從國際標準探討資安及個資法因應之道

從國際標準探討資安及個資法因應之道

叡揚資訊資訊安全事業處
報告人：吳黎權(Ab Wu)副總經理
E-mail：gss_iss@mail.gss.com.tw
日期：2011/07/07

簡報大綱

 個人資料保護法
 從國際標準看資安必要防護機制
 叡揚資安整體解決方案(P-D-C-A)

1

叡揚資訊(GSS)—資訊安全服務廠商

 2006年開始代理Fortify應用系統安全解決方案
 應用系統安全服務廠商
 2010年提出應用系統安全整合解決方案
 程式碼檢測與建構管理整合機制
 2011年提供全方位資訊安全解決方案
 應用系統資訊安全 (Fortify、Microsoft)
 資料管理安全 (SafeNet、Symantec)
 資訊安全事件管理 (ArcSight)
 資訊安全整合解決方案
(應用系統安全+資料安全+資安事件管理)

2

Play Station 資料外洩

3

Play Station 資料外洩

4

1 個人資料保護法

2 從國際標準看資安必要防護機制

3 叡揚資安整體解決方案(P-D-C-A)

5

公務機關
§5 誠實信用方法為之。
§8 蒐集個人資料時，應明確告知當事人下列事項：
一、公務機關或非公務機關名稱。二、蒐集之目的。
三、個人資料之類別。四、個人資料利用之
期間、地區、對象及方式。五、當事
人依第三條規定得行使之權利及方
國蒐式。六、當事人得自由選擇提
際供個人資料時，不提供將對其
權益之影響。
個人資料 §15 蒐集非由當事人提供之
傳自然人之姓名、出生年集個人資料，應於處理或利
月日、國民身分證統一編號、用前，向當事人告知個人
資料來源。
輸護照號碼、特徵、指紋、婚姻、 §15經當事人書面同意
家庭、教育、職業、病歷、醫療、
基因、性生活、健康檢查、犯罪當事人
前科、聯絡方式、財務情況、 §3 查詢或請求閱覽；請
機關求製給複製本；請求補充
§5 誠實信用方法為之。社會活動及其他得以直接或更正；請求停止蒐集、
§16 公務機關對個人資料之利或間接方式別該處處理或利用；請求刪除。
利用，除第六條第一項所規定個人之資料 §9 通知當事人。
資料外，應於執行法定職務必 §11 請求更正或補充、刪除
要範圍內為之，並與蒐集之特定用理、停止蒐集、處理、利用。
機關
目的相符。 §5 誠實信用方法為之
§20 非公務機關依前項規定利用個人 §10 答覆查詢提供閱覽或製給複製本
資料行銷者，當事人表示拒絕接受行銷時， §11 更正或補充；停止處理或利用、刪除
應即停止利用其個人資料行銷。 §11 通知利用之對象 §17 公眾查閱
§18 指定專人辦理安全維護事項
非公務機關於首次行銷時，應提供當事人表示拒絕 §27 訂定個人資料檔案安全維護計畫
接受行銷之方式，並支付所需費用。 §27 業務終止後個人資料處理方法

6

非公務機關
第二十一條 §8 公務機關或非公務機關依第十五條或第
非公務機關為國際傳輸個人資料，而有下列情形之十九條規定向當事人蒐集個人資料時，應明確告知
一者，中央目的事業主管機關得限制之：當事人下列事項：
一、涉及國家重大利益。一、公務機關或非公務機關名稱。
二、國際條約或協定有特別規定。二、蒐集之目的。
三、個人資料之類別。
三、接受國對於個人資料之保護
未有完善之法規，致有損
國蒐四、個人資料利用之期間、地區
當事人權益之虞。際、對象及方式。
個人資料五、當事人依第三條規定得
四、以迂迴方法向第三國
（地區）傳輸個人
傳自然人之姓名、出生年集行使之權利及方式。
資料規避本法。月日、國民身分證統一編號、六、當事人得自由選擇提
輸護照號碼、特徵、指紋、婚姻、供個人資料時，不提供將
家庭、教育、職業、病歷、醫療、對其權益之影響。
基因、性生活、健康檢查、犯罪
第十六條前科、聯絡方式、財務情況、第一 ~ 三章
公務機關對個人資料之利社會活動及其他得以直接 §9 通知當事人
用，除第六條第一項所規
定資料外，應於執行法定職利或間接方式別該處 §10 §14 查詢/請求閱覽
§10 §14請求製給複製本
個人之資料
務必要範圍內為之，並與蒐 §11 請求補充或更正
集之特定目的相符。
第二十條
用理 §11 請求刪除
§11 請求停止蒐集、處理或利用
非公務機關依前項規定利用個人資料 §17 公眾查閱
行銷者，當事人表示拒絕接受行銷時，應 §18 指定專人辦理安全維護事項
即停止利用其個人資料行銷。 §27 訂定個人資料檔案安全維護計畫
非公務機關於首次行銷時，應提供當事人表示拒絕 §27 業務終止後個人資料處理方法
接受行銷之方式，並支付所需費用。

7

個資法施行細則，定義12項適當安全維護措施

I. 必要的組織
II. 界定個人資料範圍
III. 個人資料蒐集、處理或利用的程序
IV. 當事人行使權利的處理程序
V. 資料安全
VI. 資料稽核
VII. 人員管理及教育訓練
VIII. 設備管理
IX. 紀錄與證據之保存
X. 緊急應變措施及通報
XI. 改善建議措施
XII. 其他安全維護事項

10




11

ISO/IEC 27001:2005 ISMS Overview

12

ISO/IEC 27001:2005 ISMS Overview

A.5 Security policy

A.6 Organization security

A.7 Asset management

A.9 A.10 A.12
A.8
Physical & Communications & Information
Human resources
environment operations systems
security
security management acquisition,
development &
A.11 Access control maintenance

A.13 Information security incident management

A.14 Business continuity management

A.15 Compliance

13

導入ISO/IEC 27001:2005必要之安全機制

 A.10.4 建立防範惡意碼與行動碼機制以保護軟體與資訊
完整性
 A.10.6 建立網路安全管理機制，確保對網路內資訊與支
援性基礎建設的保護
 A.10.7 建立媒體處理機制，以防止資產被未經授權的揭
露、修改、移除或破壞，以及營運活動的中斷
 A.10.10 建立資訊流通監視機制，以偵測未經授權的資
訊處理活動
 A.11.4 建立網路存取控制，以防止網路服務遭未經授權
的存取

14

導入ISO/IEC 27001:2005必要之安全機制(續)

 A.11.6 建立應用系統與資訊存取控制，以防止應用系統中
的資訊遭未經授權的存取
 A.12.1~A.12.6 建立資訊系統獲取、開發及維護之解決方案
，以對資訊系統的生命週期作妥善保護
 A.13.1 建立通報資訊安全事件與弱點機制，以確保與資訊
系統相關的資訊安全事件與弱點，能夠被採取及時矯正措
施的方式傳達
 A.13.2 建立資訊安全事故與改進之管理，以確保採用一致
與有效的作法於資訊安全事故的管理
 A.15.1~A.15.3 依據法規遵循性的要求，建立上述處理與管
理機制
 ……

15

BS 10012:2009 PIMS Overview

0 Introduction
0.1 Personal information management system
0.2 Data protection principles 4 Implementing and operating the PIMS
0.3 Notification 4.1 Key appointments
1 Scope 4.2 Identifying and recording uses of personal information
2 Terms, definitions and abbreviations 4.3 Training an awareness
2.1 Terms and definitions 4.4 Risk assessment
2.2 Abbreviations 4.5 Keeping PIMS up-to- date
3 Planning for a personal information management system (PIMS) 4.6 Notification
3.1 Establishing and managing the PIMS 4.7 Fair and lawful processing
3.2 Scope and objectives of the PIMS 4.8 Processing personal information for specified purposes
3.3 Personal information management policy 4.9 Adequate, relevant and not excessive
3.4 Policy content 4.10 Accuracy
3.5 Responsibility and accountability 4.11 Retention and disposal
3.6 Provision of resources 4.12 Individuals’ rights
3.7 Embedding the PIMS in the organization’s culture 4.13 Security issues
4.14 Transfer of personal information outside the EEA
4.15 Disclosure to third parties
4.16 Sub-contracted processing
4.17 Maintenance
5 Monitoring and reviewing the PIMS
5.1 Internal audit
5.2 Management review
6 Improving the PIMS
6.1 Preventive and corrective actions
6.2 Continual improvement

16

導入BS 10012:2009必要之安全機制

 4.13.1 從風險評估的結果中，針對高風險個資以及處理個資
之資訊系統，應建立檢測與防護機制，以及安全事件紀錄
管理
 4.13.2 建立個資儲存與處理機制，以確保個資受到安全的保
護，並建立符合其機密性和敏感度的預防措施
 4.13.3 個資在組織內外部以任何型式流通時，應建立安全傳
輸機制
 4.13.4 為防範個資之資料外洩與確保資料賦予授權人存取，
應建立安全資料存取之控制措施

17

導入BS 10012:2009必要之安全機制(續)

 4.13.5 建立組織定期進行安全評估機制，針對系統上線前之
程式碼與網站進行安全檢測，上線後之維運系統也應進行
安全監控
 4.13.6 建立集中管理每個安全事件紀錄之機制，透過安全事
件分析評估，可採取矯正行動並從中學得教訓

18




19

叡揚資安解決方案涵蓋資安領域範圍

主機安全
網路安全

20

應用系統安全解決方案 (P-D-C-A)

• 導入程式碼檢測安全機制
• 安全程式碼撰寫教育訓練
• 導入系統安全檢測機制
• 建立程式碼安全學習平台
• 導入系統上線防護機制
• 建立應用程式檢測標準作業程序
• 導入軟體開發與測試機制
• 規劃軟體安全保證流程
• 導入程式碼檢測與建構管
• 導入探索機敏資料機制
理整合機制
Plan Do • 導入資料加密防護機制
• 導入預防資料洩漏機制

• 導入應用系統檢核管理機制
Act Check • 導入資料存取使用監控機制
• 建立應用系統安全改善機制
• 建立資料管理安全改善機制 • 導入資訊安全事件監控管理
機制
• 建立資訊安全事件管理改善機制
• 整合公司矯正預防處理程序
• 整合公司持續改善流程

21

安全程式碼撰寫教育訓練

 依語言別(.Net/Java)分別開班授課
 課程目的
 培養程式設計師具備安全程式碼撰寫能力
 課程內容
 軟體安全與應用程式安全風險
 安全程式開發流程
 OWASP Top 10、CWE Top 25
 自動化測試工具輔助程式開發安全檢測

22

建立程式碼安全學習平台(續)

23

建立應用程式檢測標準作業程序

 協助客戶量身制訂應用系統安全作業流程
 主要內容
 制訂安全程式碼撰寫標準
 Java
 .Net
 制訂應用系統檢測標準作業程序
 制訂應用系統安全上線準則
 …

24

應用系統風險評估

 記錄企業各應用程式風險程度
 建立不同安全政策
 依據應用程式之風險程度提出建議
 提供現有範本、或使用客製化範本
 各應用程式依據不同之風險程度套用對應之安全
政策
 追蹤各應用程式對於安全政策的執行進度
 Not started(尚未開始)
 in process(進行中)
 awaiting sign off(等待核准)

25

規劃軟體安全保證流程(續)

 企業軟體安全政策實施情況縱覽

26

導入探索機敏資料機制
Symantec™ Data Loss Prevention Endpoint Discover
Content（內容） Context（型態） Scale（效能）

結構化的資料 EDM 人員資料比數
• 個人身份資料資訊 • 部門別 • 數十億筆的紀錄
• 個人健康醫療資訊 • 合作伙伴別 • 數百萬的文件檔案
• 貨品庫藏資料 • 外包/臨時雇員

非結構化資料 IDM 位置網路效能
• 設計文件 • 國家
• 原始程式碼 + • 部門 + • <100ms latency
• 多媒體檔案 • 分支機構 • Gb+ throughput
• 財務報表
語言
描述性字串 DCM • 繁體中文/日文/…. 儲存效能
• 信用卡號 • 其他亞洲語系
• 身份證字號 • 美國/歐洲語系 • Scan TBs per day
• 字典詞彙集包含 • 同時掃瞄上千個端點
• 關鍵字 • 文件型態
• 網路通訊協定
• 已經加密過處理

27

外洩事件分析畫面
導入探索機敏資料機制(續)
適用的政策規範
遭不當曝露的檔案
名稱、所有人、所
在位置、被隔離後
的位置..等資訊

關聯分析資訊

遭不當曝露
的檔案存取
權限資訊
事件補救與處
理的歷史紀錄

遭不當曝露
的資料內容
與筆數資訊 Symantec™ Data Loss Prevention Network Discover
28


理整合機制

機制

29

資訊安全最大漏洞

Gartner :
75% 安全弱點
來自應用系統

30

Gartner : Fortify 應用程式安全檢測業界第一

31

應用系統安全弱點檢測—Fortify解決方案

Coding Integration QA Deploy Maintenance

Fortify 360 SCA Fortify 360 PTA HP Fortify 360 RTA

Develop Dynamic Test Penetration Test Deploy

Source Code Program Trace Real-Time
WebInspect Analyzer
Analyzer Analyzer

Fortify 360 Server

Correlation

Data Integration Tool Integration

32

導入程式碼檢測安全機制
開發階段— Fortify 360 SCA (Source Code Analyzer)

 能找出最多的安全弱點 Supports What You Use Today
 473類安全漏洞、19種語言、68萬個
API 19 Languages
.Net ( C#, ASP.NET, VB.NET ) , Java,
 專利 X-Tier 多層式分析技術精確分析 JSP, C/C++, Classic ASP, VBScript,
VB6, PL/SQL, T-SQL, XML, CFML,
 整合入 IDE 直接檢測操作簡易 PHP, JavaScript/AJAX, HTML, SAP
ABAP1
 同時涵蓋「安全性」以及「品質面」 COBOL & Python (Option)
 針對嚴重等級分類，加快修補效率 Platforms
Windows, Solaris, Red Hat Linux,
 定期安全規則更新 Mac OS X, HP-UX, IBM AIX
 可彈性客製安全規則 Frameworks
 檢測結果可直接上傳至Fortify 360 EJB (BEA, IBM WebSphere), JSF,
Server中管理 Struts, Hibernate

 與組織之建構管理系統整合機制 IDEs
Visual Studio, Eclipse, IBM WSAD,
 首次簽入 RAD

 變更管理

33

導入系統安全檢測機制
測試階段— Fortify 360 PTA (Program-Trace Analyzer)

 在完成功能測試後，PTA可同時檢測
出是否含有安全漏洞 Call-Site Monitors Analyze From
 提供 Function及API的安全報告 the Inside Out
Attack Surface
 不需改變原本功能測試即可完成安全測試， HTTP, Web Services, File
並可提升QA人員安全概念 System APIs, Logging

 與功能測試整合，能更精準的找到關鍵的 Security Events
SQL Injection, XSS, Forced
安全弱點 Browsing and over 20 additional
categories
 檢測結果可直接上傳至Fortify 360
Security-Critical Functions
Server中管理 Database, system, file manipulations,
environment API’s and more

34

黑白箱弱點檢測的必要性

白箱自根本出發，以原始黑箱自應用系統外部
碼角度盡可能找到所有弱檢測，以動態方式找
點發生的可能性尋實際發生問題

Overlapping/
Correlated effects

白箱在弱點檢測覆蓋率高，同時黑箱外顯效果明顯，可準確
可輕易知道從何下手與修改找到應用程式弱點

35
35
相輔相乘相得亦彰

導入系統安全檢測機制
測試階段—HP WebInspect

– 智慧型的掃瞄引擎
• 快速掃瞄
• 廣泛的評估
• 精準的檢測結果

– 掃瞄時間顯著縮短
– 提高弱點掃瞄準確度
– 模擬駭客的攻擊行為
• Decision tree
• Analyses dynamically as an application changes

可信任的業界領先掃瞄技術
36
36

導入系統安全檢測機制(續)

– Address the latest technologies
• Uniquely and accurately targets Web 2.0

– 可對客戶端的程式碼辨識安全弱點 V
• 自動解譯和靜態分析Adobe Flash

– 可在應用程式動態執行時發現弱點
– Automatically simulates real-world user
actions by executing code paths through
JavaScript and recording the intermediate
stages of a normal user experiences

Testing web applications like web applications, not like web sites

37

導入系統上線防護機制
上線維運階段— Fortify 360 RTA (Real-Time Analyzer)

WAF
• 單一規則無法符合
不同屬性之網路應
用程式
• 容易造成網路負擔
，影響效能
• 如WAF當機，會
造成所有應用程式
無法提供服務

38

導入系統上線防護機制(續)
Fortify 360 Server provides an
 迅速安裝、簡易維護
interface for managing and
 不需提供source code (支援 reporting on a federation.
Java/.Net/Cold Fusion)
不同AP Server可訂定適合的防禦規則
 不需額外硬體支出
 可整合既有資料庫系統
Federation
 整合監控與防禦 Fortify 360 Server
 監測關鍵性的輸入及輸出 APIs
Controller
 防禦並監測駭客行為
 可記錄到被攻擊頁面、程式、攻擊
手法及IP位址，提供完整且充分的
安全事件報告 AP AP AP
Svr Svr Svr

 多元化的客製化防禦規則與手法
防禦規則1 防禦規則2 防禦規則3
Log Action, Block Action, Replace Action,
Challenge Action, Escape Action, Ignore Action,
39 Logout Action, Custom Action

導入系統上線防護機制(續)

最即時的效益

40

將資安植入應用系統開發流程
• PTA可於測試人員執行功能測試的同時，執行
QA網段
程式碼動態安全檢核（需為.Net或Java開發之
系統。
QA AP Server • ＷebInspect可模擬Hacker，對應用系統執行程
+ PTA 式碼動態安全檢核（不需測試人員執行功能測試，
不限制開發語言）。
測資
試安
人人
員員
開發網段 WebInspect
正式系統AP + 正式系統網段
SCA Scan RTA
Server +AWB

程 360 Server
原式資
始開安
碼發測管 • RTA可直接防護應
人
程人員 Core 試理用系統安全，減少
IDE 員
式 Switch 人人需修改項目，可舒
館員員緩程式修改壓力
• 360 Server可將開發階段、QA階（需為.Net或Java
• 程式開發人員於開發環境安裝IDE Plug- 開發之系統。
段、及正式系統受攻擊之狀況交互
in即可隨時檢測開發之程式碼。
對照，呈現應用系統資安狀況。 • RTA可記錄實際攻
• 資安人員可經由AWB執行檢測作業(與擊資訊與手法。
• 360 Server可分析應用系統各類漏
原始碼程式館協同)。
洞。
• 可於SCA Scan Server設定定期掃描機
• 可指派程式設計人員解決資安漏洞。
制（與原始碼程式館協同）。
41

應用系統安全整合解決方案

 整合軟體發展生命週期資訊安全
 系統分析與設計階段 (軟體安全保證流程, Fortify SSA)
 程式開發階段(白箱安全檢測, Fortify SCA)
 系統測試階段 (黑箱安全檢測, HP WebInspect, PTA)
 系統上線階段 (應用系統即時防禦, Fortify RTA)
 Fortify 360資訊安全管理平台
 Hybrid 2.0 (Security Scope)
 分析/設計+開發+測試+上線之安全檢測與防禦

42

導入資料加密防護機制

 在整個資料的生命週期中保護敏感資料
In Data Centers On Endpoints ProtectDB Tokenization

• Applications • Desktops 0000 000 00

• Databases • Laptops Databases
ProtectZ

• File Servers • Removable Media
ProtectApp
• Mainframes
Mainframes

DataSecure
Platform
ProtectDrive
WebAppServers
In the Cloud ProtectFile
Cloud
ProtectDrive
ProtectFile
• Persistent, secured cloud storage for
structured & unstructured data
File Servers

43

導入資料加密防護機制(續)

 對Database之結構化資料加密，以及對File
Server資料夾內檔案之非結構化資料加密
 提供獨立金鑰管理硬體設備
 支援演算法
 3DES, DES, AES, RSA (簽章，加密), RC4, SHA-1,…
 支援金鑰長度
 Asymmetric 2048 bits / Symmetric 256 bits
 全面保護資料生命週期，加密資料只有授權使用者
可解密
 提供職責分離概念，加密金鑰管理和資料庫管理權
責各自處理，提供獨立使用者授權管理
44

建立資料庫加密防護策略

 與流程與主鍵無關，使用SafeNet ProtectDB
 在Database Server安裝Connector，不需更改程式
 與流程有關，使用SafeNet ProtectApp
 在AP層次進行資料加解密，系統開發過程中，程式設計
師使用ProtectApp API加入資料加解密功能
 與主鍵有關，使用SafeNet Tokenization
 使用標記化方式，在不更改原有欄位大小前提下，進行
資料加密保護，需修改程式

45

導入資料加密防護機制(續)

Oracle DB

SQL DB DB2 DB

Database
Administrator
Legal
Manager

Finance
IT Manager Manager
for Tape HR
Storage Manager

Security
Officer Generate, Certify, Backup, Activate, Deactivate, Rotate, Compromise, Destroy
ISO 27001:2005 A.12.3.2 金鑰管理
通過FIPS 140-2, Common Criteria EAL2 認證
46

導入預防資料洩漏機制(續)
Symantec™ Data Loss Prevention Endpoint Prevent

Vontu 偵測到此一行為，
自動跳出警訊以提醒員工
47

外洩事件分析畫面

員工與其直屬
主管資訊

48


理整合機制

機制

49

應用系統安全弱點檢測—Fortify解決方案

Coding Integration QA Deploy Maintenance

Fortify 360 SCA Fortify 360 PTA HP Fortify 360 RTA

Develop Dynamic Test Penetration Test Deploy

Source Code Program Trace Real-Time
WebInspect Analyzer
Analyzer Analyzer

Fortify 360 Server

Correlation

Data Integration Tool Integration

50

導入應用系統檢核管理機制
應用系統安全檢核管理— Fortify 360 Server
 企業等級Web平台
 提供協同修復程式碼工
作模組
 軟體開發、安全稽核人
員進行線上程式碼協同
審查、提出審查意見、
產生各類安全報表
 整合分析漏洞
 SCA/PTA/RTA
 軟體安全風險控管
 Fortify SSA
Governance Module 整合人員、流程、技術
 Manage SDLC
確保軟體安全
51

導入應用系統檢核管理機制(續)

資安KPI 管理

弱點密度 (每一千行程式的弱點數)

較佳品質廠商或開發團隊

52

事件分析畫面

Symantec™ Data Loss Prevention Network Monitor
53

整體資料外洩風險摘要報告
導入資料存取使用監控機制(續)
亦可開放給稽核單位作為研擬相關辦法之用

54

導入資訊安全事件監控管理機制

 何謂SIEM (Security Information and Event Management)
 收集企業或組織之所有安全相關資料(通常為log檔)，整
理後集中存放於儲存媒體，進行後續事件分析與監控
管理
 為何使用SIEM
 以單一平台集中管理、分析安全資訊，免除各種設備
log分散各地管理困難
 建置SIEM
 以網路、主機、應用系統、資
料四大面向作為資料收集之來
源

55

SIEM評比(Gartner 2010)

 From Gartner
 ESM 提供業界最完整的 SEM
功能，可運作於SOC
 Logger 收集對象非常完整，
高達300種以上設備，另有完
整功能之ArcSight Express版
本適用於中小型企業
 另有額外模組監控使用者活
動、身份驗證與防制詐欺管
理功能(fraud management)
 ArcSight在SIEM市場中為最
IDC：全球市場佔有率第一
受矚目之解決方案

56

ArcSight 完整解決方案

Applications
Applications
Applications
Applications
Firewalls
Firewalls Intrusion Applications
Applications Anti
Firewalls
Firewalls
Firewalls/ Vulnerability Network Server and Applications
Applications Anti
Firewalls Detection Anti-Virus Applications
Applications Virus
Databases
Virus
VPN Assessment Equipment Desktop OS
Systems

Sign-On
Identity
Sign-On Directory User Physical Business
Mainframes
Management Services Attributes Infrastructure Processes

Collect

Analyze Report
& &
Alert Archive

Respond

Address… Monitor… Ensure…
Security Threats Compliance Controls Business Continuity

57

ArcSight 完整解決方案

ArcSight ESM

Databases Users
Sensitive Data User Activity
Security ArcSight Express Monitoring

ArcSight Logger

ArcSight
Connector Transactions
Infrastructure Application Transaction
Security
Fraud
Detection

58

 Who is looking up who's information
Who is looking up the medical records (nurse, doctor, health technician)?

 Accessing a Very Important Person's (VIP) Information
Many times someone who is famous (actor, actress), or even the
management of the Hospital have special VIP codes attached to their
medical records, and every access to the VIP records is examined.

 Where the Lookups Are Coming From
Sometimes, medical lookups are NOT allowed from outside the hospital.

Sometimes, the health care application will keep track of which nurses are
assigned to which Floor in the hospital, and will alert when a nurse who is
assigned to one floor, is looking up a patient from another floor.

59

建立分析與調查機制
直觀的調查分析以及合規相關的報表
 使用活動頻道進行互動式分析
 可以鑽入細節的儀錶板
 管理層儀錶板
 125可重用的、圖形化構成板塊 (即時資料監視器)
 48預置儀錶板，可以鑽入細節

60

導入資訊安全事件監控管理機制

 開箱即用的合規報表內容
 長期趨勢分析
– 事件,策略違規,風險,或者任何其他資料
 強大的報表定制工具
 構建自訂圖形化報表
 基於圖形化介面 –無需程式設計
 多種報表輸出格式
– HTML, XLS, PDF，等等

61

資訊安全管理系統導入模式 (P-D-C-A)

理整合機制

機制

62

整合公司矯正預防處理程序與持續改善流程

 建立資料管理安全改善機制
 整合Symantec DLP Management資料存取監控機制
 矯正預防改善目標
 降低機敏性資料未加密的次數
 擴大資料加密保護的範圍標的
 降低資料未經授權的存取次數
 降低資料洩漏的次數
 …

63


 建立資料管理安全改善機制
 整合Symantec DLP Management資料存取監控機制
 降低機敏性資料未加密的次數
 擴大資料加密保護的範圍標的
 降低資料未經授權的存取次數
 降低資料洩漏的次數
 …

64


 建立資訊安全事件管理改善機制
 整合ArcSight ESM/Express資安事件監控管理機制
 資安事件誤判比例
 資安事件回應處理時間
 …

65

叡揚資安解決方案涵蓋資安領域範圍

Fortify 360 SCA
Fortify 360 PTA
Fortify 360 RTA SafeNet EDP
Fortify 360 Server Symantec DLP
HP WebInspect
Visual Studio 2010 Ultimate 主機安全
網路安全

ArcSight ESM
ArcSight Logger
ArcSight Connector
ArcSight Express

66

叡揚資訊安全解決方案— ISO/IEC 27001法規遵循性

PTA / SafeNet Symantec
360 Server SCA VS2010 RTA ArcSight
WebInspect EDP DLP
A.12.1.1 A.10.4.1 A.11.6.1 A.12.2.1 A.10.4.1 A.10.4.1 A.10.4.1 A.10.10.1
A.15.2.1 A.10.4.2 A.12.4.2 A.12.2.3 A.10.4.2 A.10.4.2 A.10.4.2 A.10.10.2
A.15.2.2 A.12.2.1 A.12.4.3 A.12.2.4 A.12.5.4 A.10.7.1 A.10.6.1 A.10.10.3
A.12.2.4 A.12.5.1 A.12.6.1 A.12.6.1 A.10.7.3 A.10.7.1 A.10.10.4
A.12.6.1 A.13.1.2 A.10.7.4 A.10.7.3 A.10.10.5
A.11.6.1 A.10.7.4 A.13.1.2
A.12.3.1 A.11.4.2 A.13.2.3
A.12.3.2 A.11.6.1 A.15.1.3
A.12.5.4 A.12.5.4 A.15.3.2
A.15.1.4 A.15.1.5
A.15.3.2

67

叡揚資訊安全解決方案— BS 10012法規遵循性

PTA / SafeNet Symantec
360 Server SCA VS2010 RTA ArcSight
WebInspect EDP DLP
4.13.1 4.13.1 N/A 4.13.1 4.13.1 4.13.1 4.13.1 4.13.1
4.13.5 4.13.5 4.13.5 4.13.2 4.13.2 4.13.6
4.13.3
4.13.4

組織可考慮遵循ISO/IEC 27001標準，亦可選擇由外部機構進行其驗證，
以證明其遵循標準。

68

從國際標準探討資安及個資法因應之道

More Related Content

Similar to 從國際標準探討資安及個資法因應之道

從國際標準探討資安及個資法因應之道