您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

法律彙編

考量資訊科技的蓬勃發展,資通安全威脅與相關議題日趨複雜、多元,本中心除針對我國資安法制及相關規範進行研議外,亦持續深入研究各項新興科技與應用之資安法制與政策議題。同時,為協助公務機關及各界瞭解資安法制議題之最新趨勢與管理作法,十餘年來,本中心持續蒐整國內外資安與資訊相關案例,並從法制與管理的角度,對案例進行分析,並提出因應建議與可行作法,供機關與各界參考。

請以左右鍵切換精選案例(最左邊)、自我評量(左邊)、評量解析(右邊)、下載專區(最右邊)之頁籤

類別:資訊保護【案號:S10701】遭勒索病毒攻擊 美亞特蘭大市政癱瘓5天

【焦點話題】

美國亞特蘭大市政府於2018年3月遭勒索病毒SamSam攻擊,雖然緊急報案和供水系統等仍正常運作,但與民生息息相關之線上繳費等系統仍受到嚴重影響。駭客要求該市政府支付價值5.1萬美金的比特幣,並限期一週內付款,方予以解索。亞特蘭大市政府表示不會支付贖金,並已掌握駭客的身分,且無員工或其他個人資料外洩,但也因勒索病毒攻擊,市政府除原分配3,500萬美元的IT預算,將追加950萬美元,用以恢復受衝擊之市政系統。

【參考資料來源:自由電子報,107/3/29;iThome,107/6/11】

【重點摘要】

  1. 比特幣被認為是去中心化的電子加密貨幣,多數國家則認為比特幣屬於虛擬商品,並非貨幣,而我國亦採低度監理的原則,不視比特幣為貨幣,而是虛擬商品,貨幣間的交易,屬於商品與商品間的交換。
  2. 為降低資安事件發生之風險,組織應定期進行資安訓練,宣導資訊安全事件對組織之影響,以及預防、因應之方式等資訊。

【法律觀點】

本案之SamSam勒索軟體,係透過「變更」使用者電腦或其設備之電磁紀錄,以達癱瘓政府機關電腦、設備之效果,而刑法第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」,因此有關侵入他人電腦,進行檔案加密、變更電磁紀錄之部分,行為人可能因而構成妨害電腦使用罪。

其次,按刑法第346條規定:「意圖為自己或第三人不法之所有,以恐嚇使人將本人或第三人之物交付者,處六月以上五年以下有期徒刑,得併科一千元以下罰金。以前項方法得財產上不法之利益,或使第三人得之者,亦同。」而比特幣被認為是去中心化的電子加密貨幣[1],我國採取低度監理的原則,不視比特幣為貨幣,而是虛擬商品,以虛擬貨幣交易購買商品時,屬於商品與商品間的交換,也就是以物易物[2],因此,駭客除侵入電腦之行為外,另要求被害人給付貨幣(本案為比特幣),方解除加密狀態,也就是以比特幣作為勒索政府單位支付以解除癱瘓的對價,故亦觸犯刑法第346條之罪。

另外,此種利用惡意程式癱瘓公務機關電腦之情形,因行為人之妨害電腦使用行為係針對公務機關所為,因此依刑法第361條之規定:「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」更要加重刑度。

【管理Tips】

「電子化政府」是政府機關運用資訊與通信科技形成網網相連,並透過不同資訊服務設施(包括電話、網際網路、公用電腦站等),對機關、企業及民眾在其方便之時間、地點及方式下,提供自動化服務之總體概念[3]。但在建立電子化政府提供政府服務時,應將資訊安全列為重要事項,以確保資料、系統、設備及網路安全[4]。本案中,為恢復受勒索病毒攻擊之市政系統,亞特蘭大市須增加950萬美元之支出,因此,如何強化資訊管控措施是所有組織均需面對之課題。

而資訊控管區分為事前及事後,事前控管包括平日定期進行教育訓練,宣導資訊安全事件對組織的影響、拒絕下載來路不明的盜版軟體、注意社交工程郵件以及重要資料時常備份外,組織亦可透過諸如定期檢查「安全性更新」或限制員工使用網際網路等主動之網路控制措施,均可有效降低侵害發生;而當資安事件發生後,應及時通報並且迅速進因應,同時保存相關紀錄做為證據,並於改善缺失後,從事件中學習相關經驗,以降低未來再度發生事故之風險。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.7.2.2  資訊安全認知、教育及訓練
  1. 標準內容:

組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。

  1. 適用說明:

如果組織對其員工或相關之承包者能進行有效之教育訓練,而使本案電腦受侵害之相關人員,平時均恪守教育訓練之指示,善盡社交工程之注意、軟體之定期更新等事項,應可有效降低惡意軟體所造成之受害程度。

  1. A.12.2.1  防範惡意軟體之控制措施
  1. 標準內容:

應實作防範惡意軟體之偵測、預防及復原控制措施,並合併適切之使用者認知。

  1. 適用說明:

新興之惡意軟體攻擊日益頻繁,組織平時即應針對相關惡意攻擊軟體進行預防性工作,且熟捻遭攻擊後之因應措施,本案中,如組織能隨時讓電腦和軟體保持最新狀態,對於點擊連結或下載資料或開啟電子郵件附件或圖片時能格外小心,或可有效避免系統遭受侵害。

  1. A.12.3.1  資訊備份
  1. 標準內容:

應依議定之備份政策,定期取得資訊、軟體及系統的影像備份複本,並測試之。

  1. 適用說明:

為避免無法預期之資料毀損或侵害,以降低損失風險,定期進行相關資料之有效備份是防止資訊損失的最後防線,本案中,若組織善盡對於相關資訊之備份,於電腦遭受攻擊後,相關資訊仍得以保存,所受損失亦可減少。

  1. A.13.1.1  網路控制措施
  1. 標準內容:

應管理及控制網路,以保護資訊系統及應用。

  1. 適用說明:

現今網路空間之陷阱層出不窮,若得以適當將部分有問題之網域限制連網,亦可降低惡意程式由網頁攻擊之風險,本案中,如組織如可將對外連網與內部資料電腦予以實體切割,將內部資料電腦之連網採取限制或是根本性的禁止非必要連網活動,將可有效降低重要電腦設備遭植入惡意軟體等造成系統受侵害之可能性。

類別:資訊保護【案號:S10702】臉書保護個資不力 祖克柏:我很抱歉

【焦點話題】

社群網站臉書(Facebook)執行長祖克柏(Mark Zuckerberg)針對英國諮詢機構「劍橋分析」(Cambridge Analytica)以不當手段獲取海量臉書用戶資料,最終導致臉書計有8,700萬名用戶個資外洩,以及未能有效打擊假新聞所造成的傷害,向歐洲議會道歉。祖克柏表示本於「歐盟通用資料保護規則」(GDPR)精神,臉書將依照新規定調整至符合歐盟通用資料保護規則之要求,並推出多項新功能,包括特殊「清除歷史」鈕,允許用戶刪除所有儲存的暫存檔或瀏覽歷史。

【參考資料來源:中央社,107/5/23】

【重點摘要】

  1. 組織於蒐集個人資料時,依個人資料保護法第8條規定,應告知當事人蒐集目的、蒐集資料類別、個人資料利用之期間、地區、對象及方式、當事人權利及行使方式以及不提供個資之權益影響等相關事項,俾使當事人能知悉其個人資料被他人蒐集之情形。
  2. 依個人資料保護法第20條規定,合法蒐集的個人資料,原則上仍應在蒐集之特定目的必要範圍內為之,也就是於蒐集時所告知當事人的特定目的,僅在特定情形下得為特定目的外之利用。

【法律觀點】

「劍橋分析事件」起源於劍橋大學研究人員Aleksandr Kogan的研究公司Global Science Research(GSR)在2013年打造了一款名為「thisisyourdigitallife」的性格分析臉書應用程式,並透過臉書使用者下載,該程式取得了30萬名臉書用戶的居住位置及「按讚」內容等個人資料,並依當時臉書使用者政策,進而取得這些用戶好友的個人資料,共計超過5000萬人的個資,而GSR再與英國資料分析業者劍橋分析(Cambridge Analytica)分享所取得的資料。

不過,據臉書表示,該程式在使用者下載時其實是有同意提供個人資料予程式設計者以及第三方單位作為「學術用途」使用,因此GSR取得個人資料是經過使用者同意的,而依臉書使用者與臉書之間的使用者條款,GSR取得該程式使用者的好友個人資料也是符合相關規定,但因劍橋分析於使用個人資料時,並未依照與程式使用者間的承諾,僅供學術用途,因此,事件之爭議係有問題的資料使用,而非資料之違法取得。

考量個人資料之蒐集涉及當事人隱私權益,為使當事人知悉個人資料被何人蒐集及其蒐集之目的等資訊,故我國個人資料保護法(下稱個資法)規定,除有免為告知之法定情形外[5],組織於蒐集個人資料時,應告知當事人諸如蒐集目的、蒐集資料類別、個人資料利用之期間、地區、對象及方式、當事人權利及行使方式以及不提供個資之權益影響[6]等相關事項,俾使當事人能知悉其個人資料被他人蒐集之情形,並了解到最終個人資料會被何人利用、如何利用、在哪些地方被利用以及利用的期間為何,也就是個人資料被蒐集、處理及利用的情況應予透明化。同時,當事人若對於其個人資料欲主張停止蒐集、處理或利用等相關權利時,組織亦應予以配合[7]

而合法蒐集的個人資料,不代表可以任意使用,原則上仍應在蒐集之特定目的必要範圍內為之,如有超出特定目的範圍,僅得在特定情形下得為特定目的外之利用[8]

本案若發生於我國,按個資法規定,對於個人資料之利用,如無可為特定目的外利用之特定情形卻為特定目的外利用,則由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之[9]

【管理Tips】

消費者在使用網路上的免費服務時,為避免個人資料外洩或其他不利益情事之發生,應妥善知悉使用者條款內容。而網路服務業者提供免費服務,從而蒐集個人資料時,亦應注意是否符合個人資料保護法等相關法令規範。

而組織於利用個人資料時,亦應注意:一、應確認蒐集個人資料時,所告訴被蒐集者之告知事項內容,尤其是蒐集個人資料之特定目的,以及個人資料利用之期間、地區、對象及方式,因這是在利用個人資料時,所應遵守之事項。二、如果在上開個人資料蒐集目的中,找不到所要利用的特定目的時,則應確認有無得為特定目的外之利用的情形。

 

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.18.1.1  適用之法規及契約的要求事項之識別
  1. 標準內容:

對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。

  1. 適用說明:

本案如發生在我國,組織應明確識別相關法令,並依相關法令之要求執行業務,方可確保其工作之合法性。

ISO 29100:2011(CNS29100)

  1. 5.6  利用、持有及揭露原則
  1. 標準內容:

堅持利用、持有及揭露限制原則,意指下列事項。

-PII之利用、持有及揭露(包括移轉)限制於為履行特定、明確及合法目的所必要者。

-除非適用之法律明確要求不同的目的,否則將PII之利用限制於蒐集之前PII控制者所規定之目的。

持有PII之時間長度,僅為滿足所陳述目的必要的長度,並於之後安全地將其破壞或匿名化。

-一旦所陳述目的逾期,但依適用法律要求保留下,鎖住(亦即將PII歸檔、保全及免除進一步處理)所有PII。

當PII於國際間傳輸時,PII控制者亦知悉所有跨國傳輸之國家或當地額外特定要求。

  1. 適用說明:

本案中,GSR將所蒐集到的個人資料提供與劍橋分析,雖GSR有告知蒐集之目的以及可能提供所蒐集到的個人資料予第三方,但如GSR提供給劍橋分析之目的與GSR蒐集個資時告知被蒐集者之目的不同時,將是目的外利用之行為,而違反利用原則。

類別:資訊保護【案號:S10703】主管機關駁斥手機廠商:「未取得」資安認證!

【焦點話題】

日前外國資安業者指出一款名為「RottenSys」的惡意程式入侵了全球約500萬台的Android手機,其中不乏知名大廠中招。隨後,手機廠商則刊出聲明,指其產品皆取得主管機關認證並合格上市,並無安全之虞。惟對此主管機關則發出新聞稿表示:「依電信法第42條第1項規定,針對手機之電信介面、電磁相容及電氣安全進行型式認證檢測,檢測範圍並不含手機內建軟體之資安檢測」。換言之,主管機關之電磁檢驗因性質與軟體不同,並無法為手機的資安能力背書。此外,主關機關雖有推動手機內建軟體之資安檢測,範圍包含出廠預載軟體、授權銷售商加載軟體,以及無圖示軟體等,但目前該手機廠商所生產之手機款式並未取得上述手機內建軟體之安全認證。主管機關呼籲各手機廠商不得以通過主管機關之「型式認證」,混稱其手機內建軟體亦取得「資安保證」,而應自主辦理智慧型手機內建軟體之資通安全認證。

【參考資料來源:自由電子報,107/3/28】

【重點摘要】

  1. 電信法第42條、電信終端設備審驗辦法以及依其所訂定之行動寬頻業務寬頻終端設備技術規範,均在處理針對實體設備之相關問題,而設備內所載之軟體並無直接相關。
  2. 智慧型手機系統內建軟體資通安全檢測技術規範對智慧型手機之安全分層訂定檢測項目,包括:資料使用授權、資料儲存保護、資料遺失保護、程式身分辨識、程式信任來源、程式執行授權、程式執行安全、協定使用授權、協定傳輸保護、協定執行安全、系統操作授權、系統身分辨識、系統執行安全、金鑰管理保護以及演算法強度要求等,通過分級檢測後方得稱通過該層級之安全檢測技術規範,符合各層級之程度資安要求。

【法律觀點】

電信法係為健全電信發展,增進公共福利,保障通信安全及維護使用者權益而制定[10],同法第42條則要求連結第一類電信之電信終端設備應符合一定技術規範[11],同時電信終端設備則指任何數位或類比設備,其以無線或有線傳輸媒介,與公眾電信網路之終端點介接,並以光或電磁波方式進行通信之設備[12],因此,現代人日常生活不可或缺的智慧型手機亦包括在內,業者於製造、販售時亦須符合法規要求。

而電信法所要求於我國販售之電信終端設備應通過相關技術規範,該要求主要係為確保:[13],一、不得損害第一類電信事業之電信機線設備或對其機能造成障礙;二、不對第一類電信事業之電信機線設備之其他使用者造成妨害;三、第一類電信事業設置之電信機線設備與使用者連接之終端設備,應有明確之責任分界;四、電磁相容及與其他頻率和諧有效共用;五、電氣安全,防止網路操作人員或使用者受到傷害。綜合上開要求,係為處理實體設備之相關問題,而依電信法第42條第1項及電信終端設備審驗辦法第4條第2項所訂定之「行動寬頻業務寬頻終端設備技術規範」,則仍係以電信法第42條所要求的實體設備及使用者的傷害訂定測試項目及合格標準[14],包括功率限制等實體設備之測試,其所要求之技術規範與手機內建軟體之資安檢測並無相關。

因此,本案之手機製造商所聲稱通過資安認證與實際狀況並不相符,消費者於購買時僅能確認智慧型手機本身的硬體安全性應屬無虞,但並無法據以認定已符合足夠之資安認證,如其需符合相關資安標準,仍應滿足如「智慧型手機系統內建軟體資通安全檢測技術規範」等對於智慧型手機系統內建軟體之檢測。

【管理Tips】

網路與通訊無遠弗屆,智慧型手機基於高度可攜性與便利性,有效提升生產力與工作效率,但隨之而來,使用者也必須面對智慧型手機上網後所帶來的資安威脅。有鑒於此,國家通訊傳播委員會於106年3月參考國際標準ISO/IEC 15408及歐美等國之作法,發布「智慧型手機系統內建軟體資通安全檢測技術規範」[15],作為智慧型手機製造商、經銷商、電信業者及資通安全檢測實驗室辦理檢測之依據。

相關業者依上開規範之要求,在開發過程中或辦理檢測時,將手機系統及其內建軟體進行測試,並將安全等級區分為初級檢測、中級檢測以及高級檢測[16],並依其檢測條件、檢測方法及所對照之判定標準,進行通過與否之確認。而依據國際間對智慧型手機安全之分層概念,將智慧型手機安全分層區分為資料層、應用程式層、通訊協定層、作業系統層及硬體層等五個層別,考量不同層別可能面臨的資通安全風險有所不同,對各層別分別訂定檢測項目[17],包括:資料使用授權、資料儲存保護、資料遺失保護、程式身分辨識、程式信任來源、程式執行授權、程式執行安全、協定使用授權、協定傳輸保護、協定執行安全、系統操作授權、系統身分辨識、系統執行安全、金鑰管理保護以及演算法強度要求等項目。開發者依上開文件之要求,在開發過程中,應注意到各層別之檢測項目之注意事項[18],以確保智慧型手機系統及其內建軟體,符合現階段資通安全要求。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. 14.2.1 保全開發政策
  1. 標準內容:

應建立軟體及系統開發之規則,並應用至組織內之開發。

  1. 適用說明:

行動裝置上網佔有率已超越桌機,智慧型手機之相關營收亦年年成長,而製造商因開發智慧型手機必載內建軟體方可驅動,因此無論是出廠預載軟體、銷售商加載軟體或是無圖示軟體,均可依據主管機關所提供之開發APP相關資安規範,建立自己的APP開發規則,使所開發之APP符合法規要求。

類別:資訊保護【案號:S10704】名店資料被駭 女客遭詐騙28萬控店家未通知

【焦點話題】

台北糕餅名店107年1月發生會員資料遭盜取事件,導致不少會員接到詐騙電話,一名王小姐表示,她日前接到一通自稱糕餅名店客服人員之來電,該人員稱因資料輸入錯誤,每月會從其帳戶扣款1800元會費,隨後又接到一名自稱銀行客服之來電,要求王小姐到ATM進行變更操作,避免被扣除會費,她信以為真,將戶頭內共28萬元存款,全數匯到對方帳戶,事後聯絡糕餅名店,才驚覺自己遭受詐騙。糕餅名店客服表示發現雲端會員遭駭客盜取後,隨即於官網公告,並逐一發送簡訊及電子郵件通知會員,且擔心會員沒收到,每三至五天就發送一次,雖糕餅名店強調,被盜取的僅有會員訂購單資料並沒有個資,目前也只有一名受害者,但公司資料被盜是事實,也已強化電腦之加密機制,避免再有資料外洩情況。

【參考資料來源:三立新聞網,107/3/12】

【重點摘要】

  1. 依個人資料保護法第12條規定,公務機關或非公務機關管理之個人資料,如有被竊取、洩漏、竄改或其他侵害者,應於查明後通知當事人,以使當事人得以知悉個人資料遭違法侵害之情事,並及時採取補救措施或提起救濟。
  2. 按個人資料保護法施行細則第22條規定,個資外洩事件之通知方式,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式,且如果費用所需過鉅時,亦得考量技術之可行性及當事人隱私之保護後,以網際網路、新聞媒體或其他適當之公開方式為之。

【法律觀點】

近年來個人資料外洩事故頻傳,當組織違反個人資料保護法(下稱個資法)規定,導致相關事故發生時,為免損害擴大,個資法即要求該組織應查明後,以適當方式通知當事人[19]。故組織違反個資法致個資外洩時之通知,所應作為之事項如下:首先,應於查明事件相關事項後,組織則可採言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式,若通知費用所需過鉅時,亦得考量技術之可行性及當事人隱私之保護(不揭示可直接或間接識別當事人之個人資料),以網際網路或新聞媒體或其他適當之公開方式[20],通知當事人個人資料被侵害之事實及已採取之因應措施[21],此外,若組織屬網際網路零售業或網際網路零售平台業者,除前段應通知之項目,須另外提供「諮詢服務專線」[22],且如所發生者為重大事故,更應依主管機關指定之機制進行通報及進行後續處理[23]

就本案而言,應先確認該公司是否為登記資本額為新臺幣1,000萬元以上之股份有限公司或已受指定之公司或商號[24],如是,則據「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」之規定[25],以及參照前述法務部要求之相關事項,該糕餅名店應將個資外洩之事實、所採取之因應措施及後續供當事人查詢之專線與其他查詢管道,通知受影響之當事人。

【管理Tips】

一般來說,發生個資事故時,對內必須向上通報,予以適當調查及處理,以防止事態的蔓延及擴大;對外則視事故之嚴重性,決定是否需要對外發布相關訊息。另外,組織所發生之資訊安全事件涉及個人資料被竊取、洩漏、竄改或其他侵害時,則應在查明事件原因後告知當事人,且當組織為網際網路零售業時,必須依法告知應對措施及服務專線。同時,除解決個案問題外,組織也需進行問題核心之分析,並以此為借鏡,降低再次發生類似事件之機率。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.16.1.2 通報資訊安全事件
  1. 標準內容:

應循適切之管理管道,儘速通報資訊安全事件。

  1. 適用說明:

資安事件、事故發生時,儘速透過適當窗口通報予相關單位、主管機關,以降低事件、事故發生之衝擊。本案如係涉及網際網路零售時,事發單位依網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法第8條之規定,於發現個資外洩後儘速通報予權責機關,並將相關內容一併通知當事人,應可有效降低個資外洩所造成之損害風險。

類別:資訊保護【案號:S10705】遭澳洲稱5G危及國家安全 中國大陸通訊設備大廠聲明反擊

【焦點話題】

澳洲政府於2012年禁止某中國大陸通訊設備廠供應其全國寬頻網路(National Broadband Network, NBN),於2018年5月更是力阻該通訊設備廠建造澳洲與索羅門群島間的網路纜線。澳洲政府此舉恐是擔憂中國大陸企業掌控其通訊基礎設施,並於近期的5G通訊設施投標案仔細審查該廠。而該通訊設備廠澳洲區董事長及董事發表聯合聲明反擊澳洲政府,表示:「我們是一家獨立經營的公司,並沒有其他的單位參與,在我們運營的170國家的每一個國家,我們都遵守所在國的法律和規則。不這樣做的話,我們的業務一夜之間就完了。[26]」而英國、加拿大、紐西蘭皆已接受該公司的5G測試提案,願意評估、確認是否遵守數位安全協定。

【參考資料來源:自由電子報,107/6/18、Reuters,107/6/18】

【重點摘要】

  1. 標的屬於財物採購時,依臺灣地區與大陸地區人民關係條例第35條第3項規定,並非所有與大陸地區的貿易行為均予以禁止,但允許輸出入之品項以及管理等應遵行事項授權須由有關主管機關擬訂,並報請行政院核定。
  2. 標的屬於工程及技術服務採購中資訊服務採購時,依行政院公共工程委員會工程企字第10400024613號函要求,需求單位應先行評估採購標的是否屬經濟部投資審議委員會公告「具敏感性或國安(含資安)疑慮之業務範疇」,而經濟部投資審議委員會所公告「具敏感性或國安(含資安)疑慮之業務範疇」包括能源類、水資源類、通訊傳播類、交通類、金融與銀行類、緊急救援與醫院類、中央政府與地方機關與科技園區與工業區中被選定之重要系統。

【法律觀點】

政府採購法之立法目的在於提升採購效率與功能,確保採購品質[27]。因此機關辦理採購時,得依實際需要,設定投標廠商之基本資格,且如為特殊或巨額之採購,須由具有相當經驗、實績、人力、財力、設備等之廠商始能擔任者,得另規定投標廠商之特定資格[28],藉以確保採購品質[29]

然而,因為我國與大陸間的特殊關係,因此在為政府採購時仍應特別注意。

標的屬於財物採購時,依臺灣地區與大陸地區人民關係條例第35條第3項[30]規定,並非所有與大陸地區的貿易行為均予以禁止,但允許輸出入之品項以及管理等應遵行事項授權須由有關主管機關擬訂,並報請行政院核定。而依該項所訂定之臺灣地區與大陸地區貿易許可辦法則對可輸入之大陸地區物品為正面表列[31],如非屬允許得由大陸地區輸入台灣地區之品項者,即不得輸入,而其中得輸入之品項並不包括資通安全設備,且依主管機關公告准許輸入品項亦必須以不危害國家安全及對相關產業無重大不良影響者為限[32]

而如標的屬於工程及技術服務採購中資訊服務採購時,依行政院公共工程委員會工程企字第10400024613號函要求,各機關辦理資訊服務採購,需求單位應先行評估採購標的是否屬經濟部投資審議委員會公告「具敏感性或國安(含資安)疑慮之業務範疇」,並於簽辦採購文件中載明,如屬前開業務範疇者,應依「投標廠商資格與特殊或巨額採購認定標準」第4條第1項第6款[33]規定,確實於招標文件載明不允許經濟部投資審議委員會公告之陸資資訊服務業參與。

而目前經濟部投資審議委員會所公告「具敏感性或國安(含資安)疑慮之業務範疇」[34]包括能源類、水資源類、通訊傳播類、交通類、金融與銀行類、緊急救援與醫院類、中央政府與地方機關與科技園區與工業區中被選定之重要系統。

綜上可知,如案例中之情形發生於我國,則我國政府機關應先判斷是單純財物採購或是資訊服務採購,如是單純財物採購,因所採購品項係屬涉及資通安全之設備,並不在臺灣地區與大陸地區貿易許可辦法中得為採購的正面表列清單,依法不得採購;而如為資訊服務採購,因通訊傳播中通訊網路維運支援相關系統屬於「具敏感性或國安(含資安)疑慮之業務範疇」,故亦不允許經濟部投資審議委員會公告之陸資資訊服務業[35]參與。

【管理Tips】

按行政院公共工程委員會針對政府採購訂定多項範本,包括資訊服務採購契約範本,因此政府機關在辦理與資訊及通訊安全有關採購時,得應循辦理,而資訊服務採購契約範本針對於廠商之資訊安全責任[36]有下列規定:

1.廠商應遵守行政院所頒訂之各項資訊安全規範及標準,並遵守機關資訊安全管理及保密相關規定。此外機關保有對廠商執行稽核的權利。

2.廠商交付之軟硬體及文件,應先行檢查是否內藏惡意程式(如病毒、蠕蟲、特洛伊木馬、間諜軟體等)及隱密通道(covert channel),並於上線前應清除正式環境之測試資料與帳號及管理資料與帳號。

3.契約履約或終止後,廠商應刪除或銷毀執行服務所持有機關之相關資料,或依機關之指示返還之,並保留執行紀錄。

4.廠商所提供之服務,如為軟體或系統發展,須針對各版本進行版本管理,並依照資安管理相關規範提供權限控管與存取紀錄保存。

5.廠商提供服務,如發生資安事件時,必須通報機關,提出緊急應變處置,並配合機關做後續處理。

6.廠商應確實執行組態管理(Configuration Management),以確保系統之完整性及一致性,以符合機關對系統品質及資訊安全的要求。

7.廠商如違反第1目至第6目規定,應適用第15條之違約責任,並就機關所受損害負賠償之責;如致他人權利受有損害時,廠商亦應負責。

而一般民間組織如需相類似的資安服務,或可參考資訊服務採購契約範本,透過契約規範,作為廠商之資訊安全責任依據。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.7.1  聘用前
  1. 標準內容:

確保員工及承包商瞭解其將承擔之責任,且適任其角色。

  1. 適用說明:

委託承包商提供資訊服務,在現代專業分工下相當常見。政府機關於選任資訊服務之承包商時,須依照政府採購之相關規範挑選合適的承包商或限定承包商之資格;一般組織亦可仿此精神,在選定委外廠商時,進行必要之背景調查,並汰除不合適之廠商,以保障組織採購資訊服務之安全與品質。


[1] 去中心化係相對於中心化而言,去中心化出現在擁有眾多節點的系統中,透過每一個獨立的節點處理資訊,而非在單一中心處理,以比特幣而言,透過網路技術,使得比特幣的製造和發行都不以對中央發行機構的信任為基礎,任何人只要運行比特幣軟體,就可以參與其製造,因此,在沒有一個中心的中央發行機構的發行,而是以所有非中心的運行比特蔽體的個人為製造,這就是為什麼比特幣被稱為去中心化的虛擬貨幣。

[2] https://www.ithome.com.tw/news/119603,金管會為何選擇對虛擬貨幣發展採取低度監理原則?(瀏覽日期:2018年7月17日)。

[3] 第一階段電子化政府計畫(87至89年度),https://www.ndc.gov.tw/cp.aspx?n=D88BA19D378B30C4&s=1F6D9F3EEABADB1D(瀏覽日期:2018年6月13日)。

[4] 臺北市政府資訊安全管理規範第1條:「臺北市政府為強化所屬各機關(以下簡稱各機關)資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備及網路安全,特訂定本規範。」

[5] 個人資料保護法第8條第2項:「有下列情形之一者,得免為前項之告知:一、依法律規定得免告知。二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。三、告知將妨害公務機關執行法定職務。四、告知將妨害第三人之重大利益。五、當事人明知應告知之內容。」

[6] 個人資料保護法第8條第1項:「公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。」

[7] 個人資料保護法第3條:「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。」

[8] 個人資料保護法第20條第1項:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。」

[9] 個人資料保護法第47條略以:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣五萬元以上五十萬元以下罰鍰:三、違反第二十條第一項規定。」

[10] 電信法第1條:「為健全電信發展,增進公共福利,保障通信安全及維護使用者權益,特制定本法;本法未規定者,依其他法律之規定。」

[11] 電信法第42條第1項:「連接第一類電信事業所設電信機線設備之電信終端設備,應符合技術規範,並經審驗合格,始得輸入或販賣;其技術規範由電信總局訂定公告之。」

[12] 電信終端設備審驗辦法第2條第1款。

[13] 電信法第42條第3項:「第一項技術規範之訂定,應確保下列事項:一、不得損害第一類電信事業之電信機線設備或對其機能造成障礙。二、不對第一類電信事業之電信機線設備之其他使用者造成妨害。三、第一類電信事業設置之電信機線設備與使用者連接之終端設備,應有明確之責任分界。                        四、電磁相容及與其他頻率和諧有效共用。五、電氣安全,防止網路操作人員或使用者受到傷害。」

[14] 行動寬頻業務寬頻終端設備技術規範第5條略以:「5. 測試項目及合格標準:5.1 功率限制…;5.2 發射頻譜波罩…:5.3 傳導帶外輻射發射限制…;5.4 相鄰頻道洩漏功率比…;5.5 頻率容許差度…;5.6 電磁波能量比吸收率…;5.7 電波功率密度…;5.8 電磁相容…;5.9 電氣安全…;5.10 手機端連接介面…;5.11 充電器端連接介面…;5.12 充電線…;5.13 充電器電性要求…;5.14 災防告警細胞廣播訊息接收功能…;5.15 IMEI號碼及唯一保證書…」。

[15] 通傳基礎字第10663004370號。

[16] 智慧型手機系統內建軟體資通安全檢測技術規範3。

[17] 智慧型手機系統內建軟體資通安全檢測技術規範2.2。

[18] 智慧型手機系統內建軟體資通安全檢測技術規範6.2。

[19] 個人資料保護法第12條:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」

[20] 個人資料保護法施行細則第22條第1項:「本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。」

[21] 個人資料保護法施行細則第22條第2項:「依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。」

[22] 法務部105年04月20日法制字第10502506140號函釋,要旨:「各中央目的事業主管機關應針對轄下所有特許行業,依個人資料保護法第27條規定訂定相關個資檔案安全維護計畫及辦法,而相關辦法就業者對於當事人通知義務事項,應明定通知內容包含『個資外洩之事實、業者所採取之因應措施及所提供之諮詢服務專線』等。」

[23] 網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法第8條第1項第4款。

[24] 網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法第2條第1項:「本辦法所稱網際網路零售業,指以網際網路方式零售商品,且登記資本額為新臺幣一千萬元以上之股份有限公司,或受經濟部(以下簡稱本部)指定之公司或商號。但不包括應經特許、許可或受專門管理法令規範之行業。」。其立法理由為「考量一定規模以上之業者,其擁有之個人資料已占大宗,且考量業者之經營成本,爰本辦法將適用之範圍,限制在一定資本額以上之股份有限公司。」但依該條立法理由二可知,為使經濟部能有效管理,縱非前開一定資本額以上之股份有限公司,如其已發生個人資料外洩等事故,或經濟部認有加強管理之必要時,亦得指定公司或商號適用該辦法。

[25] 網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法第8條:「前條因應措施,應包括個人資料被竊取、竄改、毀損、滅失或洩漏等事故之應變機制,其內容應對下列事項為具體規定:一、降低、控制事故對當事人造成損害之作法。二、適時以電子郵件、簡訊、電話或其他便利當事人知悉之適當方式,通知當事人事故之發生與處理情形,及後續供當事人查詢之專線與其他查詢管道。三、避免類似事故再次發生之矯正及預防機制。四、發生重大事故時,即時依本部公告或持續通報事故之處理情形與避免類似事故再次發生之矯正及預防機制。」

[26] “We are a private company, owned by our employees with no other shareholders. In each of the 170 countries where we operate, we abide by the national laws and guidelines. To do otherwise would end our business overnight.”

[27] 政府採購法第1條:「為建立政府採購制度,依公平、公開之採購程序,提升採購效率與功能,確保採購品質,爰制定本法。」

[28] 政府採購法第36條:「機關辦理採購,得依實際需要,規定投標廠商之基本資格。特殊或巨額之採購,須由具有相當經驗、實績、人力、財力、設備等之廠商始能擔任者,得另規定投標廠商之特定資格。外國廠商之投標資格及應提出之資格文件,得就實際需要另行規定,附經公證或認證之中文譯本,並於招標文件中訂明。第一項基本資格、第二項特定資格與特殊或巨額採購之範圍及認定標準,由主管機關定之。」

[29] 民間業者之採購係屬於民事契約,原則上並不需適用政府採購法,但如屬於公立學校、公營事業辦理採購時,仍適用政府採購法之相關規定。

[30] 臺灣地區與大陸地區人民關係條例第35條第3項:「臺灣地區人民、法人、團體或其他機構,經主管機關許可,得從事臺灣地區與大陸地區間貿易;其許可、輸出入物品項目與規定、開放條件與程序、停止輸出入之規定及其他輸出入管理應遵行事項之辦法,由有關主管機關擬訂,報請行政院核定之。」

[31] 臺灣地區與大陸地區貿易許可辦法第7條第1項:「大陸地區物品,除下列各款規定外,不得輸入臺灣地區:一、主管機關公告准許輸入項目及其條件之物品。二、古物、宗教文物、民族藝術品、民俗文物、藝術品、文化資產維修材料及文教活動所需之少量物品。三、自用之研究或開發用樣品。四、依大陸地區產業技術引進許可辦法規定准許輸入之物品。五、供學校、研究機構及動物園用之動物。六、保稅工廠輸入供加工外銷之原物料與零組件,及供重整後全數外銷之物品。七、加工出口區及科學工業園區廠商輸入供加工外銷之原物料與零組件,及供重整後全數外銷之物品。八、醫療用中藥材。九、行政院新聞局許可之出版品、電影片、錄影節目及廣播電視節目。十、財政部核定並經海關公告准許入境旅客攜帶入境之物品。十一、船員及航空器服務人員依規定攜帶入境之物品。十二、兩岸海上漁事糾紛和解賠償之漁獲物。十三、其他經主管機關專案核准之物品。」

[32] 臺灣地區與大陸地區貿易許可辦法第8條第1項:「主管機關依前條第一項第一款公告准許輸入之大陸地區物品項目,以符合下列條件者為限:一、不危害國家安全。二、對相關產業無重大不良影響。」

[33] 投標廠商資格與特殊或巨額採購認定標準第4條第1項第6款:「機關依第二條第二款訂定與履約能力有關之基本資格時,得依採購案件之特性及實際需要,就下列事項擇定廠商應附具之證明文件或物品:…六、其他法令規定或經主管機關認定者。」

[34] https://www.moeaic.gov.tw/download-file.jsp?do=BP&id=HmkGoSBaCyY= ,具敏感性或國安(含資安)疑慮之業務範疇。

[35] https://www.moeaic.gov.tw/download-file.jsp?do=BP&id=seb8R5JfT+w= ,陸資投資資訊產業事業清冊(107年5月21日更新)

[36] 資訊服務採購契約範本第16條第19項。(106年7月13日版本)

自我評量

是非題:(每題十分)

  1. ( ) 德德一時貪圖好玩,利用最新勒索病毒HowHow癱瘓台北市政府內部系統,雖未造成市府重大損失,但德德的行為仍涉犯刑法第359條破壞電磁紀錄罪。【資訊保護S10701】
  2. ( ) 在我國,即便透過合法程序蒐集個人資料,亦不代表該個人資料即可任意使用。【資訊保護S10702】
  3. ( ) 國際間,將智慧型手機安全分層區分為資料層、應用程式層、通訊協定層、作業系統層及硬體層。【資訊保護S10703】
  4. ( ) 近年來個人資料外洩事故頻傳,依照我國個人資料保護法之規定,若組織發生外洩事故時,應查明後利用適當方式通知當事人。【資訊保護S10704】
  5. ( ) 資訊服務採購如內含具敏感性或國安(含資安)疑慮之業務範疇,不得允許陸資資訊服務業者參與。【資訊保護S10705】

選擇題:(每題十分)

  1. ( ) 對於資訊安全之防護,請問下列何者錯誤?(1)組織之員工應定期接受其工作職能之相關訓練。(2)應實作防範惡意軟體之偵測、預防及復原控制措施。(3)應定期關閉防毒軟體。(4)應管理及控制網路。【資訊保護S10701】
  2. ( ) 我國個人資料法規定組織應於蒐集個人資料時,必須對當事人進行告知事項。請問下列關於告知事項內容何者有誤?(1)組織應告知個人資料的儲存方式。(2)組織應告知個人資料利用的期間。(3)組織應告知當事人權利行使方式。(4)組織應告知蒐集的目的。【資訊保護S10702】
  3. ( ) 根據我國電信法要求,我國販售的電信終端設備應通過技術規範。請問,關於訂定技術規範下列何者為非? (1)電氣安全,防止網路操作人員或使用者受到傷害。(2)第一類電信事業設置之電信機線設備與使用者連接之終端設備,應有明確之責任分界。(3)不得損害第一類電信事業之電信機線設備或對其機能造成障礙。(4)電磁相異。【資訊保護S10703】
  4. ( ) 依照個人資料保護法規定,當個資外洩事故發生時,組織應查明後通知當事人,請問組織可採取何種方式進行「通知」?(1)傳真。(2)電子郵件。(3)簡訊。(4)以上皆可能。【資訊保護S10704】
  5. ( ) 我國政府機關於辦理資訊及通訊安全相關採購案,針對廠商之資訊安全責任何者錯誤?(1)應遵守機關資訊安全管理及保密規定。(2)廠商提供之軟體進行版本管理。(3)廠商交付之軟體,應先行檢查是否內藏惡意程式。(4)若發生資安事件,廠商自行處理,得不需要通報機關。【資訊保護S10705】

評量解析

是非題:(每題十分)

  1. (O) 德德一時貪圖好玩,利用最新勒索病毒HowHow癱瘓台北市政府內部系統,雖未造成市府重大損失,但德德的行為仍涉犯刑法第359條破壞電磁紀錄罪。【資訊保護S10701】

解析:依刑法第359條規定:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」,另按刑法第361條規定:「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」且因台北市政府為公務機關,故德德恐觸犯刑法並得加重其刑。

  1. (O) 在我國,即便透過合法程序蒐集個人資料,亦不代表該個人資料即可任意使用。【資訊保護S10702】

解析:依個人資料保護法第5條規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」,另按同法第20條第1項規定:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。」綜上而言,合法蒐集之個人資料不得任意利用。

  1. (O) 國際間,將智慧型手機安全分層區分為資料層、應用程式層、通訊協定層、作業系統層及硬體層。【資訊保護S10703】

解析:依據智慧型手機系統內建軟體資通安全檢測技術規範2.2明訂:「本規範依據國際間對智慧型手機安全之分層概念,將智慧型手機區分為資料層、應用程式層、通訊協定層、作業系統層及硬體層五個層別,考量不同層別可能面臨的資訊安全風險有所不同,故對各層別分別訂定檢測項目。各檢測層別之安全性說明如下:資料層(Information/Data):資料之安全性主要包含資料的傳送、儲存或使用等相關安全,並應確保使用者資料避免遭系統內建軟體未經授權之蒐集、分享、使用、刪除、竄改及儲存。;應用程式層(APPs):應用程式之安全性主要包含程式信任來源、執行授權等相關安全,並應確保內建軟體避免未經授權存取系統資源。;通訊協定層(Protocol):通訊協定之安全性主要包含無線傳輸技術及通訊協定等相關安全,並應確保使用者對資料之傳輸、周邊設備之連接的可控管性。;作業系統層(Operating System):作業系統之安全性主要包含作業系統相關服務與身分辨識等相關安全,並應確保作業系統對系統資源之保護、提醒,並讓使用者於知情的狀況下進行更新。硬體層(Hardware):硬體之安全性主要包含金鑰與演算模組等安全,並應確保金鑰管理、存放之保護,及演算法之安全強度符合國際規範,並讓使用者於知情的狀況下進行更新。」故答案為正確。

  1. (O) 近年來個人資料外洩事故頻傳,依照我國個人資料保護法之規定,若組織發生外洩事故時,應查明後利用適當方式通知當事人。【資訊保護S10704】

解析:按個人資料保護法第12條規定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」故答案為正確。

  1. (O) 資訊服務採購如內含具敏感性或國安(含資安)疑慮之業務範疇,不得允許陸資資訊服務業者參與。【資訊保護S10705】

解析:依行政院公共工程委員會工程企第10400024613號函要求:「機關辦理資訊服務採購,如屬經濟部投資審議委員會公告『具敏感性或國安(含資安)疑慮之業務範疇』,於招標文件載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與,屬投標廠商資格與特殊或巨額採購認定標準第4條第1項第6款規定情形。」故答案為正確。

選擇題:(每題十分)

  1. (3) 對於資訊安全之防護,請問下列何者錯誤?(1)組織之員工應定期接受其工作職能之相關訓練。(2)應實作防範惡意軟體之偵測、預防及復原控制措施。(3)應定期關閉防毒軟體。(4)應管理及控制網路。【資訊保護S10701】

解析:選項(3)應為ISO 27001資訊備份A.12.3.1:「應議定之備份政策,定期取得資訊、軟體及系統的影像備份複本,並測試之。」

  1. (1) 我國個人資料法規定組織應於蒐集個人資料時,必須對當事人進行告知事項。請問下列關於告知事項內容何者有誤?(1)組織應告知個人資料的儲存方式。(2)組織應告知個人資料利用的期間。(3)組織應告知當事人權利行使方式。(4)組織應告知蒐集的目的。【資訊保護S10702】

解析:依個人資料保護法第8條規定:「公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。」,故選項(1)並非法律規定的範疇。

  1. (4) 根據我國電信法要求,我國販售的電信終端設備應通過技術規範。請問,關於訂定技術規範下列何者為非? (1)電氣安全,防止網路操作人員或使用者受到傷害。(2)第一類電信事業設置之電信機線設備與使用者連接之終端設備,應有明確之責任分界。(3)不得損害第一類電信事業之電信機線設備或對其機能造成障礙。(4)電磁相異。【資訊保護S10703】

解析:依電信法第42條第3項規定:「第一項技術規範之訂定,應確保下列事項:一、不得損害第一類電信事業之電信機線設備或對其機能造成障礙。二、不對第一類電信事業之電信機線設備之其他使用者造成妨害。三、第一類電信事業設置之電信機線設備與使用者連接之終端設備,應有明確之責任分界。四、電磁相容及與其他頻率和諧有效共用。五、電氣安全,防止網路操作人員或使用者受到傷害。」故選項(4)應為電磁相容。

  1. (4) 依照個人資料保護法規定,當個資外洩事故發生時,組織應查明後通知當事人,請問組織可採取何種方式進行「通知」?(1)傳真。(2)電子郵件。(3)簡訊。(4)以上皆可能。【資訊保護S10704】

解析:按個人資料保護法施行細則第22條第1項規定:「本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。」故應選選項(4)以上皆可能。

  1. (4) 我國政府機關於辦理資訊及通訊安全相關採購案,針對廠商之資訊安全責任何者錯誤?(1)應遵守機關資訊安全管理及保密規定。(2)廠商提供之軟體進行版本管理。(3)廠商交付之軟體,應先行檢查是否內藏惡意程式。(4)若發生資安事件,廠商自行處理,得不需要通報機關。【資訊保護S10705】

解析:依照行政院公共工程委員會所訂定之資訊服務採購契約範本第16條第19項第5款規定:「廠商提供服務,如發生資安事件時,必須通報機關,提出緊急應變處置,並配合機關做後續處理。」故選項(4)為錯誤。

自我評量檢測成果評分說明

得分

溫馨提醒

100分

資安小博士非您莫屬

80分~90分

小粗心,別灰心

60分~70分

釐清觀念,滿分到手

40分~50分

再接再厲,繼續努力

20分~30分

牛刀小試,再來一次


2019/5/1 11:44:36