Transcript 資訊安全宣導教育
新進人員 資訊安全宣導 大綱 • • • • • • • • • • 資訊安全政策 資訊安全目標 資通安全會報組織架構 年度資安各項活動 社交工程演練 資安認知教育訓練 個資法 院內及國內外資安事件案例 各項防範作業 結語 資訊安全政策 • 本室96年導入ISMS (Information Security Management System) - ISO27001:2005,定 期接受SGS外部稽核複查 • 依據各項要求,建立本院安全及可信賴之 電子作業環境,使本院能有效達成及管理 各項資訊安全作為,並透過籌劃、管理、 稽核及追蹤等手段,確保能達成各項資訊 安全政策目標 資訊安全目標 • 防範本院業務運作遭受資訊安全事件之影響 • 確保主機資料庫與相關應用系統正確執行 • 資料處理符合業務單位之需求,保存及取用 管控完善,確保病患隱私得到適當保護 • 確保本院電腦機房、網站及網路安全 資通安全會報組織架構 召集人 副召集人 執行秘書 台南分院副院長 屏東分院副院長 內科部主任 外科部主任 急診部主任 護理部主任 教學研究部主任 藥劑部主任 放射線部主任 醫務企管室主任 人事室主任 會計室主任 總務室主任 工務室主任 補給室主任 政風室主任 社工室主任 資 訊 資 料 小 組 病 人 資 料 小 組 員 工 資 料 小 組 危 機 處 理 小 組 安 全 預 防 小 組 資 安 稽 核 小 組 由主任秘書督導業務 由資訊室主任督導業務 個 資 資 保 護 訊 安 全 年度各項資安活動 • • • • • • • • • 資通安全小組會議(上、下半年各一次) 資通安全會報會議(上、下半年各一次) 資安內部稽核(上、下半年各一次) SGS外部稽核(上、下半年各一次) 資安風險評鑑小組暨資產風險評鑑作業(一年一次) 同仁資安教育訓練(一年一次) 資安巡迴宣導 行政院、輔導會資安通報及攻防演練 …….. 年度各項資安活動 日期 項目 說明 半年一次 社交工程演練 郵件安全測試 一年一次 資安認知教育訓練 個資法暨各項防範作業 社交工程演練 • 執行單位:本院資訊室 • 演練對象:本院全體員工之個人公務電子信箱 • 演練時間:上下半年各一次以無預警方式舉辦 • 未通過演練:點閱郵件或開啟郵件內「連結網址 」或「附件檔」 • Mail2000電子郵件及Outlook 2003預覽功能已關 閉(Outlook Express需手動關閉) 資安認知教育訓練 • 執行單位:本院資訊室 • 執行時間:一年一次 • 對象:本院全體員工 • 學習方式:採數位課程方式進行 個資法 個資法屬普通法,醫療法為特別法,特別法優於普通法。本院可依法蒐集病歷資料 個資法 資訊室 12 個資法後 不可不注意 一、個資蒐集單位應以最小蒐集原則,不應沿習過去慣例全部蒐集, 二、個資利用單位也不應抱持來函照登的心態,即便有公告需要也 應事先做去識別化的處理 本院因應個資法作為 • 101下半年資通安全會報決議取消個資個護 分組,另成立「員工資料小組」、「病人資 料小組」、「資訊資料小組」,由主任秘書 督導各項業務推動 • 依據個資法施行細則安全維護措施制定本院 個資安全維護管理規定 本院因應個資法作為 • 101年12月24日頒訂本院個資安全維護管理規定(院內資安專區) • 個資保護原則與範圍: 以電子或紙本方式製作及貯存之個人資料 本院因應個資法作為 • 保管之個人資料若有疑似被竊取、洩漏、竄改、毀損、 滅失或其他侵害情事者,應依循本院ISO9001 之「醫院異 常事件通報管理作業」辦理(個資疑似外洩通報) 本院因應個資法作為 • 辦理個資法教育訓練 • 清查資訊室負責掌管與個人資料保護有關電腦的檔 案資料 • 個人資料調查表填表說明會 • 本院網站「政府資訊公開專區」(法規及行政規則) 公告本院保有 及管理個人資料公開項目彙整表 • ……… 個資法案例宣導 屏東縣政府縣立殯葬專區開發計畫環境影響說明書 01/07/2013 附件含有100多人的身 分證字號、電話、地址 等個資,未經去識別化 就上傳到環保署網站供 人查詢瀏覽 屏東縣縣長、民政處長 、環保局長等三人被屏 東縣環保團體控告違反 個人資料保護法,並求 償新台幣兩百萬元。 院內資安事件1 • • 時間:民國99年6月 案由: • 預防方式: 某院內員工習慣將公文之電子檔案攜至家中電腦 辦公並儲存。其中某一機密資料遭國安局查出有 疑似外洩之虞。如家中電腦遭駭客植入後門程 式,將致長期大量經手之機密文書外洩,損害政 府機關形象。 • • • 公務機密資料攜出應依程序辦理。(依國家機密保護法規 定:公務機密資料攜出辦公處所,應經機關首長核准) 家中電腦之使用較缺乏定期更新軟體與防毒程式之習慣, 應妥善設定自動更新機制,以防範病毒入侵 家中電腦連線上網時通常沒有防火牆保護,應加裝個人電 腦防火牆,以降低遭入侵之機率 院內資安事件2 • • • 時間:民國100年8月 案由: 某科室因該科室儀器維護商未加強電腦 管理而導致電腦中毒攻擊儀器主機 預防方式: – 依規定安裝本院防毒軟體。 – 定期更新作業系統修正程式。 – 養好良好電腦使用習慣 國內外資安事件(2012/12) 惡意郵件與新聞零時差 偽造退職所得稅新聞稿內藏木馬 針對所有word版本,包括2003, 2007,2010都會 2013資安預測 • APT(Advanced Persistent Threat)社交工程攻擊 有心人士精心設計,針對 政府、軍事、外交、政 治、經濟 利益相關敏感對象進行針對性入侵攻擊 • 大量行動裝置攻擊 利用行動定位服務設計出針對性的地理定位社交 工程攻擊 • USB病毒大量感染 社交工程和偽防毒將繼續猖獗 APT 如何防範 - 本院資安網站(ISMS) 員工專區 >>資安專區 如何防範 – 定期執行掃毒 工具列(右下角)之掃毒圖示 執行 如何防範 – 個人防駭13招 • • • • • • • • • • • • • 定期更新安全軟體 定期更新作業系統與應用程式安全更新 封貼 / 關閉視訊鏡頭 電腦、手機拒絕下載不明軟體 拒絕功能閹割或盜版軟體 拒絕簡單、一成不變的密碼 使用至少八個混合性的符號 避免在不同的網站使用相同的帳號與密碼組合 網購的信用卡設最高金額限制 請直接鑿壞要丟的硬碟 無線網路要設密碼 刪除檔案不是丟到資源回收筒就可以 勿透過電子郵件所附連結傳送個人機密資訊 不要使用P2P檔案分享功能 在網路填寫資料,盡量不要留全名或完整資料 如何防範 – 2012最爛密碼 password蟬聯冠軍 如何防範 – 網安掛馬 安全網站: http://www.google.com.tw/safebrowsing/diagnostic?site=網域名稱 www.vghks.gov.tw 如何防範 – 網安掛馬 網頁信譽評等服務(Web Reputation Services ):(請從官方網站 下載) McAfee SiteAdvisor TrendMicro WTP Add-on BlueCoat K9 Web Protection WOT Web of Trust 如何防範 –電子郵件(寄送) 如何防範 –電子郵件(寄送) 如何防範 –電子郵件(寄送) 如何防範 –社交工程(電子郵件-收取) 使用電子郵件應有的警覺性觀念 我為何會收到這封郵件? 我是不是應該收到這封郵件? 我是不是有必要開啟附件或點選連結? 如何防範 –電子郵件(OLE) “檢視” => “版面配置” 如何防範 –電子郵件(OL 2003) “檢視” => “讀取窗格” 如何防範 –電子郵件(OL 2003) “檢視” => “自動預覽” 如何防範 - 下載App小提醒 如何防範 – USB病毒 • 提昇為雲端防毒伺服器服務(OfficeScan 10),可 即時偵測最新病毒進行攔阻 • 無法自動執行autorun.inf • 無法直接執行.exe檔 如何防範 – USB病毒 • • • • • • • • 建立autorun.inf資料夾 安裝防毒軟體並定期更新病毒碼 使用隨身碟,先將隨身碟切至防寫模式 安裝自動偵測隨身碟「Wow!USB Protector」偵測程式 關閉自動播放(AutoPlay)功能 使用安全方式開啟隨身碟 不隨便使用未知的隨身碟裝置 使用加密軟體保密隨身碟資料安全 如何防範 –Autorun.inf製作 右鍵唯讀 右鍵新增 如何防範 – USB病毒 管理者介面 自動掃描隨身碟,並供 使用者選擇處理方式 結語 • • • • • 不開啟來路不明附檔 勤做作業系統漏洞修補 密碼定期更換,使用安全密碼 養成電腦網路良好使用習慣 資訊安全,人人有責