歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
智財局個資外洩因委外控管有疏失
2009 / 09 / 18
張維君
日前媒體報導經濟部智慧財產局「二手教科書網」1.6萬筆個資外洩事件,指出該站會員登入帳號的權限控管不嚴謹,可輕易取得管理者權限,並任意瀏覽會員個資,包括身分證字號、姓名、電話等。爆料民眾亦在知名論壇痛批政府單位對網站資安控管太過草率。然而深入了解此案背後原因,問題的根本在於政府單位業務承辦人在委外發包專案時,只要求委外廠商完成網站功能卻未能一併要求達到相關安全檢核。
根據消息指出,由於二手教科書網站是智財局的「智慧財產權法令宣導計畫 校園深耕宣導案」當中的一部份,由業務承辦單位對外發包,中小企業協會負責執行。由此案看來,網站個資外洩,顯然與委外發包作業流程疏失有關,承辦人員未能在需求規格書中要求相關安全檢測,在系統交付時也就沒去驗收。在事件發生後,業務承辦人員以及網站委外製作廠商均已被要求必須補強網站安全控管,同時將來在專案的需求規格書以及合約中也將列入相關要求以及條款。
此一問題相信在其他政府機關都有可能發生。再次突顯資訊安全不只是資訊單位的事,所有業務承辦人員都應接受資安訓練,必須了解現在網站可能面臨的個資外洩風險以及相關責任歸屬問題,以本案為例,二手書的交換應該不需要留會員的身分證字號,「不需要的資料不要拿」,一旦擁有的資料越多,責任越大。
請廠商架設網站容易,但要架設一個安全的網站則不輕鬆,各業務單位應視網站資料的重要性,在合理的預算下來要求相對的安控等級。此外,網站相關的專案牽涉資訊專業,承辦人也可在專案重要時點請資訊人員協助提供建議,以避免資安事件一再上演。
個資外洩
權限控管
委外管理
智慧財產局
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.22
漢昕科技【 AI驅動的資安自動化革命:整合SOAR、AI威脅狩獵與OT/IT協防實戰研討會】高雄站
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.07.23
數位轉型下,企業的資安策略
2025.07.29
漢昕科技【 AI驅動的資安自動化革命:整合SOAR、AI威脅狩獵與OT/IT協防實戰研討會】台北站
2025.08.05
【2025 資安趨勢講堂】系列研討會
2025.08.08
網站滲透
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
資安人科技網
文章推薦
報告:開源惡意軟體暴增近2倍 攻擊者鎖定開發人員竊取憑證
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Ruckus Networks 網路管理設備存在多個未修補的嚴重資安漏洞