狠狠撸

狠狠撸Share a Scribd company logo

资安顾问服务案例说明

?
?
Wanhung Chou
Wanhung Chou

萬弘資訊資安顧問服務實戰案例說明:以資訊安全實際輔導案例(資安案例),來說明大部份組織目前容易發生的資訊安全風險狀況,以及提供專業建議與預防方法,透過淺顯易懂又不失專業的描述結合生活案例進行思考,並指出最關鍵的問題與核心解決方案,期望社會大眾能以此為借鏡與學習。 服務項目如下: 1、資安顧問服務 2、個資保護管理 3、弱點掃描 4、滲透測試 5、營業秘密 6、教育訓練

1 of 26
Downloaded 11 times
資安顧問服務實戰案例說明 連絡人:萬弘資訊顧問師 Email:sales@wanhung.com.tw WebSite: http://www.wanhung.com.tw
? 前言 ? 資料庫存取監控案例 ? 個人資料未識別風險案例 ? 委外廠商資料外洩案例 ? 委外廠商未執行監督案例 ? 異地備份資料外洩案例 ? 舊系統名單未刪除不當揭露案例 ? 輔導顧問也是風險 大綱
前言 ? 說明: ? 除了平日新聞媒體報導、電腦雜誌撰寫的資訊安全或個資外 洩案例之外,萬弘資訊提供實際輔導過程與協助客戶解決重 大資安議題之經驗與心得,期望社會大眾(不管是企業組織、 政府單位或是民眾個人)更能了解伴隨資訊安全之風險發生 的原因、以及預防方式,經由專業顧問師的建議觀點與客戶 互動訪談討論,說明應如何有效解決問題發生的根本緣由。
? 客戶型態: ? 企業客戶 ? 案例說明: 於資訊安全管理制度ISMS專案輔導過程中,藉由現況訪談與 風險管理,協助組織發現資訊安全環境中須緊急預防之重大風 險,即為:包含敏感重要資料與個人資料的資料庫,其維護方 式由委外廠商進行管理,資料存取過程無法有效管理是否有未 授權存取的情形發生。 ? 建議解決方案: ? 資料庫管理員存取記錄未受竄改的留存,搭配日誌伺服器(log Server) ? 資料庫稽核設備 ? 管理員連線與操作動作的側錄。 資料庫存取監控
資料庫存取監控 ? 範例說明: 現實環境對於重要的資 產都會安裝監視器來偵 測是否有不法存取,資 訊軟體環境也適用此法, 諸如資料庫如此重要之 資訊資產,也應有防禦 機制。
? 客戶型態: ? 政府單位。 ? 案例說明: ? 自從國內個人資料保護實施以後,該單位認真地進行了個 人資料盤點、也進行了個資風險評估,當然每年也排定了 內部查核活動,是一個非常守法的表率單位。於某次稽核 過程中,仍發現有紙本個資未被界定,提醒該單位「個人 資料」遺漏未界定之風險,雖然看似問題大大,但至少於 法令面、資料保護的風險面而言,是最基本不過的必要事 項。 ? 建議解決方案 ? 採用個資盤點工具檢視是否仍有遺漏之處。 ? 重新檢視業務流程,確認是否有遺漏之處。 個人資料未識別風險
個人資料未識別風險 ? 範例說明: ? 若您自助旅行預計帶著一群親朋好友出國旅遊, 因疏忽造成人數計算錯誤,可想而知後續一連串 問題的產生。
? 客戶型態: ? 旅行業者。 ? 案例說明: 某旅行業者官網伺服器與內部資料傳輸伺服器(FTP),建 置於同一台主機上,但資料保存與權限管理未妥善處理, 導致旅客報名資料(姓名、出生年月日、身份證字號、護 照號碼)與護照影本,及該公司內部報價所有資料一覽無 遺呈現於google輕易可搜尋到的網際網路。 經訪談確認後,旅行業者內部人員並無資訊技術能力,完 全由委外廠商協助資訊營運,故上述事件為委外廠商資料 處理不當、委託廠商未執行監督所造成。 委外廠商資料外洩案例
? 建議事項 ? 委外廠商合約資訊安全要求的描述。 ? 針對委外廠商定期進行監督與查核。 ? 網路區隔(外部網路、內部網路)。 ? 資訊服務存取權限的審查與控管。 委外廠商資料外洩案例 沒人希望開開 心心報名旅行 社出團,結果 自己的資料被 出賣公佈於網 際網路上吧?
? 客戶型態: ? 國內壽險公司、國內飲料品牌業者、國際知名化妝品品牌。 ? 案例說明: 壽險公司、飲料業者與國際化妝品公司,委由國內某資訊行銷公司 進行網路產品宣傳活動,同時進行抽獎活動,該公司蒐集大量個人 資料後,卻未進行妥善保管,內部資料伺服器未進行任何保護,導 致參與抽獎民眾資料不當揭露於網際網路(姓名、身份證字號、住 址、聯絡方式…等等) ? 建議解決方案: ? 委外廠商合約資訊安全、法令遵循要求的描述。 ? 針對委外廠商定期進行監督與查核。 ? 資訊服務存取權限的審查與控管。 委外廠商未執行監督案例
委外廠商未執行監督案例 抽 獎 箱 ? 範例說明: 國內個人資料保護法已 定義受託機關蒐集、處 理、利用個人資料視同 委託機關。故應執行監 督,以此案例來看,不 會有當事人同意自己的 所有個人資料曝露於公 開網際網路(尤其是身 份證字號)。
? 客戶型態: ? 某上櫃資訊軟體公司 ? 案例說明: ? 公司內部重要機密資料與全公司員工保險資料備份於電 信公司異地機房,但未設定權限控管,導致有意/無心的 人士於網路搜尋某「特定景點」即可查詢到該公司旅遊 保險資料、進而發現公司內部所有報價資料、內部組織 架構等等。 ? 建議解決方案 ? 網路區隔(內部網路、外部網路) ? 權限定期審查與身份認証機制的建立 異地備份資料外洩案例
異地備份資料外洩案例 ? 範例說明: 右圖為範例參 考,如有雷同 純屬巧合。僅 僅說明旅遊景 點的搜尋,意 外找出某企業 組織的風險!!!!
? 客戶型態: ? 學校單位 ? 案例說明: ? 學校單位資訊組同仁不清楚業務範圍保管之資產項目,以及 未落實國內個人資料保護法應盡的責任,導致舊有系統上之 轉校生名單資訊不當揭露於網際網路上,經由當事人請求顧 問師協助,協調該校進行資料刪除與建議管控措施。。 ? 建議解決方案 ? 個人資料範圍界定、與個資風險評估的建立 ? 依據所外洩之資料,進行網路暫存檔的刪除,以確保根除。 舊系統名單未刪除不當揭露案例
? 範例說明: 您是否清楚進行資源 回收時,丟棄物品上 是否包含您的資產 (鈔票、重要證件影 本、或是重要單據等 等) 舊系統名單未刪除不當揭露案例
? 案例: ? 曾接觸過部份所謂「資深」顧問師於客戶輔導資訊安全 的過程中,遭受客戶私底下質疑專業能力不足,而不願 接受其稽核的執行 。 ? 也曾遇過資深顧問師於教育訓練場合,因專業能力不足, 採用雞同鴨講方式回應問題,引起台下聽眾反彈。 ? 最嚴重的是:於重要稽核活動中,為了貪圖時間與方便 將客戶重大安全性議題視而不見,導致更大的潛在風險 無法被識別與預防。 輔導顧問也是風險
? 說明: ? 經由長期觀察並與客戶互動所得到之回饋,客戶最害怕 顧問公司輔導同仁空有「大量證照」、「國外學歷」,、 「號稱資深」,卻缺乏最關鍵的經驗、態度與能力及與 人互動的情緒管理。 ? 顧問帶來的風險如下: 1、無實際輔導與客戶互動經驗。 2、專業能力不足,無法發現專業安全性議題。 3、答非所問,雞同鴨講,無法有效解決問題。 4、便宜行事,關鍵問題視而不見,產生更大風險。 輔導顧問也是風險
完整資完整資訊提供 訊提供
? 資訊安全顧問服務輔導(萬弘資訊首頁) ? ISO27001:2013資安管理制度顧問輔導(資安顧問服務) ? 資訊安全風險管理顧問服務(資安顧問服務) ? 資訊安全風險管理與營運持續管理(資安顧問服務) ? 資訊安全營運持續管理(資安顧問服務) 資訊安全服務與文章
? ISO27001pdf(資安顧問) ? ISO27001:2013資安管理制度相關文章 ? ISO 27001:2013資訊安管理系統新版控制項介紹(資安顧問 簡述) ? 資訊安全管理系統ISO 27001:2013本文簡介 (資安顧問簡述) ? ISO 27001:2005與ISO 27001:2013重點差異說明pdf (資安 顧問簡述) ? ISO 27001:2013資訊安全管理系統(資安顧問簡述) 資訊安全服務與文章
? 個資委外監督稽核查核服務(資安顧問服務) ? 網路個資刪除移除服務與諮詢(資安顧問服務) ? 個資管理制度輔導(資安顧問服務) ? 個資風險管理評估服務(資安顧問服務) ? 個人資料管理制度輔導(資安顧問服務) 個資保護服務與文章
? 建立產生線上QR code製作 ? 實用資訊分享(Android app、雲端服務、小工具) ? 密碼保護 實用資訊提供
? 資訊安全案例(Virus shield)資安顧問提供 ? 最大風險說明與實務經驗分享(資安顧問觀點) ? 資訊安全例例_申請網上支付 (資安顧問案例) ? 個資管理制度與品牌(資安顧問案例) 資訊安全案例分享 (資安顧問實戰經 驗分享)
? 資訊安全範例分享(資安顧問提供) ? whoscall個資外洩與追蹤(資安顧問案例) ? 資訊安全內部稽核案例(資安顧問服務) ? 資訊安全內部稽核實務(備份)_資安顧問觀點 資訊安全案例分享 (資安顧問實戰經 驗分享)
? ISO 27001:2013資安管理制度建置實務 ? ISO 27001:2013轉版教育訓練 相關教育訓練
敬请指教

More Related Content

资安顾问服务案例说明