Day 22
放假混了一整天不知道要写什么?
今天的内容就实体安全、相关法规(个资、欧盟的规定会考!)
资讯安全的重点 CIA: 机密性、完整性、可用性
实体安全:同样要依循 CIA规则从技术面、管理面、功能面处理。
实体安全需整合人员、流程、步骤、设备,同时设计出合适的流程。
资产评估、风险评估。
人员:训练、演习、安全、管控(工作场域动线)。
环境:机房位置、建筑物安全、安全设施…
支援系统:UPS、水与冷却设备、消防系统
UPS: 线上式、离线式、线上交互式
消防:一般火灾、油类火灾、电器火灾、化学火灾…
灯光:连续照明、触发、备用、警报
监视:侦测层级、辨识层级、辨认层级
入侵侦测:阻断和产生电流、中断光线、侦测声音或音量改变、其他…
远端办公:BYOD (bring your own office)
/* 资讯安全法律与伦理 */
智慧财产权包含:商标权、专利权、著作权、营业秘密法…等
著作权:著作人格权(发表)、著作财产权(重制、表演、播送、散布)。
营业秘密:技术机密、商业机密
互联网相关:电子签章法、通讯保障及监察法、企业监听、隐私权
、个人资料保护…等
个人资料:姓名、出生年月日、国民身份证统一编号、护照号码、特
征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活
、健康检查、犯罪前科、联络方式、财务情况、社会活动或其他得
以直接或间接方式识别该个人之资料。
特种个人资料:病历、医疗、基因、性生活、健康检查、犯罪前科
1.普遍适用主体
2.扩大保护客体
3.增修行为规范
4.强化行政监督
5.促进民众参与(团体诉讼)
6.提高罚责规定
公务机关对于个人资料搜集规定
1.执行法定职务必要范围内。
2.经当事人书面同意。
3.对当事人权益无侵害。
GDPR (General Data Protection Regulation:GDPR) 欧盟
个人资料:
个人身份:护照号码、电话码、地址、病历、医疗记录等。
生物特征:指纹、脸部辨识、视网模扫瞄、相片。
电子记录:网络IP、行动装置识别码、社群网站活动记录、犯罪记录。