今天下午參加了台北市電腦公會的辦的一場研討會。
上課的教師有3位,其中有一位勤業眾信的副總,之前我參家資安研討會時就上過他的課。
有一些資安的手法,我想可以參考一下
1.資料的儲存進行相關的拆分動作,如果不幸主機被攻破,被拿走的只是資料,而不是資訊。
舉例來說,只要把身份證字號進行拆分(也許是拆成3份~關貿公司前主管的建議),就拿某一台主機被攻破了,外流的資料也無法辨識個人。
2.程式設計時,多台DB可以進行規劃,某些主機在日常運作上,只出不進,只有在特殊情況下,才能查詢。
3.資料加密,讓資料無法被解讀(萬副總說,zip只是把資料亂數化,而不是真的加密?),資料無法直接被讀取,所以資料掉了,也不會這麼危險。
怎麼證明已盡善良管理的責任呢?所以的改善動作,都要有記錄。
而且有12點來證明已經符合同業的水準。(等下上網找)
資訊服務外包時,會有資料的蒐集與使用有4個象限
1.共同蒐集共同使用
2.共同蒐集,單獨使用
3.單獨蒐集共同使用
4.單獨蒐集,單獨使用
所有個人資料的使用,都要明確的說明,另外,有五類的資料,除非是相關業者,不然最好不要蒐集。
1.醫療記錄
2.犯罪記錄
3.性生活
4.基因
5.健康記錄
這5類敏感性個資,除了法律明文規定,或者基於公務執行、學術研究且無法識別個人身分等前提下,可以做相關的蒐集、處理或利用外,即使是當事人同意,一般的公務或非公務機關都不能蒐集、處理或利用。
萬副總說,他有一個同學是MIT的,他研發藍芽手環,自動蒐集健康資料,再透過手機回傳到server上,這樣可能是行不通的,因為他不是醫療業者,如果在台灣開公司的話,個資法會造到翻過來。
PS.今天在火車上,好像遇到了以前的同學,不過他沒有跟我say hi,而還戴口罩,不過我看他的動作,應該是他沒有錯,不過他沒有跟我打招呼,我也不能說什麼啦!只能說台灣真小(反正他也不會來看我的Blog,所以沒有差囉)。