萬弘資訊資安顧問服務實戰案例說明：以資訊安全實際輔導案例(資安案例)，來說明大部份組織目前容易發生的資訊安全風險狀況，以及提供專業建議與預防方法，透過淺顯易懂又不失專業的描述結合生活案例進行思考，並指出最關鍵的問題與核心解決方案，期望社會大眾能以此為借鏡與學習。 服務項目如下： 1、資安顧問服務 2、個資保護管理 3、弱點掃描 4、滲透測試 5、營業秘密 6、教育訓練

1. 資安顧問服務實戰案例說明
連絡人：萬弘資訊顧問師
Email：sales@wanhung.com.tw
WebSite: http://www.wanhung.com.tw

2.  前言
 資料庫存取監控案例
 個人資料未識別風險案例
 委外廠商資料外洩案例
 委外廠商未執行監督案例
 異地備份資料外洩案例
 舊系統名單未刪除不當揭露案例
 輔導顧問也是風險
大綱

3. 前言
 說明：
 除了平日新聞媒體報導、電腦雜誌撰寫的資訊安全或個資外
洩案例之外，萬弘資訊提供實際輔導過程與協助客戶解決重
大資安議題之經驗與心得，期望社會大眾（不管是企業組織、
政府單位或是民眾個人）更能了解伴隨資訊安全之風險發生
的原因、以及預防方式，經由專業顧問師的建議觀點與客戶
互動訪談討論，說明應如何有效解決問題發生的根本緣由。

4.  客戶型態：
 企業客戶
 案例說明：
於資訊安全管理制度ISMS專案輔導過程中，藉由現況訪談與
風險管理，協助組織發現資訊安全環境中須緊急預防之重大風
險，即為：包含敏感重要資料與個人資料的資料庫，其維護方
式由委外廠商進行管理，資料存取過程無法有效管理是否有未
授權存取的情形發生。
 建議解決方案：
 資料庫管理員存取記錄未受竄改的留存，搭配日誌伺服器(log Server)
 資料庫稽核設備
 管理員連線與操作動作的側錄。
資料庫存取監控

5. 資料庫存取監控
 範例說明：
現實環境對於重要的資
產都會安裝監視器來偵
測是否有不法存取，資
訊軟體環境也適用此法，
諸如資料庫如此重要之
資訊資產，也應有防禦
機制。

6.  客戶型態：
 政府單位。
 案例說明：
 自從國內個人資料保護實施以後，該單位認真地進行了個
人資料盤點、也進行了個資風險評估，當然每年也排定了
內部查核活動，是一個非常守法的表率單位。於某次稽核
過程中，仍發現有紙本個資未被界定，提醒該單位「個人
資料」遺漏未界定之風險，雖然看似問題大大，但至少於
法令面、資料保護的風險面而言，是最基本不過的必要事
項。
 建議解決方案
 採用個資盤點工具檢視是否仍有遺漏之處。
 重新檢視業務流程，確認是否有遺漏之處。
個人資料未識別風險

7. 個人資料未識別風險
 範例說明：
 若您自助旅行預計帶著一群親朋好友出國旅遊，
因疏忽造成人數計算錯誤，可想而知後續一連串
問題的產生。

8.  客戶型態：
 旅行業者。
 案例說明：
某旅行業者官網伺服器與內部資料傳輸伺服器（FTP)，建
置於同一台主機上，但資料保存與權限管理未妥善處理，
導致旅客報名資料（姓名、出生年月日、身份證字號、護
照號碼）與護照影本，及該公司內部報價所有資料一覽無
遺呈現於google輕易可搜尋到的網際網路。
經訪談確認後，旅行業者內部人員並無資訊技術能力，完
全由委外廠商協助資訊營運，故上述事件為委外廠商資料
處理不當、委託廠商未執行監督所造成。
委外廠商資料外洩案例

9.  建議事項
 委外廠商合約資訊安全要求的描述。
 針對委外廠商定期進行監督與查核。
 網路區隔（外部網路、內部網路）。
 資訊服務存取權限的審查與控管。
委外廠商資料外洩案例
沒人希望開開
心心報名旅行
社出團，結果
自己的資料被
出賣公佈於網
際網路上吧？

10.  客戶型態：
 國內壽險公司、國內飲料品牌業者、國際知名化妝品品牌。
 案例說明：
壽險公司、飲料業者與國際化妝品公司，委由國內某資訊行銷公司
進行網路產品宣傳活動，同時進行抽獎活動，該公司蒐集大量個人
資料後，卻未進行妥善保管，內部資料伺服器未進行任何保護，導
致參與抽獎民眾資料不當揭露於網際網路（姓名、身份證字號、住
址、聯絡方式…等等）
 建議解決方案：
 委外廠商合約資訊安全、法令遵循要求的描述。
 針對委外廠商定期進行監督與查核。
 資訊服務存取權限的審查與控管。
委外廠商未執行監督案例

11. 委外廠商未執行監督案例
抽
獎
箱
 範例說明：
國內個人資料保護法已
定義受託機關蒐集、處
理、利用個人資料視同
委託機關。故應執行監
督，以此案例來看，不
會有當事人同意自己的
所有個人資料曝露於公
開網際網路（尤其是身
份證字號）。

12.  客戶型態：
 某上櫃資訊軟體公司
 案例說明：
 公司內部重要機密資料與全公司員工保險資料備份於電
信公司異地機房，但未設定權限控管，導致有意/無心的
人士於網路搜尋某「特定景點」即可查詢到該公司旅遊
保險資料、進而發現公司內部所有報價資料、內部組織
架構等等。
 建議解決方案
 網路區隔（內部網路、外部網路）
 權限定期審查與身份認証機制的建立
異地備份資料外洩案例

13. 異地備份資料外洩案例
 範例說明：
右圖為範例參
考，如有雷同
純屬巧合。僅
僅說明旅遊景
點的搜尋，意
外找出某企業
組織的風險!!!!

14.  客戶型態：
 學校單位
 案例說明：
 學校單位資訊組同仁不清楚業務範圍保管之資產項目，以及
未落實國內個人資料保護法應盡的責任，導致舊有系統上之
轉校生名單資訊不當揭露於網際網路上，經由當事人請求顧
問師協助，協調該校進行資料刪除與建議管控措施。。
 建議解決方案
 個人資料範圍界定、與個資風險評估的建立
 依據所外洩之資料，進行網路暫存檔的刪除，以確保根除。
舊系統名單未刪除不當揭露案例

15.  範例說明：
您是否清楚進行資源
回收時，丟棄物品上
是否包含您的資產
（鈔票、重要證件影
本、或是重要單據等
等）
舊系統名單未刪除不當揭露案例

16.  案例：
 曾接觸過部份所謂「資深」顧問師於客戶輔導資訊安全
的過程中，遭受客戶私底下質疑專業能力不足，而不願
接受其稽核的執行 。
 也曾遇過資深顧問師於教育訓練場合，因專業能力不足，
採用雞同鴨講方式回應問題，引起台下聽眾反彈。
 最嚴重的是：於重要稽核活動中，為了貪圖時間與方便
將客戶重大安全性議題視而不見，導致更大的潛在風險
無法被識別與預防。
輔導顧問也是風險

17.  說明：
 經由長期觀察並與客戶互動所得到之回饋，客戶最害怕
顧問公司輔導同仁空有「大量證照」、「國外學歷」,、
「號稱資深」，卻缺乏最關鍵的經驗、態度與能力及與
人互動的情緒管理。
 顧問帶來的風險如下：
1、無實際輔導與客戶互動經驗。
2、專業能力不足，無法發現專業安全性議題。
3、答非所問，雞同鴨講，無法有效解決問題。
4、便宜行事，關鍵問題視而不見，產生更大風險。
輔導顧問也是風險

18. 完整資完整資訊提供
訊提供

19.  資訊安全顧問服務輔導(萬弘資訊首頁)
 ISO27001:2013資安管理制度顧問輔導(資安顧問服務)
 資訊安全風險管理顧問服務(資安顧問服務)
 資訊安全風險管理與營運持續管理(資安顧問服務)
 資訊安全營運持續管理(資安顧問服務)
資訊安全服務與文章

20.  ISO27001pdf(資安顧問)
 ISO27001:2013資安管理制度相關文章
 ISO 27001:2013資訊安管理系統新版控制項介紹(資安顧問
簡述)
 資訊安全管理系統ISO 27001:2013本文簡介 (資安顧問簡述)
 ISO 27001:2005與ISO 27001:2013重點差異說明pdf (資安
顧問簡述)
 ISO 27001:2013資訊安全管理系統(資安顧問簡述)
資訊安全服務與文章

21.  個資委外監督稽核查核服務(資安顧問服務)
 網路個資刪除移除服務與諮詢(資安顧問服務)
 個資管理制度輔導(資安顧問服務)
 個資風險管理評估服務(資安顧問服務)
 個人資料管理制度輔導(資安顧問服務)
個資保護服務與文章

22.  建立產生線上QR code製作
 實用資訊分享(Android app、雲端服務、小工具)
 密碼保護
實用資訊提供

23.  資訊安全案例(Virus shield)資安顧問提供
 最大風險說明與實務經驗分享(資安顧問觀點)
 資訊安全例例_申請網上支付 (資安顧問案例)
 個資管理制度與品牌(資安顧問案例)
資訊安全案例分享 (資安顧問實戰經
驗分享)

24.  資訊安全範例分享(資安顧問提供)
 whoscall個資外洩與追蹤(資安顧問案例)
 資訊安全內部稽核案例(資安顧問服務)
 資訊安全內部稽核實務(備份)_資安顧問觀點
資訊安全案例分享 (資安顧問實戰經
驗分享)

25.  ISO 27001:2013資安管理制度建置實務
 ISO 27001:2013轉版教育訓練
相關教育訓練

26. 敬請指教