作者序
經歷: 中山科學研究院軟體工程與資訊中心主任、憶中科技股份有限公司 總經理網際網路的快速發展與便捷,使得各種網路應用服務模式,如雨後春筍般的出現,例如:社群網站、網路拍賣、網路銀行、Facebook、LINE、電子商務網站、行動電子商務、網路行銷、雲端計算的新勢力及各式創新服務App等,改變人們生活的行為模式,縮短時間與空間的距離,加速國際間電子商務的便捷化,同時世界各國為增加其國際競爭力及拓展電子商務,考量這些網路應用服務多帶有隱性「個人資料」,一旦資料安全控制措施不夠完備,造成個人隱私外洩訴訟案。
國際組織間如經濟合作暨發展組織(OECD)、歐盟(EU)及亞太經濟合作組織(APEC)等,均通過相關法令、國際傳遞指導方針及隱私保護綱領等,來處理國際間電子商務之資料交換,確保資料之網路傳輸的隱私保護。我國「個人資料保護法」已於2010年5月26日由總統發布,2012年10月1日行政院正式發布施行,本法立法之目的 (1)避免人格權受侵害 (2)促進個人資料之合理利用。隱私的保護是針對資訊隱私,藉以規範公務與非公務機關對於相關敏感性個人資料的蒐集、處理及利用。
出書幕後推手淡江大學資管系蕭瑞祥教授,希望我能將幾十年來,執行資安相關議題及推動個人資料隱私保護的感想,能透過文字將心中的話語表達出來,並能協助電腦技能基金會,撰寫「資訊安全與法律特訓教材」,這是第一大挑戰!在此感謝我幾十年戰友台灣隱私權顧問協會前任秘書長林永修博士及學弟摯友王瑞祥老師鼎力相助。協會96年成立以來,林前秘書長永修博士積極參與研析日本隱私權協會的功能與日本個人資料保護法 JISQ 15001及隱私標章(PMark)等;王瑞祥老師在資安領域有實戰經驗,目前是資安領域CISSP(Certified Information Systems Security Professional)國際資訊系統安全專業證照的名師,也是企業資訊安全的顧問,由於兩位專業摯友的加入,犧牲不少家庭相聚休閒快樂的美好時光,再此,向兩位摯友的夫人及子女們,說聲「十二萬分的歉意」! 更感謝電腦技能基金會龔文儀主任鍥而不捨的毅力、耐心與協助,特別是在漫長的數月中,尤其她生寶寶期間,不斷叮嚀我出書的時效性。
資訊安全領域3大關鍵要素:人員(People) 、技術(Technology) 、流程(Process) ,人員在資訊安全管理與個資法的認知教育是非常重要,尤其個資法的蒐集與利用等涉及到各業務單位,不亞於資訊安全技術的解決方案及內部組織流程的改善,人員教育訓練是最根本培育及養成的方式,然而,政府或企業常見教育訓練資源遭到排擠,無法達到人員訓練的目標,例如:適當的資安人員(People),選擇採用合適的技術(Technology)或安全產品,有效控制政府或企業內部整體流程(Process)。本書是一般知識實務應用的資訊安全與法律書籍,如何能落實於每位讀者,自我學習及增強網際網路資安一般知識,這是第二大挑戰,希望讀者能給與作者們支持及指教,讓我們能更貼近您的心聲,使您在工作或職場上能更順遂。
陳振楠 博士
現職: 中國科技大學 資訊管理系教授、台灣隱私權顧問協會 理事長
學歷: 美國西北大學 電子計算機科學系碩士、博士
作者序
資訊安全與法律一書是筆者從事多年實務工作經驗與資安理論發展之累積。此次非常感謝電腦技能基金會文儀主任的邀請,方能有幸與台灣隱私權顧問協會理事長陳振楠博士及資訊安全領域之權威名師王瑞祥老師共同完成此書。此團隊協力完成了這一本涵蓋資訊安全管理與技術的專書,在管理與技術中間找到一個平衡點,也彌補了資訊安全領域中管理與技術對企業在面臨相關問題時產生的認知上差距。本書更將討論範圍延伸至資訊安全與隱私權相關法律議題,這是其他資訊安全書籍不易涉及的領域,也是管理與技術人員在規劃機關資訊安全管理架構時,不可忽視的一個重要環節。
本書筆者主要負責部分是隱私權與個人資料保護相關議題。對個人隱私權的重視已成為目前世界各國在此領域發展的趨勢,各國也相繼的訂定相關法律與隱私保護規範。在西方國家的傳統中,工作或生活上對他人隱私都有一定的尊重與認識。因此,在立法觀點與實務應用上,多採取自律規範與道德約束方式來推動個人資料保護措施。在東方國家,由於人際關係密切,對於隱私的觀念或是人際間的距離保持等概念,想法上往往較為模糊,因此,推動隱私權立法或個人資料保護措施上,需要有較明確的規範與具體的控制措施。本書關於隱私部分的論述即是以東方國家的角度為主,說明隱私與個人資料保護之需求與具體推動方式。相關內容從法律、產業組織與個別企業等不同方面切入,以解釋如何能遵循法律規範,將個人資料保護落實至企業之作業流程中。
資訊安全與法律是一個不斷演變的社會現象。筆者在說明隱私與個人資料保護相關內容時,資訊科技與企業發展可能已經有新的變化。希望讀者能將次變化納入應用之考量,本書也將在未來繼續修訂,以符合最新資訊安全與法律的發展趨勢。
林永修
現職:大華科技大學 講師
學歷:長庚大學 資訊管理博士
經歷:台灣隱私權顧問協會 秘書長
2013年2月
作者序
寫書這件事從來沒有列在我的人生目標清單中!可能因為一是自己沒有寫作的天份(一直很欽佩信手拈來皆文章的人),二來,我必須坦白說,對我而言寫書是一件很費神的事。這次為什麼會「跳入火坑」呢?其實是我敬重的大學長及前長官,也是資安界的大老 陳振楠博士和另一位文武雙全的學長 林永修博士,邀我一起合著本書,因為我在資安路上承蒙兩位先進的無私指導及大力提攜,自當不揣淺陋,接下這意外但美好的任務。
在從事程式設計的十多年職涯中,因為特殊的職場文化及人力資源的關係,在資訊的專業領域,並沒有明確的分工,因此程式設計師必須身兼數職。你寫的軟體要在那個作業系統上執行,你就是系統管理員;系統執行時要有複式備援,你要評估可行的解決方案;你的程式要連結後端資料庫,你就是資料庫管理員!因為這樣多元化的經驗,使得我在進入資訊安全的技術領域時,自認為比較沒有銜接上的問題。這種以管窺天的錯誤觀念,在接觸到CISSP證照課程時,才發現資安領域的廣袤,豈至於技術領域(當然即便是資安技術領域,窮其一生也探究不盡),舉凡管理、法律、國際標準、稽核、驗證,甚至連消防設施和門禁管制等,都屬於資訊安全的範疇。
正因為資訊安全涵蓋的層面如此廣泛,我們常常發現不同專業背景或工作職權的人士,都從各自的角度去詮釋及解決資安問題。資訊人員認為技術才是資安的要角,花了大筆預算,建置了許多資安防護系統,可是還是有資安事故發生;企業經營者認為資訊安全是花了錢卻看不到效益的投資,礙於法律的強制性不得不做,那就花最小成本,做到最小遵循就好;個人資料保護法於102年10月1日正式實施後,不少律師事務所也開始學習資訊安全的領域知識,在解決企業的問題時,多從法律面著手。從這些不同的角度去解決同一個問題,都沒有錯,但也可能都不完整。因此對於一個資安專業人員而言,在規劃資安策略或解決資安問題時,必須具備將點連成線,線構成面的整體思考能力,要同時盱衡法律面、管理面及技術面,以及掌握其間的關聯性。這也正是本書透過深入淺出的內容及實務案例,期望協助有志於資訊安全的讀者,快速的瞭解資安領域中的重要支柱及架構,成為一個優秀的資安從業人員。
最後,本書能順利出版,要感謝電腦技能基金會龔文儀主任的支持、陳斐玲專案經理的協助、洪欣吟小姐與徐嬿婷小姐的細心校閱;同時也要感謝所有在資安路上,永遠懷抱熱情、堅持理想的工作夥伴、朋友、學員,你們讓我的資安視野更加開闊!
王瑞祥
現職:資安顧問、精誠恆逸/資策會/學承 特約資安講師
學歷:美國雪城大學 電腦工程碩士
經歷:中山科學研究院、華碩電腦公司
2013年2月