雲端服務是一種趨勢,很多企業或是組織在考量使用雲端前,對雲端相關的安全性有很大的疑慮,資料放在雲端到底安不安全,雲端服務的業者能不能看到我的資料,雲端的可用性是...
談了幾天國外的裁罰案,想坐飛機回來跟大家聊聊台灣最近的案件。先說,這件並不是「裁罰案」但法庭確實判決有違憲之虞,應該要儘速修正相關的配套措施。 2022年8月1...
我們今天來看一下跟特種個資有關的小案件。 2021年8月5日,奧地利法院作出決議,由於被告M先生未經原告S小姐的同意,將M小姐的病歷寄給M小姐工作的單位,違反G...
在GDPR架構下,讓人最耳(ㄘㄨㄛˋ)目(ㄕㄡˇ)一(ㄅㄨˋ)新(ㄐㄧˊ)的個資大概就是Cookies & IP address了。不過,我們今天不談大...
選擇這個題目的原因,是在從事這行多年以後,深感吾輩IT人在依據ISO國際標準,或者公司行政/法務/稽核人員要求執行相關作業時須知其然,而後知其所以然,這樣在日常...
本年度【企業資安日論壇】將於8/21(四)舉辦,主題為「內外兼顧的企業智慧資產防護策略與實踐」,探索當前雲端應用、個人化與行動化時代下,如何從內到外做好企業資料...
先前已2次討論紙本文件有可能的風險案例. 現在再做進一步討論其它紙本文件的風險 有時個資只要保留很短的期間即可, 如有些單位在提供同仁教育訓練的同時, 也會請同...
上次已在第四個個資風險案例討論紙本文件有可能的風險案例. 現在再做進一步討論其它風險 紙本文件在調閱時, 會有其特定用途, 如:外部查檢(或稽核)人員只是要Ch...
我們再來看看第四個個資風險案例 這一次我們來討論紙本文件有可能的風險案例. 有時侯有些單位會將含個資的資料上鎖保管, 但只要上鎖就好了嗎? 電子資料我們會設定好...
接下來我們來看看個資法刑罰的部份 第 41 條 違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳...
接下來我們來看看個資法對非公務機關之行政處罰較重的部份 第 47 條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上...
接下來我們來看看個資法對非公務機關之行政處罰較輕的部份 第 48 條 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改...
接下來我們來看看個資法之損害賠償 第 28 條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變...
第三個個資風險案例, 提到測試環境及驗證環境的保護, 如果無法將敏感資料以 anonymization 匿 名化 或 pseudonymization 使用假名...
第三個個資風險案例, 提到測試環境及驗證環境的保護, 如果無法將敏感資料以 anonymization 匿名化 或 pseudonymization 使用假名...
我們再來看看第三個個資風險案例 重要的系統通常都會有測試環境, 甚至會有驗證環境, 要注意那些事項呢? 優先要使用的是 ISO 27001 A.12.4.2 P...
持續改善為管理系統重要的精神,可直接參考現有的矯正預防措施處理程序進行持續改善工作。 以下將說明對應ISO 27001的本文的要求. Clause 4.2.4...
為展現對個資的良善管理,組織一定要妥善建立相關使用紀錄,並確保軌跡資料及證據能被安全的保存。 以下將說明對應ISO 27001的控制目標與措施的要求. Clau...
談到資料安全稽核機制,就是PDCA的Check機制之一, Check的目的不在找缺點, 而在檢視制度面是否落實, 以及制度面或執行面是否有可以改善的地方. 要建...
談到設備安全管理,可對應於ISO 27001的A.9, A.11, 以下將說明對應的控制目標與措施. A.9.1 Secure areas安全區域 A.9.1....
認知宣導及教育訓練要如何進行呢?以下分享我的想法 各類人員需要的訓練各有不同,主管部份可強化法規面的認知與如何善盡管理責任,以及個資風險的概念,此外主管通常也可...
讓我們再看看第二個個資風險案例, 有關查詢畫面的呈現. 以學校為例, 學校可能會將學生的資料建檔, 包含學生的基本資料, 含身分證字號, 生日, 地址, 手機,...
接下來我們來看看另一個個資風險案例 先前曾提及ISO 29100中資料最小化(Data minimization),蒐集限制(Collection limita...
上回談到資料安全管理及人員管理,可對應於ISO 27001的A.7 & A.8對應的控制目標與措施, 這回談談 A.9, A.10, A.11有那些相關...
談到資料安全管理及人員管理,可對應於ISO 27001的A.7 & A.8, A.9, A.10, A.11也有相關控制措施對應.以下將說明對應的控制目...
個資蒐集的基本原則,在個資法第5條及第6條中陳述,但許多人並未能抓到其重點,以下來進行相關觀念的分享。 個資法 第 5 條 個人資料之蒐集、處理或利用,應尊重當...
總結第一個案例以帳號註冊流程可能產生的個資風險,包括 網站加密過關,服務條款Fail,個資蒐集待觀察,E-mail認證過關,密碼管理Fail。 以上只是一般外部...
第一個案例以帳號註冊流程來討論其可能產生的個資風險。 包含了網站加密, 服務條款, 個資蒐集,一項過關,一項Fail,一項待觀察。 接下來看看申請通過後的通知。...
第一個案例以帳號註冊流程來討論其可能產生的個資風險。 也說明了網站加密與服務條款,一項過關,一項Fail,接下來看看此一網站蒐集的個資。 此一網站蒐集的個資包括...
在談了許多個資法的要求之後,也希望以案例來分享經驗。 第一個案例以帳號註冊流程來討論其可能產生的個資風險。 話說個資法剛上路後,我就接到太座的指示到某一網路書店...