1. 從資料外洩談行動裝置管理
主講人：傑克小花
2009/2/24

2. 2
大綱
1. 從資料外洩事件看資安問題
2. 行動裝置資料的風險管理
3. 資料外洩的預防與控制措施
4. 國際法規對資料保護的要求

3. 3
數字會說話
2005年
美國飛機製造商 波音公司
員工筆記型電腦放置車上遭竊
遺失38萬筆現職和退休員工資料

4. 4
數字會說話
2006年
美國退伍軍人事務部
不小心遺失筆記型電腦
2600萬筆退伍軍人資料外洩

5. 5
數字會說話
2007年
CSI電腦犯罪與安全調查
從行動裝置中被竊取的資訊資產
估計金額高達234萬5千美元

6. 6
資料外洩的最大原因是 使用者疏忽

7. 7
行動裝置價值來自 儲存的資料內容

8. 8
行動裝置資料的風險管理

9. 9
資訊安全的三要素
機密性 (Confidentiality)
完整性 (Integrity)
可用性 (Availability)

10. 10
什麼是風險？
風險 =
資產 x 威脅 x 弱點

11. 11
行動裝置的風險分析

12. 12
Who
誰在使用行動裝置
是否為合法使用者
是否有適當的權限

13. 13
When
什麼時候需要使用行動裝置
行動連線是否需要限制時間
是否定期執行系統安全掃瞄

14. 14
Where
使用者在哪裡使用行動裝置
會議室與公共空間是否開放
企業的無線網路範圍有多大

15. 15
What
行動裝置可存取到什麼資訊
可供使用的應用系統有哪些
什麼資料需要加上控制措施

16. 16
Why
為什麼允許使用行動裝置
為什麼行動裝置容易中毒
是否該考慮強制禁止使用

17. 17
How
使用者如何使用行動裝置
是否安裝了相關安全軟體
資料傳輸過程中是否加密

18. 18
行動裝置的風險處理

19. 19
避免風險

20. 20
降低風險

21. 21
接受風險

22. 22
轉移風險

23. 23
資料外洩的預防與控制措施

24. 24
使用面
設置開機密碼

25. 25
使用面
不用公眾無線網
路傳輸敏感資料

26. 26
使用面
採用不明顯的背包
與筆記電腦防護鎖

27. 27
技術面
進行資料加密

28. 28
技術面
存取權限控管

29. 29
技術面
管制無線網路的使用

30. 30
技術面
部署資料外洩防護(DLP)方案

31. 31
管理面
制訂行動裝置使用規範

32. 32
管理面
員工教育訓練

33. 33
管理面
重要資料攜出
需要經過授權

34. 34
國際法規對資料保護的要求

35. 35
美國 沙賓法案
Sarbanes-Oxley Act (SOX)
要求美國公開上市公司
必須做好內稽內控的資安工作

36. 36
美國 GLBA 法案
Gramm Leach Bliley Act (GLBA)
要求金融產業必須保障個人資訊隱私

37. 37
美國 CA SB 1386 法案
California Senate Bill 1386
要求一旦發生資料外洩事件
必須立刻通知受害的當事人

38. 38
美國 HIPPA 法案
Healthcare Information Portability
and Accountability Act (HIPPA)
要求醫療業必須確保個人醫療資訊安全

39. 39
PCI-DSS資料安全標準
Payment Card Industry
Data Security Standard
要求銀行與使用信用卡商店
必須保護持卡人的資料安全

40. 40
總結
✓ 行動裝置很容易發生資料外洩
✓ 預先做好資料外洩風險管理
✓ 技術面與管理面共同防範

41. Contact：jackforsec@gmail.com
41
問題與討論