歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
智財局個資外洩因委外控管有疏失
2009 / 09 / 18
張維君
日前媒體報導經濟部智慧財產局「二手教科書網」1.6萬筆個資外洩事件,指出該站會員登入帳號的權限控管不嚴謹,可輕易取得管理者權限,並任意瀏覽會員個資,包括身分證字號、姓名、電話等。爆料民眾亦在知名論壇痛批政府單位對網站資安控管太過草率。然而深入了解此案背後原因,問題的根本在於政府單位業務承辦人在委外發包專案時,只要求委外廠商完成網站功能卻未能一併要求達到相關安全檢核。
根據消息指出,由於二手教科書網站是智財局的「智慧財產權法令宣導計畫 校園深耕宣導案」當中的一部份,由業務承辦單位對外發包,中小企業協會負責執行。由此案看來,網站個資外洩,顯然與委外發包作業流程疏失有關,承辦人員未能在需求規格書中要求相關安全檢測,在系統交付時也就沒去驗收。在事件發生後,業務承辦人員以及網站委外製作廠商均已被要求必須補強網站安全控管,同時將來在專案的需求規格書以及合約中也將列入相關要求以及條款。
此一問題相信在其他政府機關都有可能發生。再次突顯資訊安全不只是資訊單位的事,所有業務承辦人員都應接受資安訓練,必須了解現在網站可能面臨的個資外洩風險以及相關責任歸屬問題,以本案為例,二手書的交換應該不需要留會員的身分證字號,「不需要的資料不要拿」,一旦擁有的資料越多,責任越大。
請廠商架設網站容易,但要架設一個安全的網站則不輕鬆,各業務單位應視網站資料的重要性,在合理的預算下來要求相對的安控等級。此外,網站相關的專案牽涉資訊專業,承辦人也可在專案重要時點請資訊人員協助提供建議,以避免資安事件一再上演。
個資外洩
權限控管
委外管理
智慧財產局
最新活動
2025.02.19
2025資安365年會
看更多活動
大家都在看
全球大規模暴力破解攻擊!280萬個IP鎖定防火牆、VPN等設備
MediaTek晶片的WLAN驅動程式最新漏洞影響數百萬裝置安全
台灣首例醫院大規模遭駭:馬偕醫院遭勒索軟體攻擊,資安署進駐協助
萬事達卡2030年前將取消16位卡號 改採生物辨識、網路權杖強化支付安全
Google、Discord、OpenAI攜手「ROOST計畫」免費開源工具建構AI安全網路
資安人科技網
文章推薦
美國 CISA 與 FBI 聚焦緩衝區溢位漏洞,籲開發者採用記憶體安全程式語言
中國 APT 組織走勒索攻擊路線!對受害企業索 200 萬美元贖金
中國駭客組織「鹽颱風」近期大規模攻擊思科設備,全球電信商成主要目標