歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
智財局個資外洩因委外控管有疏失
2009 / 09 / 18
張維君
日前媒體報導經濟部智慧財產局「二手教科書網」1.6萬筆個資外洩事件,指出該站會員登入帳號的權限控管不嚴謹,可輕易取得管理者權限,並任意瀏覽會員個資,包括身分證字號、姓名、電話等。爆料民眾亦在知名論壇痛批政府單位對網站資安控管太過草率。然而深入了解此案背後原因,問題的根本在於政府單位業務承辦人在委外發包專案時,只要求委外廠商完成網站功能卻未能一併要求達到相關安全檢核。
根據消息指出,由於二手教科書網站是智財局的「智慧財產權法令宣導計畫 校園深耕宣導案」當中的一部份,由業務承辦單位對外發包,中小企業協會負責執行。由此案看來,網站個資外洩,顯然與委外發包作業流程疏失有關,承辦人員未能在需求規格書中要求相關安全檢測,在系統交付時也就沒去驗收。在事件發生後,業務承辦人員以及網站委外製作廠商均已被要求必須補強網站安全控管,同時將來在專案的需求規格書以及合約中也將列入相關要求以及條款。
此一問題相信在其他政府機關都有可能發生。再次突顯資訊安全不只是資訊單位的事,所有業務承辦人員都應接受資安訓練,必須了解現在網站可能面臨的個資外洩風險以及相關責任歸屬問題,以本案為例,二手書的交換應該不需要留會員的身分證字號,「不需要的資料不要拿」,一旦擁有的資料越多,責任越大。
請廠商架設網站容易,但要架設一個安全的網站則不輕鬆,各業務單位應視網站資料的重要性,在合理的預算下來要求相對的安控等級。此外,網站相關的專案牽涉資訊專業,承辦人也可在專案重要時點請資訊人員協助提供建議,以避免資安事件一再上演。
個資外洩
權限控管
委外管理
智慧財產局
最新活動
2024.08.02
2024 政府資安發展論壇
2024.08.16
資安長高階領導班
看更多活動
大家都在看
微軟大當機!疑似與資安軟體Crowdstrike更新有關
2024 關鍵基礎設施調查報告:能源與水利復原成本四倍暴增,漏洞利用攻擊占半數
Google 擬以 230 億美元收購 Wiz 強化雲端安全布局
台灣資安大聯盟正式成立 致力打造台灣成為全球數位安全領導者
TXOne Networks宣布任命Stephen Driggers擔任營收長
資安人科技網
文章推薦
Check Point 與逢甲大學攜手合作 打造中臺灣資安人才培育基地
F5 SOAS AI 2024報告 :資料治理和安全問題存在差距,企業仍在擴大部署AI
微軟大當機!疑似與資安軟體Crowdstrike更新有關