人 資 料 保 護 法 之 資 料 類 別
姓名國民身分證統一編號、職業、聯絡方式(地址、電話地址)
有 無
個資蒐集來源︵ 當事人或校外機關
(購)︶
個資蒐集方式 ︵ 直接 、間接 ︶
個資蒐集單位
個 資 處 理 方 式
個 資 處 理 單 位
個 資 保 存 單 位
個 資 保 存 期 限
個 資 銷 毀 方 式
個 資 銷 毀 頻 率
個 資 利 用 的 期 間
台灣或是國外
個資利用對象
個資利用之方式及目的
個資揭露對象
個資揭露方式與目的
個資揭露的範圍
對個資之現有保護
3
個資範圍評估值:
3
風險值的計算
風險之定義與評估
風險值 = 個資評估值 ×(構面值1+構面值2)
24
評估構面 – 衝擊影響
25
個資法第28條: 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新台幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新台幣二億元為限。但因該原因事實所涉利益超過新台幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新台幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
個資評估值
個資評估值以個資範圍,設定評估等級標準
26
評估值 說明
極高(4)
符合下列一項: • 含自然人之姓名及特種個人資料。 • 含國民身分證統一編號 (或護照號碼) 及特種個人資料。
高度(3)
符合下列一項: • 含國民身分證統一編號(或護照號碼)及其他個人資料。 • 含自然人之姓名及財務情況(如:帳號)。
中度(2) • 含自然人之姓名及其他個人資料 ,但不包含國民身分證統一編
號、財務情況或特種資料。
一般(1)
符合下列一項: • 屬於保管單位,但不接觸個人資料。 • 兩項其他個人資料(含)以上,但不包含姓名、國民身分證統一編
號、財務情況或特種資料。
構面值 - 衝擊影響
衝擊影響以個資數量、可能受法院判罰金額,設定評估等級標準
27
衝擊影響 說明
極高(4) • 個資保管數量逾5萬筆,若全數外洩或處理不當,受判罰逾2億元。
高度(3)
符合下列一項:
• 個資保管數量5千筆-5萬筆以內,若全數外洩或處理不當,受判罰逾1億元,2億元(含)以下。
• 個資保管數量逾5萬筆,有進行安全管控,且無發生過個資事件。
中度(2)
符合下列一項: • 個資保管數量501-5千筆以內,若全數外洩或處理不當,受判罰逾1,000
萬元,1億元(含)以下。
• 個資保管數量5千筆-5萬筆以內,有進行安全管控,且無發生過個資事件。
一般(1) 符合下列一項: • 個資保管數量5百筆以內,若全數外洩,受判罰金額1,000萬元(含)以下。• 個資保管數量501-5千筆以內,有進行安全管控,且無發生過個資事件。
構面值 – 可能性
可能性以安全管控程序、是否落實,設定評估等級標準
28
可能性 說明
極高(4) • 未建立安全控管程序及相關文件,亦無任何安全控管。
高度(3) • 已建立安全控管程序及相關文件,未實施安全控管。
中度(2) • 未建立安全控管程序及相關文件,已實施安全控管。
一般(1) • 已建立安全控管程序及相關文件,已落實。
風險分析(例)
威脅及弱點評估表
29
資料週期 風險緣由 事件 衝擊影響 可能性 不適用 風險值
全階段 教育訓練不足 不熟悉法令法規及內部規範
蒐集 未告知個資法要求應告知事項
未遵循法令法規
處理 未訂定保存期限 個人資料被竊取、竄改、毀損、滅失或洩漏
利用 傳輸過程未有適當之加密或保護
個人資料被竊取、竄改、毀損、滅失或洩漏
因舉辦參訪活動,需辦理學生平安保險業務,委託趴趴走保險公司辦理保險。
該保險公司已是長期合作廠商,請學校以EXCEL電子檔彙整學生姓名、身分證號、出生年月日等資訊,辦理保險。承辦單位提供簡單的三欄便條紙請學生填寫資料,彙整成電子檔(學生保險清冊.xls)後,交給保險公司。
風險分析(例)
威脅及弱點評估表
30
資料週期 風險緣由 事件 衝擊影響 可能性 不適用 風險值
全階段 教育訓練不足 不熟悉法令法規及內部規範
2 1
蒐集 未告知個資法要求應告知事項
未遵循法令法規 2
處理 未訂定保存期限 個人資料被竊取、竄改、毀損、滅失或洩漏
2
利用 傳輸過程未有適當之加密或保護
個人資料被竊取、竄改、毀損、滅失或洩漏
1
• 有規定須進行個人資料保護宣導
• 本年度已進行宣導
學生保險清冊.xls • 蒐集505筆學生資料 • 實際只有490位學生提供給保險公司
風險分析(例)
威脅及弱點評估表
31
資料週期 風險緣由 事件 衝擊影響 可能性 不適用 風險值
全階段 教育訓練不足 不熟悉法令法規及內部規範
2
蒐集 未告知個資法要求應告知事項
未遵循法令法規 2 3
處理 未訂定保存期限 個人資料被竊取、竄改、毀損、滅失或洩漏
2
利用 傳輸過程未有適當之加密或保護
個人資料被竊取、竄改、毀損、滅失或洩漏
1
• 有個人資料告知事項表單,但這次沒有對學生進行告知事項
學生保險清冊.xls • 蒐集505筆學生資料 • 實際只有490位學生提供給保險公司
風險分析(例)
威脅及弱點評估表
32
資料週期 風險緣由 事件 衝擊影響 可能性 不適用 風險值
全階段 教育訓練不足 不熟悉法令法規及內部規範
2
蒐集 未告知個資法要求應告知事項
未遵循法令法規 2
處理 未訂定保存期限 個人資料被竊取、竄改、毀損、滅失或洩漏
2 3
利用 傳輸過程未有適當之加密或保護
個人資料被竊取、竄改、毀損、滅失或洩漏
1
• 有相關個資保護的程序規範,但沒有訂定保存期限
學生保險清冊.xls • 蒐集505筆學生資料 • 實際只有490位學生提供給保險公司
風險分析(例)
威脅及弱點評估表
33
資料週期 風險緣由 事件 衝擊影響 可能性 不適用 風險值
全階段 教育訓練不足 不熟悉法令法規及內部規範
2
蒐集 未告知個資法要求應告知事項
未遵循法令法規 2
處理 未訂定保存期限 個人資料被竊取、竄改、毀損、滅失或洩漏
2
利用 傳輸過程未有適當之加密或保護
個人資料被竊取、竄改、毀損、滅失或洩漏
1 3
• 有傳送檔案的程序或規範,但Email寄給廠商,沒有加密
學生保險清冊.xls • 蒐集505筆學生資料 • 實際只有490位學生提供給保險公司
課程大綱
隱私衝擊分析
風險評鑑作業
風險處理作業
34
風險評鑑與處理程序
35
擬訂風險處理計畫
執行風險處理計畫
評估風險處理計畫
執行成效
決定可接受風險等級
風險處理程序 風險評估 依風險分析結果,決定風險是否可接受或可容忍的過程。 (決定可接受風險等級)
風險處理 選擇與實施各項控制措施,以降低風險影響程度。 (降低、規避、轉移、接受)
風險評估原則 – 決定可接受風險等級
36
風險不可接受 風險可接受
違法 合法
成本 投入成本低於
風險帶來的損失
投入成本高於
風險帶來的損失
影響 風險發生帶來的損失
無法容忍
風險發生帶來的損失
尚可容忍
。。。
• 風險評估的目的,在於決定何項風險須處理及優先順序。
法令、法規
可接受風險值
決定可接受風險值
資源有限
決定因素
風險嚴重(衝擊)程度(例如:財務、聲譽…)
風險處理急迫性。
可分配的資源(例如:人力、時間、金錢)
決定方式
80/20法則(排序百分比法)
基本統計(平均數、中位數)
高階統計分析(變異與標準差、常態分配)
檢視法。
37
決定可接受風險值
高風險資產之鑑別
風險值超出可接受風險值之資訊資產。
選擇控制措施
若為高於可接受風險值之資產,應選擇適當之控制措
施,產出「風險改善計畫表」說明風險控管措施之執
行辦法。
「風險改善計畫表」應陳報高階主管審核,並列
入追蹤管理程序
38
決定可接受風險值
高於可接受風險值的資產,應依據識別的風險緣
由、事件進行風險處理計畫的擬訂。
新增控制措施,降低衝擊影響或可能性。
將資產的風險值降低至可接受風險值以下。
例外原則:擬訂風險處理計畫時,仍檢視可接受
風險值下的資產,是否仍有較高的潛在風險。
39
可接受風險值 - 實務範例
實務作法:
可接受風險值,需經個資推動小組決議,並記載於會
議紀錄中。
決定可接受風險值時,須優先考慮適法性。
需定期召開會議,並檢視/討論可接受風險值。
可接受風險值,可考量組織環境、作業安全需求等,
適當調整。
風險處理作業
確認、控制及降低安全風險至可接受程度所採取
的程序
風險處理作業
檢視衝擊影響及可能性。
檢視目前使用之控制措施。
加強其他控制措施。
訂定相關個人隱私保護政策及作業程序。
41
風險處理–處理負面風險效應的方式
• 符合組織的政策與
風險接受準則,則
知悉且客觀地接受
風險。
• 參考標準選擇適當
之控制措施以降低
風險。
• 藉由加強各項作業
之內控以降低風險
發生之機會。
• 轉移相關之營運風
險至他者,例如:
承保商、供應商。
• 修改作業方式或採
用技術以避開風險。
• 經由政策或標準以
禁止從事高風險交
易或活動。
規避風險
轉移風險
接受風險
降低風險
42
風險處理的選項 (ISO 31000)
43
決定不開始或不繼續會引起風險的活動以避免風險
與另一個團體或多個團體分擔風險
移除風險緣由
改變可能性
改變結果
藉由有資訊的決定保留風險
承受或增加風險以尋求機會
控制措施說明
預防性控制 藉由「事前」的控制,形成一道屏障來防止特別交易的不當進行或阻止
錯誤的發生。例如:承保前之風險評估、對銷貨客戶之徵信、使用經核准之供應商名單。
偵查性控制 利用某些程序來偵測已發生之錯誤或不當交易。例如:編製銀行
調節表、存貨盤點、與銷貨客戶之定期對帳。
矯正性控制 用來矯正偵查性控制所發現之問題或矯正交易之控制。例如:透
過電腦對採購單之檢核可以偵測到未經核准之供應商號碼,進而追蹤其原因及時修正交易資料或防止向不適當供應商之採購。
補償性控制 用來補償其他控制之不足,使得某些控制弱點不成為問題。例如:未有
足夠之人力執行職能分工時,可透過由客戶或管理階層親自監督來彌補此一控制弱點。
44
控制措施的選擇考量
時效性 控制執行時間及有效期限為何。
人力 每年需要多少工時來監控和維護。
負責執行、監控及維護控制的人員需要接受多少訓練。
必須容易執行,了解對使用者造成多少程度不便。
成本 是否有預算執行這項控制措施。
控制的費用相對於資產價值而言合理嗎? (成本)
控制成本<資產價值<威脅損失。
法規或合約要求 45
風險處理工具 – 風險評鑑彙整表
46
用途: 用以彙整需要處理的風險,及處理後的風險再評鑑。
風險處理工具 – 風險處理計畫表
47
用途: 用以紀錄需要處理的風險,及提出風險處理計畫。
風險處理建議及規劃(例)
經查核發現委外開發的系統,使用及傳輸個人資料的加解密技術有弱點,易造成個人資料不當外洩。 提出需求:提升加解密安全性。
擬訂計畫:
禁止非授權人員接觸與加解密有關的系統及檔案。
制定委外服務安全管理程序,規範管理方式。
制定委外服務廠商安全須知,對委外廠商實施資訊安全宣導,並要求簽署。
修定安全事件處理程序、增訂委外人員事件處理準則,並考量以下事項: 證據保全
合約及法律責任
法務的參與 48
風險處理後
建立評量指標,協助控制目標的達成。
執行內部稽核,確保控制措施的有效性。
當有下列情況時,執行風險評鑑作業。
每年定期執行。
營運組織變更。
作業流程改變。
資產新增或變更。
發生重大個資安全事件。
49
財團法人中華民國國家資訊基本建設產業發展協進會