【導讀】科技管理永遠領先客氣客觀客戶滿意Page1. ＊ISO組織成立與沿革簡介。1)ISO9000品質(zhì)管理系統(tǒng)。2)ISO14000環(huán)境管理系統(tǒng)。4)ISO20200資訊服務管理系統(tǒng)。5)ISO27000資訊安全管理系統(tǒng)。強調(diào)目標管理、客戶導向、流程導向。系統(tǒng)安全指導綱要」。議，沒有通過成為ISO標準之要求。規(guī)範」並為資訊安全管理認證之依據(jù)。2020年將發(fā)行ISMS的27000標準系列。資訊科技從1960年代才算正式開始。在較封閉的環(huán)境中由少數(shù)人操作，安全風險低。軟碟經(jīng)常交換使用，資訊安全事件開始浮現(xiàn)。路的目的也從惡作劇轉(zhuǎn)變?yōu)榉欠ɡ嬷〉?。資訊是一種資產(chǎn)，尌像其他的重要資產(chǎn)一樣，對。資訊可以許多的形式存在，可以書寫或列印於紙。不管資訊的形式是什麼，或者共用或儲存的方式。我們要保護的重點是什麼？包括辦公區(qū)與管制區(qū)。對於電磁輻射敏感。

　　

【正文】 到訪者入海關(guān)檢查時間，並可有效防範護照偽造，保障邊境安全 。 ?有感於國際應用電子生物護照趨勢，我國政府也於 2020年提出護照條例修正草案，擬賦予政府發(fā)行晶片護照之法源依據(jù)。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 75 ? 然而，政府對於蒐集民眾生物特徵後的個人資料如何保護議題，似仍未見明確之說明。 ? 相關(guān)爭議，尌如同我國先前因政府換發(fā)身分證擬強制錄存指紋之爭議一般；該案並已經(jīng)司法院作成釋字第 603號解釋。 ? 雖然如此，透過 RFID技術(shù)在護照防偽功能上的好處是否大於護照持有者尌其個人資料安全上的威脅，一直仍為各方爭議中。 ? 各國的人權(quán)團體無一不擔心 RFID晶片為駭客所破解，個人資料因而被側(cè)錄，造成資料外洩，甚至供以犯罪之用。 ? 個人資料的管理及保護預計是 RFID在電子生物護照應用上最受爭議的議題。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 76 ? 根據(jù)釋字第 603號解釋意旨，憲法對資訊隱私權(quán)之保障並非絕對，國家得於符合憲法 23條規(guī)定意旨之範圍內(nèi)，以法律明確規(guī)定對之予以適當之限制。 ? 亦即，政府如果確定將發(fā)行電子晶片護照，應注意：應以法律明定其蒐集之目的；個人生物資料之蒐集應與重大公益目的之達成具有密切必要性與關(guān)聯(lián)性；應明文禁止法定目的外之使用；而最重要者，主管機關(guān)應配合當代科技發(fā)展，對所蒐集之檔案採取組織上與程序上必要之防護措施。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 77 ? 我國「電腦處理個人資料保護法」對政府蒐集民眾個人資料的安全管理規(guī)範，僅見於個資法第 17條，要求公務機關(guān)應指定專人依相關(guān)法律辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。 ? 另包括若公務機關(guān)違反本法規(guī)定，致當事人權(quán)益受損者，則應依個資法第 27條負損害賠償責任。此種規(guī)範方式，實不足以回應釋字第 603號所揭示的個人資料保護原則。 ? 政府後續(xù)在推動電子生物護照時，實應強化法源，在組織上與技術(shù)上建立更安全的防護機制並建立透明的稽核機制，納入公眾參與，才可能消弭電子生物護照帶來的個人資料管理疑慮。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 78 貳、資訊安全管理 二、個人資料保護 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 79 某名主持人病歷資料外洩事件 ?案例事實 【 案號： 1101】 ?2020 年有陳姓醫(yī)師將其對某知名女主持人「利 X」的變性醫(yī)療詳細過程與病歷資料刊登於某醫(yī)學期刊上。 ?其後檢方認為涉案人所公布醫(yī)療詳細過程與病歷資料雖未經(jīng)診療被害人同意，但所刊登之所在為醫(yī)學期刊，屬特定專業(yè)人士所限閱，未能構(gòu)成散播或洩漏個人隱密資料之條件，該案以不受理不起訴處分偵察終結(jié)。 ?病歷來源之醫(yī)療機構(gòu)的管理責任為本案探究之重點。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 80 ?法律說明 ?電腦應用已經(jīng)成為民眾生活、工作的重要部分，事關(guān)民眾健康之醫(yī)療機構(gòu)近年亦大力推動醫(yī)療資訊、病歷電子化的工作。 ?依據(jù)衛(wèi)生罫 93年訂定「醫(yī)療機構(gòu)實施電子病歷作業(yè)要點」規(guī)定，所謂電子病歷是以電子文件方式製作、保存之病歷。 ?該要點並規(guī)定醫(yī)療機構(gòu)應設置經(jīng)適當訓練之人員，以確保電子病歷之安全。 ? 本案例中，利姓被害人遭公布之病歷為 A醫(yī)院所有，依據(jù)「電腦處理個人資料保護法」 (以下簡稱個資法 )的規(guī)定，該醫(yī)院即應做好保護措施，不讓病歷外洩。 ? 不過值得注意的是，目前個資法所規(guī)範之範圍僅限於經(jīng)電腦處理之個人資料，若非經(jīng)電腦處理之個人資料 (如手寫紙本 )則不在本法保護範圍中。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 81 ?本案分析上第一步值得探究者，為所公布醫(yī)療詳細過程與病歷資料雖未經(jīng)診療被害人同意，但所刊登之所在為醫(yī)學期刊，是否為公共刊物。 ?若不是，則無現(xiàn)行個資法適用；若是，則該醫(yī)院與該醫(yī)師對病患病歷外洩即應負個資法責任。 ?其次，病歷電子化後既為個資法所保護的客體，醫(yī)療機構(gòu)有防止資料被竊取、竄改、毀損、滅失或洩漏之義務。 ?亦即，依據(jù)個資法第 28條規(guī)定，該醫(yī)院對於病歷外流乙事應負舉證責任，證明醫(yī)院本身無故意或過失，否則對於病患因此所受之損害應負民事上的損害賠償責任。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 82 信用卡資料外洩事件 ? 案例事實 【 案號： 2202】 ? 2020年底國道警察偵破堪稱南部歷來規(guī)模最大的信用卡偽造、盜刷集團，逮捕「南部偽卡教父」主嫌黃 X卲在內(nèi)共 15名嫌犯。 ? 該集團以派員應徵加油站短期工讀生之方式趁隙盜錄信用卡內(nèi)碼，以製作偽卡進行盜刷。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 83 ?法律說明 ?消費者使用信用卡消費已成為一種常見的付費方式，但隨著信用卡消費的普及，伴隨而來的是使用信用卡隱藏的風險 盜刷。 ?回顧近年新聞事件，偽卡集團常透過詐騙民眾、購買銀行行員竊取之信用卡資料或?qū)οM場所刷卡機進行側(cè)錄之方式，取得他人信用卡卡號、內(nèi)碼等資料偽造信用卡。 ?本案中犯罪集團成員為了達成製作偽卡之目的，於加油站側(cè)錄消費者信用卡，以供偽卡集團使用之行為，已經(jīng)明顯成立刑法第 204條意圖供偽造、變造信用，而製造、交付或收受各項器械、原料、或電磁紀錄之構(gòu)成要件，依法得處二年以下有期徒刑，並得併科五千元以下罰金。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 84 ?而製作偽卡以供使用者，則違反了刑法第 2011條偽造支付工具罪之幫助犯，最高得處以一年以上、七年以下的有期徒刑。此外，側(cè)錄他人信用卡資料之行為，同時違反了「電腦處理個人資料保護法」中對於「對於個人資料檔案為非法輸出、干擾、變更、刪除」之規(guī)定，依據(jù)個資法第 34條規(guī)定，可處三年以下有期徒刑、拘役或科新臺幣五萬元以下罰金。 ?為避免個人信用卡遭側(cè)錄，建議帄日應妥善保管皮夾及信用卡，並不隨意將信用卡交給他人，或離開自己視線，以降低卡片被側(cè)錄或商店重覆刷卡的風險。 ?一旦信用卡遺失，或發(fā)現(xiàn)有不正常之情況時，應立即聯(lián)繫發(fā)卡銀行通知，或完成掛失手續(xù)，避免造成損失。同時，消費者於簽單時，應再三確認簽帳單之內(nèi)容與張數(shù)，並於帄日養(yǎng)成保留簽帳單和核對帳單的習慣，才能第一時間發(fā)現(xiàn)異常的交易項目，保護自身權(quán)益。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 85 貳、資訊安全管理 三、資訊作業(yè)委外 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 86 你有病，因為我上網(wǎng)查的到！ ?案例事實 【 案號： 2301】 ?2020年有民眾發(fā)現(xiàn)，只要在 Yahoo!奇摩網(wǎng)站的搜尋引擎鍵入?yún)⑴c中央健保局氣喘計畫的醫(yī)院或醫(yī)師姓名，即可連線進入健保局的病人案件管理系統(tǒng)，包括參與病患之姓名、出生年月日、身分證字號、電話、地址甚至配偶資料等都一覽無遺。 ?更可由其他選項，查尋到醫(yī)師的個人資料及對病患的處置檢查報告等等，完全無頇憑證或帳號，引起全國的關(guān)注與恐慌。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 87 ?法律說明 ?在成本及效益的考量下，資訊委外的概念已成為主要潮流，各國政府與民間企業(yè)均愈來愈仰賴「委外」來達成降低營運成本、提升經(jīng)營效率與效益。 ?然而，若層出不窮發(fā)生的個人資料外洩事件所追溯的源頭，是具有公權(quán)力之行政機關(guān)所為之委外行為時，政府的形象、人民對政府的信心，恐怕會大受影響。 ?政府資訊服務委外的安全控管已成為各國不得不重視的課題。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 88 ?所謂「政府業(yè)務委託民間辦理」之概念，係指國家或地方公共團體之事業(yè)或事務，不由國家或地方公共團體直接處理，而為達成行政任務之要求，由行政機關(guān)保留必要監(jiān)督權(quán)限後，將之委託與民間企業(yè)、團體或私人代為處理。 ?惟頇注意者，機關(guān) (構(gòu) )與受託處理事務之團體或個人間仍頇負一定的連帶責任，機關(guān) (構(gòu) )不可能因業(yè)務委外而免除監(jiān)督責任。 ?例如電腦處理個人資料保護法（以下簡稱個資法）第 5條即明確說明，受公務機關(guān)委託處理資料之團體或個人，於本法適用範圍內(nèi)，其處理資料之人，視同委託機關(guān)之人。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 89 ? 因此一旦發(fā)生資料外洩事件，如案例中參與計畫相關(guān)人士的個人資料因欠缺安全機制導致外洩時，資料主體當事人即可選擇依個資法第 27條，或依參與計畫簽訂之契約關(guān)係，對機關(guān) (構(gòu) )請求損害賠償。 ? 機關(guān) (構(gòu) )在賠償當事人後，得再依委外契約，向廠商尌其損失求償。 ? 另外，廠商如在處理資訊業(yè)務時，因故意或過失侵害當事人之人格權(quán)，當事人也可另依民法向廠商請求財產(chǎn)及非財產(chǎn)上的損害賠償。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 90 ?為落實政府資訊委外作業(yè)時的安全管理，建議政府應慎選有信用之資訊服務提供廠商。 ?並妥善研議委外契約條款：應把「安全」列為契約主要標的；明確要求廠商應提供的 資訊安全等級 ，且資訊安全的保障應包含 資料機密性、完整性及可取用性之聲明 。 ?要求廠商訂定個人資料檔案安全維護計畫或業(yè)務終止後個人資料處理方法。 ?要求服務提供商之資訊安全標準應不低於機關(guān)本身；要求廠商在委外合約中 加列人員保密條款、簽訂保密切結(jié)書 ，必要時，要求政風人員參與協(xié)助委外廠商的安全查核工作等，以落實資安查核工作。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 91 誰向詐騙集團洩漏我的個人資料？ ?案例事實 【 案號： 2302】 ?法務部調(diào)查局接獲受害人投訴，渠等經(jīng)常接獲行銷電話或信件，造成生活困擾，懷疑個人資料遭外洩並遭他人不當使用。經(jīng)法務部調(diào)查後發(fā)現(xiàn)，受害人等資料外洩係肇因於 A汽車股份有限公司離職員工甲。 ?甲在 A 公司任職期間，擁有 A公司受委託使用 B 公司相關(guān)車籍資料庫之帳號密碼，離職後未經(jīng) A、 B 公司或當事人之同意，擅自使用該帳號密碼進入 B 公司資料庫，下載車籍資料並販售與他人牟利。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 92 ?法律說明 ?隨著科技資訊化的快速發(fā)展，大多數(shù)的企業(yè)在降低成本、達到經(jīng)濟規(guī)模考量下，都有服務委外的需求。 ?根據(jù) 2020年 6月 Forrester Research研究顯示，2020年歐洲光是軟體委外市場將達 275億歐元，帄均年複合成長率將達 10%。 ?特別在不斷推陳出新的資訊技術(shù)領域，如銀行、證券、保險業(yè)、電信甚至醫(yī)療院所等，都普遍將資訊技術(shù)委託專業(yè)，以節(jié)省自行運作單位成本，進而提昇同業(yè)間競爭力。 中華科技大學 ? 科技管理 永遠領先 客氣客觀 客戶滿意 Page 93 ?然而，近年來不斷發(fā)生組織或企業(yè)委外個人資料外洩，進而衍生後續(xù)被歹徒利用以進行詐騙、恐嚇等行為可知，企業(yè)委外仍應重視對客戶資料保護的承諾。 ?從法律層面分析，離職員工