你知道與資訊安全相關的法律法規有那些?

資訊安全法律

fishk 2008-07-11 12:27:02 ‧ 14375 瀏覽

分享至

響應[無壓力發問], 請大家無壓力回答 ^_^

看更多先前的討論...收起先前的討論...

Patlabor iT邦新手 3 級 ‧ 2008-07-13 09:45:16 檢舉

版大..我看了您的幾個回答覺得版大可能是我需要找尋的高手..不曉得版大該怎麼連絡..
我的介紹裡面有我的email ...如果版大有興趣的話請聯絡我吧..

davistai iT邦大師 1 級 ‧ 2008-07-13 23:33:52 檢舉

不知Patlabor大需要什麼樣的人員?囧...

Patlabor iT邦新手 3 級 ‧ 2008-07-14 22:33:11 檢舉

來各Email 討論一下吧 ..patlaboryu@gmail.com

fishk iT邦大師 1 級 ‧ 2008-07-22 23:40:11 檢舉

有人參與過資訊安全管理系統(ISMS)ISO 27001認證的導入嗎?
如果有應該接受過相關訓練, 也應該可以從其中查詢到相關訊息.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

7 個回答

laulau

iT邦新手 2 級 ‧ 2008-07-29 12:18:45

最佳解答

就IT法規遵從而言，最首要的就是要遵守法律和規章制度，避免觸及社會敏感性及爭議性問題，並保持企業股東的愉悅。這也是企業遵從法規的終極目標。

而法律也是社會對企業營運的最低要求。

此外，IT法規遵從還有另外一個好處。實際上，若忽視了這一益處，IT法規遵從就不能正確地得到實現和維持。這一益處就是，法規遵從會使IT組織變得更加積極、高效而富有戰鬥力，進而通過一系列靈活變更的流程、策略及程序，達到部門對業務的全面控制。

重要資料和業務流程的安全和可靠性，以及隱私權的重視，重視資料外洩所帶來的損失及應付的責任，這些都是企業面臨的問題。

除了企業內部的e化問題，生產IT電子設備的公司，也被政府要求必須更環保，例如歐盟在2005年起，開始推動了WEEE與RoHS，2007年時又生效了EuP，相對地，企業為了確認製造過程對環境影響，勢必需要購買測量污染的儀器設備去檢視與測量，同時也要調整產品製程和生產設備。

法規遵循已經成為企業不可迴避的問題。例如營運的方向往往會受到規範的影響，同時IT採購與導入系統的選擇，以及IT管理的思維，也因這幾年法案的推動改變，使更多企業對特定系統的導入更加積極，來幫助自己實現對法規遵循的控制。例如企業導入BS7799標準，可以有效建構資訊安全防護機制，減少因為安全突發事件而面臨的法律問題。
WEEE 廢電機電子設備指令
RoHS 電子電機設備有害物質限用指令
EuP 能源使用產品指令
HIPAA 醫療保險流通與責任法案
SOX 沙賓法案
日本近年來因大型企業的弊案發生,故參酌美國沙賓法案及考量日本企業的特質,制定所謂的日本沙賓法案(J-SOX)
Basel II 新巴塞爾資本協定
FISMA 聯邦資訊安全管理法案
GLBA 金融服務現代化法案
PCI DSS 支付卡產業資料安全標準
SB 1386 加州資料隱私法案
COPPA 兒童線上隱私保護法案
日本個人情報保護法
服務條款
盜版

國內企業隱私權執行狀況
我國有關個人資料之保護，散見於各個不同之法律：消費者保護法、電腦處理個人資料保護法、金融控股公司法、電子簽章法、電子交易法(正送審中)以及個人電腦銀行業務及網路銀行業務服務契約範本。這些規定或契約範本看似多元，其實彼此之間的相互勾稽就會造成資訊隱私權防護的漏洞，且保密義務規定不夠詳細，僅作原則性保密規範，似乎無法完全保障消費者資訊隱私權。

隨著行動商務的發展，個人對於通訊內容的需求更為殷切，尤其行動商務的特色在於可以更明確掌握各用戶消費習慣，通訊傳播業業者為滿足消費者個人化之需求，即必須利用所擁有之用戶個人資料與通訊資料，以提供該用戶最適化之服務。但便利用戶的服務，若未謹慎為之，往往也是對個人隱私構成危害的服務。

所以隨著通訊服務的多樣化，個人資料被他人蒐集、利用與處理之機會也隨日俱增，通訊傳播業使用個人資料的行為如果未經適當規範，即相當容易構成對個人資料隱私的威脅，如何將該資料為有利之應用，並能兼顧用戶隱私權之保障，即屬重要。

對於個人隱私權的保護，也不能忽略政府行為。政府因為擁有壓倒性行政資源與強制力量，若沒有適當加以規範，人民秘密通訊自由更是容易受到妨礙。尤其隨著技術的發展，使網路成為通訊的重要工具下，相當輕易對於個人權利產生極大的影響，因此制訂相關法令以維護人權，也已是世界各國的趨勢。

最近國內發生OO購物、OO購物網站皆發生多起詐騙事件，疑是個人資料外洩，已經造成多人受騙，如果是號稱擁有超過百萬名顧客的OO購物、OO購物網站的客戶個人資料外洩，又落入詐騙集團手裡，所造成的影響是無法預期的。另外，曾經入侵總統府網站，宣布愚人節放假一天的駭客蘇OO又再度犯案，這次他和林 OO高中生分別入侵OO電信等各大網站主機，竊取內部資料販售，警方估計已有上千萬筆個人資料外洩。初步統計，曾犯妨害電腦使用罪的蘇OO入侵網站，還有台大批踢踢、無名小站、PChome、雅虎、Google、十九所桃園地區國中、EZpeer、台灣深藍網站、艾噹洛學院、卡提諾論壇等，盜取資料轉賣給補習班、詐騙集團等團體，牟取數十萬元的利潤。

從這些案例可以知道，個人資料隱私權的問題，除了法律面、管理面，更涉及到技術面的問題，但是解決根本問題的辦法一定要從法律面及管理面開始著手，再逐漸推行到技術面解決問題。