Transcript 資訊安全宣導教育
新進人員
資訊安全宣導
大綱
•
•
•
•
•
•
•
•
•
•
資訊安全政策
資訊安全目標
資通安全會報組織架構
年度資安各項活動
社交工程演練
資安認知教育訓練
個資法
院內及國內外資安事件案例
各項防範作業
結語
資訊安全政策
• 本室96年導入ISMS (Information Security
Management System) - ISO27001:2005,定
期接受SGS外部稽核複查
• 依據各項要求,建立本院安全及可信賴之
電子作業環境,使本院能有效達成及管理
各項資訊安全作為,並透過籌劃、管理、
稽核及追蹤等手段,確保能達成各項資訊
安全政策目標
資訊安全目標
• 防範本院業務運作遭受資訊安全事件之影響
• 確保主機資料庫與相關應用系統正確執行
• 資料處理符合業務單位之需求,保存及取用
管控完善,確保病患隱私得到適當保護
• 確保本院電腦機房、網站及網路安全
資通安全會報組織架構
召集人
副召集人
執行秘書
台南分院副院長
屏東分院副院長
內科部主任
外科部主任
急診部主任
護理部主任
教學研究部主任
藥劑部主任
放射線部主任
醫務企管室主任
人事室主任
會計室主任
總務室主任
工務室主任
補給室主任
政風室主任
社工室主任
資
訊
資
料
小
組
病
人
資
料
小
組
員
工
資
料
小
組
危
機
處
理
小
組
安
全
預
防
小
組
資
安
稽
核
小
組
由主任秘書督導業務
由資訊室主任督導業務
個
資
資
保
護
訊
安
全
年度各項資安活動
•
•
•
•
•
•
•
•
•
資通安全小組會議(上、下半年各一次)
資通安全會報會議(上、下半年各一次)
資安內部稽核(上、下半年各一次)
SGS外部稽核(上、下半年各一次)
資安風險評鑑小組暨資產風險評鑑作業(一年一次)
同仁資安教育訓練(一年一次)
資安巡迴宣導
行政院、輔導會資安通報及攻防演練
……..
年度各項資安活動
日期
項目
說明
半年一次
社交工程演練
郵件安全測試
一年一次
資安認知教育訓練
個資法暨各項防範作業
社交工程演練
• 執行單位:本院資訊室
• 演練對象:本院全體員工之個人公務電子信箱
• 演練時間:上下半年各一次以無預警方式舉辦
• 未通過演練:點閱郵件或開啟郵件內「連結網址
」或「附件檔」
• Mail2000電子郵件及Outlook 2003預覽功能已關
閉(Outlook Express需手動關閉)
資安認知教育訓練
• 執行單位:本院資訊室
• 執行時間:一年一次
• 對象:本院全體員工
• 學習方式:採數位課程方式進行
個資法
個資法屬普通法,醫療法為特別法,特別法優於普通法。本院可依法蒐集病歷資料
個資法
資訊室
12
個資法後 不可不注意
一、個資蒐集單位應以最小蒐集原則,不應沿習過去慣例全部蒐集,
二、個資利用單位也不應抱持來函照登的心態,即便有公告需要也
應事先做去識別化的處理
本院因應個資法作為
• 101下半年資通安全會報決議取消個資個護
分組,另成立「員工資料小組」、「病人資
料小組」、「資訊資料小組」,由主任秘書
督導各項業務推動
• 依據個資法施行細則安全維護措施制定本院
個資安全維護管理規定
本院因應個資法作為
• 101年12月24日頒訂本院個資安全維護管理規定(院內資安專區)
• 個資保護原則與範圍: 以電子或紙本方式製作及貯存之個人資料
本院因應個資法作為
• 保管之個人資料若有疑似被竊取、洩漏、竄改、毀損、
滅失或其他侵害情事者,應依循本院ISO9001 之「醫院異
常事件通報管理作業」辦理(個資疑似外洩通報)
本院因應個資法作為
• 辦理個資法教育訓練
• 清查資訊室負責掌管與個人資料保護有關電腦的檔
案資料
• 個人資料調查表填表說明會
• 本院網站「政府資訊公開專區」(法規及行政規則)
公告本院保有 及管理個人資料公開項目彙整表
•
………
個資法案例宣導
屏東縣政府縣立殯葬專區開發計畫環境影響說明書
01/07/2013
附件含有100多人的身
分證字號、電話、地址
等個資,未經去識別化
就上傳到環保署網站供
人查詢瀏覽
屏東縣縣長、民政處長
、環保局長等三人被屏
東縣環保團體控告違反
個人資料保護法,並求
償新台幣兩百萬元。
院內資安事件1
•
•
時間:民國99年6月
案由:
•
預防方式:
某院內員工習慣將公文之電子檔案攜至家中電腦
辦公並儲存。其中某一機密資料遭國安局查出有
疑似外洩之虞。如家中電腦遭駭客植入後門程
式,將致長期大量經手之機密文書外洩,損害政
府機關形象。
•
•
•
公務機密資料攜出應依程序辦理。(依國家機密保護法規
定:公務機密資料攜出辦公處所,應經機關首長核准)
家中電腦之使用較缺乏定期更新軟體與防毒程式之習慣,
應妥善設定自動更新機制,以防範病毒入侵
家中電腦連線上網時通常沒有防火牆保護,應加裝個人電
腦防火牆,以降低遭入侵之機率
院內資安事件2
•
•
•
時間:民國100年8月
案由:
某科室因該科室儀器維護商未加強電腦
管理而導致電腦中毒攻擊儀器主機
預防方式:
– 依規定安裝本院防毒軟體。
– 定期更新作業系統修正程式。
– 養好良好電腦使用習慣
國內外資安事件(2012/12)
惡意郵件與新聞零時差
偽造退職所得稅新聞稿內藏木馬
針對所有word版本,包括2003, 2007,2010都會
2013資安預測
• APT(Advanced Persistent Threat)社交工程攻擊
有心人士精心設計,針對 政府、軍事、外交、政
治、經濟 利益相關敏感對象進行針對性入侵攻擊
• 大量行動裝置攻擊
利用行動定位服務設計出針對性的地理定位社交
工程攻擊
• USB病毒大量感染
社交工程和偽防毒將繼續猖獗
APT
如何防範 - 本院資安網站(ISMS)
員工專區
>>資安專區
如何防範 – 定期執行掃毒
工具列(右下角)之掃毒圖示
執行
如何防範 – 個人防駭13招
•
•
•
•
•
•
•
•
•
•
•
•
•
定期更新安全軟體
定期更新作業系統與應用程式安全更新
封貼 / 關閉視訊鏡頭
電腦、手機拒絕下載不明軟體
拒絕功能閹割或盜版軟體
拒絕簡單、一成不變的密碼
使用至少八個混合性的符號
避免在不同的網站使用相同的帳號與密碼組合
網購的信用卡設最高金額限制
請直接鑿壞要丟的硬碟
無線網路要設密碼
刪除檔案不是丟到資源回收筒就可以
勿透過電子郵件所附連結傳送個人機密資訊
不要使用P2P檔案分享功能
在網路填寫資料,盡量不要留全名或完整資料
如何防範 – 2012最爛密碼
password蟬聯冠軍
如何防範 – 網安掛馬
安全網站:
http://www.google.com.tw/safebrowsing/diagnostic?site=網域名稱
www.vghks.gov.tw
如何防範 – 網安掛馬
網頁信譽評等服務(Web Reputation Services ):(請從官方網站
下載)
McAfee SiteAdvisor
TrendMicro WTP Add-on
BlueCoat K9 Web Protection WOT Web of Trust
如何防範 –電子郵件(寄送)
如何防範 –電子郵件(寄送)
如何防範 –電子郵件(寄送)
如何防範 –社交工程(電子郵件-收取)
使用電子郵件應有的警覺性觀念
我為何會收到這封郵件?
我是不是應該收到這封郵件?
我是不是有必要開啟附件或點選連結?
如何防範 –電子郵件(OLE)
“檢視”
=> “版面配置”
如何防範 –電子郵件(OL 2003)
“檢視”
=> “讀取窗格”
如何防範 –電子郵件(OL 2003)
“檢視”
=> “自動預覽”
如何防範 - 下載App小提醒
如何防範 – USB病毒
• 提昇為雲端防毒伺服器服務(OfficeScan 10),可
即時偵測最新病毒進行攔阻
• 無法自動執行autorun.inf
• 無法直接執行.exe檔
如何防範 – USB病毒
•
•
•
•
•
•
•
•
建立autorun.inf資料夾
安裝防毒軟體並定期更新病毒碼
使用隨身碟,先將隨身碟切至防寫模式
安裝自動偵測隨身碟「Wow!USB Protector」偵測程式
關閉自動播放(AutoPlay)功能
使用安全方式開啟隨身碟
不隨便使用未知的隨身碟裝置
使用加密軟體保密隨身碟資料安全
如何防範 –Autorun.inf製作
右鍵唯讀
右鍵新增
如何防範 – USB病毒
管理者介面
自動掃描隨身碟,並供
使用者選擇處理方式
結語
•
•
•
•
•
不開啟來路不明附檔
勤做作業系統漏洞修補
密碼定期更換,使用安全密碼
養成電腦網路良好使用習慣
資訊安全,人人有責