非公務機關使用資通訊系統蒐集、處理或利用消費者個人資料達一萬筆以
上者,應採取下列資訊安全措施:
一、使用者身分確認及保護機制。
二、個人資料顯示之隱碼機制。
三、網際網路傳輸之安全加密機制。
四、個人資料檔案與資料庫之存取控制及保護監控措施。
五、防止外部網路入侵對策。
六、非法或異常使用行為之監控及因應機制。
前項第五款及第六款所定措施,應定期演練及檢討改善。
〔立法理由〕 一、依非公務機關行業特性,鑑於個人執業之小型事務所、商號,或新開
業之業者,如納入分級加強管理對象之範疇,將造成其於營運上負擔
不符比例原則之行政及法令遵循成本,爰參考實務執行情形,以營業
約五年之不動產經紀業者掌握之個人資料數量一萬筆,作為分級加強
管理之標準。考量該等業者於營業上已具有相當之規模及穩定性,納
入需分級加強管理對象之範疇應無疑義,爰於第一項明定一萬筆以上
為應加強管理之條件,以兼顧比例原則及政策目標。二、非公務機關
使用資通訊系統蒐集、處理或利用消費者個人資料達一萬筆以上者,
為避免使用者個人資料於使用資通訊服務時被竊取、洩漏、竄改或其
他侵害事故發生,依行政院一百十年八月十一日訂定之「行政院及所
屬各機關落實個人資料保護聯繫作業要點」第四點第一項第一款及第
二款規定,應加強管理,並至少採取下列資訊安全措施,以落實保護
個人資料:(一)使用者身分確認及保護機制;(二)個人資料顯示
之隱碼機制;(三)網際網路傳輸之安全加密機制;(四)個人資料
檔案及資料庫之存取控制與保護監控措施;(五)防止外部網路入侵
對策及(六)非法或異常使用行為之監控與因應機制。參考資通安全
責任等級分級辦法附表十資通系統防護基準,針對六項資訊安全措施
之實作說明如下:
(一)系統應建立帳號管理機制,包含帳號申請、建立、修改、啟用
、停用及刪除程序,並執行身分驗證管理,如身分驗證資訊不
以明文傳輸、密碼複雜度或帳號鎖定機制等。
(二)系統界面呈現個人資料時,應以適當且一致性之隱碼或遮罩處
理,以避免過多且非必要之個人資料揭露,可參考CNS 9191「
資訊技術-安全技術-部分匿名及部分去連結鑑別之要求事項
」國家標準。
(三)個人資料傳輸時,應採用傳輸加密機制,如採用加密傳輸通道
、使用公開、國際機構驗證且未遭破解之演算法。
(四)儲存於電子媒體及資料庫之個人資料,應適當加密保護,並提
供使用者識別、鑑別及身分管理,並採用最小權限原則進行存
取控制管理。
(五)針對外部入侵之防禦,應採用適當資安控制措施建立防禦縱深
,包括防毒軟體、防火牆、入侵偵測與防禦系統,及應用程式
防火牆等。
(六)針對系統或個人資料檔案之存取,應確保資通系統有記錄特定
事件之功能,並決定應記錄之特定資通系統事件,且應留存系
統相關日誌紀錄並定期檢視,或設置適當監控及異常行為預警
機制。
三、隨網路科技之進步,個人資料遭外部網路入侵或非法或異常使用行為
損害情形層出不窮,爰第二項定明針對第一項第五款及第六款所定措
施,非公務機關應定期進行演練及檢討改善。
相關令函 (0) 相關判解 (0) 歷史條次 (0)
|