南亞技術(shù)學院行政人員資訊安全訓練教材資訊安全基本認知課件

南亞技術(shù)學院行政人員資訊安全訓練教材

資訊安全基本認知主講人資訊管理系助理教授目錄何謂資訊安全資訊安全知識網(wǎng)路安全人員與環(huán)境安全資料與存取安全系統(tǒng)安全資訊安全相關(guān)法令建立ISMS2023/2/72行政人員資安教育學術(shù)單位的資訊安全為什麼學校單位需要資訊安全學生學籍資料成績資訊教師與員工相關(guān)個人資訊………學校單位所擁有的資訊特色大多屬於非機密性具敏感性且涉及隱私及個人資料保護法相關(guān)規(guī)定2023/2/73行政人員資安教育資訊安全的範圍保護及維護資料的安全，包含：資料的使用資料的傳遞資料的處理資料的儲存2023/2/75行政人員資安教育資訊安全管理重點人員資安知識與能力資安控管流程資安處理技術(shù)2023/2/76行政人員資安教育資訊安全案例與知識

網(wǎng)路安全電子郵件垃圾郵件網(wǎng)路購物公用電腦使用人員與環(huán)境安全資料與存取安全系統(tǒng)安全2023/2/77行政人員資安教育電子郵件防範措施1.不任意開啟來路不明的電子郵件及其附加檔案，不論附檔名為何，最好直接這類郵件刪除。2.設定作業(yè)系統(tǒng)的自動更新機制（如WindowsUpdates），進行系統(tǒng)漏洞修補，使電腦系統(tǒng)隨時保持最新的安全狀態(tài)。3.安裝防毒軟體並定期更新病毒碼，以防阻e-mail可能夾帶的電腦病毒。4.安裝個人防火牆，以防阻e-mail中可能夾帶的間諜程式竊取資訊。5.即使郵件是來自於熟識者，在打開附件檔案前，仍應使用防毒軟體掃瞄後才可開啟，尤其是「轉(zhuǎn)寄郵件」。2023/2/79行政人員資安教育電子郵件名詞解釋(1/3)backdoor後門程式

後門指的是可以“繞過”、“規(guī)避”電腦內(nèi)部安全系統(tǒng)的另一個管道。可能是在軟體設計時，程式設計師方便未來進入系統(tǒng)維護所留下的程式，也可能是電腦遭受到入侵而被植下的程式。許多駭客會經(jīng)由後門繞過安全驗證，非法進入電腦進行破壞或竊取資料。Hacker駭客「Hacker」電腦駭客原是指電腦很強的人；「Cracker」則表示有犯罪記錄或行為的電腦高手。但是後來大家卻混淆了這兩個字的含意，而將凡是在網(wǎng)路上利用技術(shù)危害他人的人，統(tǒng)稱為「駭客」。

2023/2/710行政人員資安教育電子郵件名詞解釋(2/3)木馬程式是一種後門程式，也是目前非常流行的病毒程式，與一般的病毒不同，它不會自我繁殖，也不會刻意地去感染其他文件。木馬程式具有隱蔽、自動啟動、欺騙、自我恢復、破壞、傳輸資料的行為特徵，並透過偽裝吸引用戶下載執(zhí)行或安裝，提供種木馬者打開被種者的電腦門戶，使種木馬的人可以任意毀壞、竊取被種者的文件或操作畫面，甚至遠端操控被種者的電腦。

木馬程式最終的目的就是蒐集情資、等待時機執(zhí)行破壞任務、當作跳板進行滲透。手段包含匿蹤、佔領(lǐng)、遠端遙控、截聽封包、記錄鍵盤輸入資料、破壞、傳遞情資、提供封包轉(zhuǎn)送達到跳板功能…等。絕大部分的木馬程式所具備的功能與目的，不僅具備單一功能、單一目的，而是具備混合功能(hybrid)與多目標導向。netbus殭屍網(wǎng)路是一種木馬程式，可提供植入者能在遠端遙控被植入者電腦，作為攻擊者的傀儡電腦，隱藏其攻擊軌跡。2023/2/711行政人員資安教育垃圾郵件：垃圾郵件防範DIY溫馨的5月母親節(jié)主題垃圾郵件夾帶電腦病毒、或以偽裝成大型購物網(wǎng)站的連結(jié)騙取使用者密碼、銀行帳號等隱私資訊…2023/2/713行政人員資安教育垃圾郵件防範措施(1/2)1.絕不回信2.在搜尋引擎中鍵入你的e-mail，檢查看看是否你的e-mail是否很容易讓垃圾郵件佈者取得；若可能，盡可能地移除掉email曝光的機會。3.將你的郵件軟體設定為「不顯示圖片」，某些廠商會在發(fā)送html格式含圖片的電子郵件時，加上網(wǎng)站信（Webbeacons），用來計算開啟電子郵件的數(shù)目、或者統(tǒng)計哪個電子郵件地址開啟了哪些郵，關(guān)閉垃圾郵件的圖片顯示可以阻斷Webbeacons功能。2023/2/714行政人員資安教育垃圾郵件防範措施(2/2)4.絕不按下垃圾郵件提供的超連結(jié)。5.

絕不使用其「取消訂閱」的功能，因為當你按下「取消訂閱」時也同時讓垃圾郵件散佈者確認你的e-mail是有效的。6.在任何網(wǎng)站上留下你的電子郵件資料時，先閱讀該網(wǎng)站的隱私權(quán)政策，確保你的電子郵件資料不會用作其他用途。7.設定2個email帳號，其中一個為日常通訊用途，另一個則用來訂閱電子報、或用來參加網(wǎng)路活動填問卷。2023/2/715行政人員資安教育網(wǎng)路購物防範措施1.向個人賣家購物，一定要保留雙方關(guān)於買賣的對話紀錄或通聯(lián)紀錄。2.保留匯款單據(jù)。3.向商家索取發(fā)票，通常合法商家會開立發(fā)票，選擇有發(fā)票的商家較有保障。4.如使用線上刷卡，在刷卡後立即與銀行確認消費紀錄。5.瞭解自己的權(quán)益，依消保法規(guī)定，消費者可於收受商品七日內(nèi)退回，無須說明理由及負擔任何費用。6.如果發(fā)現(xiàn)受騙或被盜刷等情況，應通知刷卡銀行並報警處理。2023/2/717行政人員資安教育網(wǎng)路購物：網(wǎng)拍詐騙增多，買賣兩頭空

歹徒仿賣家以一萬五千賣給買家仿買家向賣家購入一萬元商品賣家退五千給仿買家面交後，雙雙得手!買家匯一萬五2023/2/718行政人員資安教育網(wǎng)路購物防範措施1.選擇有信譽之交易對象，仔細瞭解對方的信用風評…等，並注意網(wǎng)址的正確性，避免落入仿冒網(wǎng)站。2.利用問與答的機制，於詢問時留意賣家專業(yè)度，可瞭解賣家是否夠真心投入、認真經(jīng)營。賣家若將網(wǎng)路開店視為長期經(jīng)營，勢必會重視客戶反應及商品品質(zhì)。3.從賣家出貨速度、反應問題速度，決定未來是否再向這個賣家購買商品。4.當拍賣商品具有「預訂性質(zhì)」時，為求謹慎，建議向有口碑店面或信用優(yōu)良的商家訂購，以防預訂詐騙。5.不論是賣家還是買家，堅持面交，一手交錢一手交貨，當場確認物品及金額無誤後才能銀貨兩訖。2023/2/719行政人員資安教育防範措施：1.使用電腦後隨手清除網(wǎng)頁瀏覽記錄及cookie資料，並清除在網(wǎng)站上所留下的個人資料。2.養(yǎng)成不使用自動記憶帳號密碼的功能。3.避免使用他人或公共電腦，上網(wǎng)處理重要或私密事務。4.使用他人或公共電腦時，特別注意坐在或站在你旁邊的人，因為他們可以輕易地從電腦螢幕上看到你所輸入的帳號、密碼或其他個人資料。5.若經(jīng)常使用公共電腦，更換密碼的要更高。2023/2/721行政人員資安教育名詞解釋cookies網(wǎng)路紀錄

cookies是存在瀏覽器中的小型文字檔，記錄使用者瀏覽網(wǎng)頁的資訊，例如：瀏覽的網(wǎng)站位址、使用者曾經(jīng)輸入的資訊等，當使用者下次再度使用瀏覽器時，電腦能自動顯示最近使用過的網(wǎng)頁。cookies也會紀錄使用者的帳號與密碼，因此在使用者再次進入相同頁面時，不需要重新輸入名稱與密碼。由於cookies的功能會記錄重要的個人資料與網(wǎng)路使用習慣，通常網(wǎng)站都會在其隱私權(quán)政策中詳述其透過cookies蒐集使用者資訊的用途。2023/2/722行政人員資安教育資訊安全案例與知識

網(wǎng)路安全人員與環(huán)境安全防範員工外洩客戶資料防範社交工程的攻擊公司機密外洩的處理報廢電腦的資料安全資料與存取安全系統(tǒng)安全2023/2/723行政人員資安教育員工偷偷外洩客戶資料不法集團政府機關(guān)電信事業(yè)金融事業(yè)單位2023/2/725行政人員資安教育防範措施：1.針對資料保密、客戶隱私權(quán)等相關(guān)法令對所有員工進行教育宣導，尤其是「電腦處理個人資料保護法」的瞭解，說明若將客戶資料外洩或私自盜賣，最重可處三年以下有期徒刑。2.依職務需求授予資料或檔案的存取權(quán)限，避免非相關(guān)職務人員皆能存取隱私資料。3.針對員工使用私人儲存媒體進行規(guī)範，例如禁止員工使用USB隨身碟或磁片，如此可避免員工因職務上的便利，將機密帶離公司。4.限制員工電子郵件可夾帶檔案的大小，以避免員工透過電子郵件外洩大量公司料。2023/2/726行政人員資安教育名詞解釋socialengineering社交工程社交工程主要是利用人性的弱點而進行詐騙。社交工程是一種非技術(shù)性的入侵，是藉由與人透過社交手段進行犯罪行為?，F(xiàn)代病毒已開始結(jié)合社交工程概念，例如"ILOVEYOU"病毒就是透過在電子郵件中以"我愛你"為附加檔案的檔名，誘導使用者打開附件，然而在使用者打開附件的同時，即被植入病毒，這就是利用社交工程入侵電腦的一個範例。2023/2/729行政人員資安教育公司機密外洩的處理竊取公司機密竊取公司重型機車引擎設計圖、電腦檔案與相關(guān)模具組等商業(yè)機密員工旅遊期間利用貨櫃，私運到美國被警方逮捕2023/2/730行政人員資安教育防範措施1.資訊分級授權(quán)：將企業(yè)內(nèi)部資產(chǎn)與資訊列冊並評鑑機密等級，依等級訂定授權(quán)。2.權(quán)限控管：授權(quán)不能氾濫，應依職務分級授予存取、傳遞、交換等權(quán)限，並期審查權(quán)限適當性，以及保留存取權(quán)限稽核資料。3.簽訂安全／保密合約：與員工簽訂合約，除了可供違約時的責任追溯與求償外，具有一定的預防遏阻作用。4.隨身碟禁用規(guī)定：為防止員工私自複製司機密資料，可限制員工使用行動碟、MP3隨身碟等儲存裝置。5.安全通報與處理機制：若員工發(fā)現(xiàn)同仁有異常行為，應透過安全通報機制立即反應，預防危安事件發(fā)生。2023/2/7行政人員資安教育31名詞解釋authorization授權(quán)授權(quán)，指的是將資源系統(tǒng)的使用權(quán)限授與特定人員的過程。獲得授權(quán)的人員具有使用特定資源系統(tǒng)的權(quán)限。通常系統(tǒng)管理員會按企業(yè)相關(guān)規(guī)定或政策，來給予使用者不同的授權(quán)，以及使用者能使用資源系統(tǒng)的的權(quán)限與層級有多大。2023/2/732行政人員資安教育報廢電腦的資料安全報廢電腦不當處理資料外洩2023/2/733行政人員資安教育防範措施：1.電腦報廢前，針對整個電腦系統(tǒng)或內(nèi)含資訊的進行備份。2.將上述的備份移轉(zhuǎn)至新的機器或其他備份裝置中。3.執(zhí)行完整的資訊設備報廢處理程序，包括針對電腦硬碟執(zhí)行重新格式化、相關(guān)作業(yè)軟體、資料及具有版權(quán)之系統(tǒng)軟體；針對磁碟或光碟片等儲存媒體進行實體銷毀，如切碎、折損等。

2023/2/734行政人員資安教育名詞解釋MaliciousURLinjection網(wǎng)頁隱藏式惡意連結(jié)又稱為「網(wǎng)頁惡意掛馬」或「網(wǎng)頁掛馬」。指駭客竄改所攻擊的網(wǎng)頁，植入惡意連結(jié)，或者是設立惡意網(wǎng)站，透過宣傳手法，利用一般人的好奇心吸引觀眾到站瀏覽，使用者只要連上網(wǎng)站，就會轉(zhuǎn)落入駭客預先設計好的陷阱，被植入木馬程式。進而被竊取電腦中的資料或機密造成損失。2023/2/735行政人員資安教育資訊安全案例與知識

網(wǎng)路安全人員與環(huán)境安全資料與存取安全定期檢查存取權(quán)限帳號借他人使用出包使用者密碼管理設定優(yōu)質(zhì)密碼保障資料安全10大企業(yè)資訊安全內(nèi)賊現(xiàn)象筆記型電腦資料安全管理儲存媒體的保存系統(tǒng)安全2023/2/736行政人員資安教育定期檢查存取權(quán)限離職竊取公司帳號、密碼將公司重要文件轉(zhuǎn)寄私人信箱2023/2/737行政人員資安教育防範措施：員工離職前應提醒其保密義務及法律責任。員工離職後應立即取消其網(wǎng)路存取權(quán)限。員工離職，應酌量風險決定凍結(jié)或移除其帳號並變更密碼。針對公司重要系統(tǒng)主機應定期檢查帳號及密碼之設定。針對公司重要系統(tǒng)主機應定期檢查存取權(quán)限及存取紀錄。

2023/2/738行政人員資安教育帳號借他人使用出包友人提供網(wǎng)路帳號密碼使用利用他人名義販售商品(教育部網(wǎng)站)楊姓主任2023/2/739行政人員資安教育防範措施︰(1)個人帳號不可借任何人使用，包括像公務資料系統(tǒng)、網(wǎng)站、e-mail、網(wǎng)路金融、ISP帳號等。(2)不要將帳號密碼隨手記錄於紙本隨意置；更不要將密碼寫在便利貼貼在電腦螢幕邊。(3)不要告訴任何人您的帳號密碼，包括像對方來電表示自己是資訊部門人員、銀行客服人員等。(4)重要系統(tǒng)、網(wǎng)站在登入時，應留意一下系統(tǒng)提醒的連線歷史紀錄是否有不明的登入紀錄。

2023/2/740行政人員資安教育使用者密碼管理盜用網(wǎng)拍帳號2023/2/741行政人員資安教育防範措施(1/2)一、防禦的技巧(1)簽署保密聲明：要求使用者簽署對個人帳號密碼保密之聲明。(2)強制變更密碼：確保一開始即提供使用者安全之臨時密碼，也應強制使用者在第一次登入系統(tǒng)時立刻更改。(3)在提供新的、替換或臨時密碼前，須驗證使用者身分。(4)以安全的方式將密碼交給使用者，勿交由第三方轉(zhuǎn)交或使用明碼傳送。(5)密碼不得以無保護形式儲存於任何實體設備或可攜式設備中。

2023/2/742行政人員資安教育防範措施(2/2)二、解決的技巧(1)網(wǎng)頁開發(fā)時，結(jié)合自然人憑證之機制，於使用者（買方或賣方）登入或登出時均啟動確認身分之機制；目前僅有以信用卡/轉(zhuǎn)帳付款時，才啟動確認身分之機制，顯然是不足的。(2)應有健全的通報機制，例如例假日或非上班時段，可增列語音或發(fā)送簡訊的處置機制，由值班之客服人員判定處理優(yōu)先順序。應從資安事件中學習及檢討，例如透過客服系統(tǒng)，定期統(tǒng)計及彙整出相關(guān)事件發(fā)生之來由及解決方案，作為改善及提升服務品質(zhì)之依據(jù)。2023/2/743行政人員資安教育設定優(yōu)質(zhì)密碼保障資料安全上傳私密照片到網(wǎng)路相簿遭他人竊取帳密並惡意散布私密照片2023/2/744行政人員資安教育優(yōu)質(zhì)密碼防範措施(1/2)1.密碼長度建議至少六碼以上，且最好可參雜數(shù)字、英文字母、特殊符號、大小寫。2.應儘量避免使用易猜測或公開資訊為設定，例如個人姓名、出生年月日、身分證字號機關(guān)、單位名稱或其他相關(guān)事項使用者ID、其他系統(tǒng)ID電腦主機名稱、作業(yè)系統(tǒng)名稱電話號碼英文或是其他外文字典的字彙專有名詞空白

2023/2/745行政人員資安教育優(yōu)質(zhì)密碼防範措施(2/2)3.應保護密碼，維持密碼的機密性，勿使用同一套密碼行遍天下，以避免所有關(guān)的登入資料同時都被破解。4.需定期更新密碼，建議更新頻率至少為三個月一次。5.不使用過於複雜而不易記憶的密碼，以免擔心遺忘，而必須將密碼寫下，卻可能提高了密碼外洩的風險。

2023/2/746行政人員資安教育10大企業(yè)資訊安全內(nèi)賊現(xiàn)象員工主管給予帳號密碼收取客人資料並盜用2023/2/747行政人員資安教育10大企業(yè)資訊安全內(nèi)賊現(xiàn)象惡意竊取或損壞資料類型：1.竊取身份資料：員工存取或偷竊公司客戶的身份證號碼等隱私資料。2.竊取機密資料：員工閱覽公司機密資料，並將資料複製至其隨身碟或透過電子郵件送出公司。3.毀損資料：員工進入公司的研發(fā)或業(yè)務重要資料夾，刻意毀損企業(yè)具有價值的智慧財產(chǎn)。4.財務欺騙行為：員工直接在公司資訊系統(tǒng)中竄改自己的薪資紀錄、或假冒發(fā)出採購單等行為。2023/2/748行政人員資安教育10大企業(yè)資訊安全內(nèi)賊現(xiàn)象違背政策的不當使用類型：

5.不當?shù)馁Y料存?。簡T工將不可攜出公司的工作相關(guān)資料帶回家處理。6.濫用特殊權(quán)限：員工利用其特殊的系統(tǒng)存取權(quán)限執(zhí)行非業(yè)務相關(guān)工作，如本案例中所提到銀行技工濫用權(quán)限從事舞弊之行為。7.非法將資料庫備份至光碟或隨身碟中。未授權(quán)存取系統(tǒng)駭客類型：8.SQL攻擊：員工利用Web程式的表格檔案竄改程式以取得不該取得的資料。9.軟體攻擊：員工利用公司使用的應用程式或軟體弱點進行攻擊。無意的資料錯誤處理類型：10.因人為操作錯誤而將敏感資料刪除或而無法復原。2023/2/749行政人員資安教育名詞解釋accesscontrol存取控管存取控管是一種對於資料或資訊系統(tǒng)使用的安全控制措施，類似守門人的功能。電腦系統(tǒng)管理者可利用密碼或其他身分驗證的方式，來對於電腦系統(tǒng)的使用者進行授權(quán)/拒絕的存取與控管。換言之，存取控制在指派與控制使用者之權(quán)限(如使用者的身份、使用系統(tǒng)之時間等條件）。存取控管可提供資源系統(tǒng)使用安全功能，降低駭客入侵或資料不當外洩的風險。2023/2/750行政人員資安教育筆記型電腦資料安全管理遭偷竊筆記型電腦居民個人資料外洩個資未加密該如何保障?2023/2/751行政人員資安教育防範措施：

1.使用防護鎖或移動感應器來降低筆記型電腦失竊機率。2.電腦開機設定保護密碼3.重要資料使用加密措施，防止未經(jīng)授權(quán)存取。4.定時備份重要資料於其它儲存媒體中，並予以妥善保存。

2023/2/752行政人員資安教育儲存媒體的保存阿嘉規(guī)劃公司整個網(wǎng)路儲存架構(gòu)2023/2/753行政人員資安教育防範措施：

1、使用磁碟陣列等可靠度較高的設備。2、建立巢狀架構(gòu)，避免單點損壞之風險。3、建構(gòu)異地備援。4、建立備援儲存計畫，採用正常、複製、差異、”增量與每天等正規(guī)方式儲存資料，並標示好時間與日期。5、過期資料應使用強力消磁設備消磁，嚴禁隨意丟棄。6、建立好銷毀流程規(guī)範，嚴格要求。7、作好機房人員進出控管，建立授權(quán)名單，可以考慮進一步使用指紋辨識系統(tǒng)。8、資料內(nèi)容加密。2023/2/754行政人員資安教育名詞解釋disasterrecoveryplan災難復原計畫災難復原，是指當任何緊急事件(如地震、颱風、人為疏失等)發(fā)生時，包含人員與資訊系統(tǒng)都應於第一時間立即因應處理～2023/2/755行政人員資安教育資訊安全案例與知識

網(wǎng)路安全人員與環(huán)境安全資料與存取安全系統(tǒng)安全防範電腦駭客的入侵遭遇電腦駭客入侵的因應對策2023/2/756行政人員資安教育防範電腦駭客的入侵設計電腦鍵盤側(cè)錄程式側(cè)錄線上遊戲者帳號2023/2/757行政人員資安教育防範措施1.系統(tǒng)作業(yè)更新：時常進行系統(tǒng)程式修正或更新，防範程式漏洞導致入侵事件。2.權(quán)限設定檢視：權(quán)限設定宜審慎，避免不合適或錯誤的設定，給予駭客入侵機會。3.日常作業(yè)備份：完善的備份，是降低入侵破壞傷害的基本防線，方式包含備份於USB儲存設備，及硬碟等外接裝置，或?qū)n案壓縮後置於檔案伺服器。4.稽核軌跡管理：啟動各種系統(tǒng)、應用程式、網(wǎng)路設備的事件稽核功能，使所有存取紀錄皆有跡可查。5.時間校正：所有電腦與網(wǎng)路設備應設定自動校正時間，避免因時間紀錄不一致，影響入侵事件的分析。

2023/2/758行政人員資安教育遭遇電腦駭客入侵的因應對策建中學生補習班大學入試中心學生個資2023/2/759行政人員資安教育防範措施1.系統(tǒng)備份：一旦發(fā)生駭客入侵，首要之務在於立即進行系統(tǒng)備份，一方面保存重要檔案資料，另一方面，也保存受害證據(jù)，以供日後告發(fā)之用。2.系統(tǒng)隔離：包含以防火牆將受害電腦隔離封鎖、移除受害電腦網(wǎng)路連線、關(guān)閉受害系統(tǒng)與無關(guān)帳號，以避免災害擴大。3.稽核紀錄：清查作業(yè)系統(tǒng)、服務程式、防火牆、入侵偵測，及網(wǎng)路設備等所有可能留下的稽核紀錄，以作報警處理之用。4.分析追查：從上述各事件紀錄，追查入侵的IP來源、入侵過程與方法。5.復原與改善：將受損電腦進行復原，並針對入侵事件，改善與強化資安工作。

2023/2/760行政人員資安教育名詞解釋何謂P2P軟體？(點對點通訊傳輸工具)傳統(tǒng)HTTP/FTP傳送檔案方式，採用戶與主機的通訊模式(Client-ServerMode)。新制P2P檔案傳送，採取用戶與用戶的通訊模式，可以同時連接多個下載點，分散式下載檔案。使得P2P可以快速完成檔案下載的目標。Skype也是P2P的一種應用工具。檔案分享是目前P2P最主要的一種應用，P2P檔案分享軟體本身是合法的，合不合法則是在分享的檔案。2023/2/761行政人員資安教育P2P軟體可能安全問題P2P軟體可能影響的網(wǎng)路安全問題P2P工具包，可能被惡意人員放置木馬後門程式，與病毒蠕蟲。

P2P軟體本身的漏洞，造成駭客入侵。

使用P2P軟體，誤將本機目錄開放共享。

使用P2P軟體下載影音檔案，多半為mp3與mpeg,avi等檔案，可能造成侵權(quán)行為。防範措施下載任何工具軟體，從原廠官方網(wǎng)站取得。不要在公眾或公務電腦下載P2P檔案。使用P2P工具，要縮短暴露在網(wǎng)際網(wǎng)路的時間。

使用任何網(wǎng)路工具(包含P2P檔案下載工具)，不應侵害他人權(quán)益，入侵他人電腦或是侵害著作權(quán)。

P2P技術(shù)是技術(shù)潮流，不反對P2P發(fā)展，而是『反對在辦公室與校園，使用P2P檔案下載』。2023/2/762行政人員資安教育資通安全相關(guān)法令資通安全相關(guān)法令國家機密保護法電子簽章法刑法(防駭條款)電腦處理個人資料保護法檔案法著作權(quán)法行政院及所屬各機關(guān)資訊安全管理要點機關(guān)公文電子交換作業(yè)辦法智慧財產(chǎn)權(quán)IntellectualPropertyRights(IPR)2023/2/764行政人員資安教育妨害電腦使用罪簡介隨著資訊科技快速發(fā)展，網(wǎng)際網(wǎng)路應用日益普及與多元，除了帶給我們許多生活上的便利，但也衍生一些資通安全問題，特別是網(wǎng)路犯罪行為已有增多趨勢。網(wǎng)路犯罪行為大約可歸類下列三種以網(wǎng)路作為犯罪工具–網(wǎng)路詐欺、網(wǎng)路恐嚇等以網(wǎng)路作為攻擊標的–竄改檔案、阻斷式服務攻擊、駭客入侵、電腦病毒等。以網(wǎng)路作為犯罪場所–如色情、誹謗、賭博等為避免電腦犯罪與維護網(wǎng)路秩序，特於刑法中設立相關(guān)法令條文以為管理-刑法第36章「妨害電腦使用罪」章。2023/2/765行政人員資安教育妨害電腦使用罪主要內(nèi)容(1)第358條無故入侵電腦罪無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統(tǒng)之漏洞，而入侵他人之電腦或其相關(guān)設備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。本條主要目的為遏止駭客入侵行為。第359條無故取得、刪除或變更他人電磁紀錄罪無故取得、刪除或變更他人電腦或其相關(guān)設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。本條主要目的為確保電腦內(nèi)部電磁紀錄安全。2023/2/766行政人員資安教育妨害電腦使用罪主要內(nèi)容(2)第360條無故干擾電腦系統(tǒng)罪無故以電腦程式或其他電磁方式干擾他人電腦或其相關(guān)設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。本條主要目的為維護電腦及網(wǎng)路運作正常。第361條對公務機關(guān)犯罪之加重對於公務機關(guān)之電腦或其相關(guān)設備犯前三條之罪者，加重其刑至二分之一。本條主要目的為確保國家安全。2023/2/767行政人員資安教育妨害電腦使用罪主要內(nèi)容(3)第362條製作供犯罪程式罪製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。本條主要目的為防止犯罪工具之利用與擴散。第363條告訴乃論第三百五十八條至第三百六十條之罪，須告訴乃論。本條主要目的為集中司法資源對抗重大犯罪。2023/2/768行政人員資安教育個人資料保護法制簡介侯望倫什麼是隱私權(quán)（Privacy）？TheRightToBeLetAlone隱私權(quán)的種類身體隱私權(quán)通訊隱私權(quán)領(lǐng)域隱私權(quán)資訊隱私權(quán)個人資料自決權(quán)任何人對於其相關(guān)之個人資料，如不涉及公益原則上均得自我決定是否公開或提供他人利用2023/2/770行政人員資安教育個人資料之定義個人資料：指自然人之姓名、出生年月日、國民身分證統(tǒng)一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業(yè)、病歷、醫(yī)療、基因、性生活、健康檢查、犯罪前科、聯(lián)絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。2023/2/771行政人員資安教育個人資料當事人之權(quán)利查詢及請求閱覽請求製給複製本請求補充或更正請求停止電腦處理及利用請求刪除☆不得預先拋棄或以特約限制☆2023/2/772行政人員資安教育預防措施_1防止蓄意竊取敏感資料者立即封鎖機密資料外傳行為，並通知IT管理員紀錄員工是否有外傳機密資料的行為，如寫出管道、使用電腦、登入帳號、寫出位