歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
法蘭克福新時代傳媒有限公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
智財局個資外洩因委外控管有疏失
2009 / 09 / 18
張維君
日前媒體報導經濟部智慧財產局「二手教科書網」1.6萬筆個資外洩事件,指出該站會員登入帳號的權限控管不嚴謹,可輕易取得管理者權限,並任意瀏覽會員個資,包括身分證字號、姓名、電話等。爆料民眾亦在知名論壇痛批政府單位對網站資安控管太過草率。然而深入了解此案背後原因,問題的根本在於政府單位業務承辦人在委外發包專案時,只要求委外廠商完成網站功能卻未能一併要求達到相關安全檢核。
根據消息指出,由於二手教科書網站是智財局的「智慧財產權法令宣導計畫 校園深耕宣導案」當中的一部份,由業務承辦單位對外發包,中小企業協會負責執行。由此案看來,網站個資外洩,顯然與委外發包作業流程疏失有關,承辦人員未能在需求規格書中要求相關安全檢測,在系統交付時也就沒去驗收。在事件發生後,業務承辦人員以及網站委外製作廠商均已被要求必須補強網站安全控管,同時將來在專案的需求規格書以及合約中也將列入相關要求以及條款。
此一問題相信在其他政府機關都有可能發生。再次突顯資訊安全不只是資訊單位的事,所有業務承辦人員都應接受資安訓練,必須了解現在網站可能面臨的個資外洩風險以及相關責任歸屬問題,以本案為例,二手書的交換應該不需要留會員的身分證字號,「不需要的資料不要拿」,一旦擁有的資料越多,責任越大。
請廠商架設網站容易,但要架設一個安全的網站則不輕鬆,各業務單位應視網站資料的重要性,在合理的預算下來要求相對的安控等級。此外,網站相關的專案牽涉資訊專業,承辦人也可在專案重要時點請資訊人員協助提供建議,以避免資安事件一再上演。
個資外洩
權限控管
委外管理
智慧財產局
最新活動
2021.03.09
第20屆 亞太資訊安全論壇暨展會
2021.03.11
Fortinet ACCELERATE 2021-線上網路大會
2021.03.18
後疫情時代|資安策略的轉變與資安治理的價值
2021.04.21
物聯網資安跨界聯防應用專區@Secutech 2021
看更多活動
大家都在看
最新 Sunburst 目標式攻擊分析
美國聯邦密碼模組安全標準FIPS 140-3,防止機敏資料外洩
紅帽: 2021數位轉型策略需思考五大關鍵趨勢,資安是要素之一
雲端為王:2021年需關注的9種軟體安全趨勢
[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?
資安人科技網
文章推薦
微軟Ignite 2021大會:雲端擘畫未來十年創新,始於設計階段的安全與信任(trust by design)
Check Point 推出 Quantum Spark 安全閘道,按月訂閱協助中小型企業部屬資安
數位轉型、5G飆網的時代,資安必備基本4P,您準備好了嗎?