isms簡介與法規(guī)案例說明教材

中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE1ISMS簡介與法規(guī)案例說明中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE2ISMS簡介中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE3ISO簡介ISO為【國際標(biāo)準(zhǔn)組織】之簡稱。ISO組織成立與沿革簡介。1ISO9000品質(zhì)管理系統(tǒng)。2ISO14000環(huán)境管理系統(tǒng)。3OHSAS18000TOSHMS職安衛(wèi)管理系統(tǒng)4ISO20000資訊服務(wù)管理系統(tǒng)。5ISO27000資訊安全管理系統(tǒng)。強(qiáng)調(diào)目標(biāo)管理、客戶導(dǎo)向、流程導(dǎo)向。未來之發(fā)展走向整合中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE4ISO標(biāo)準(zhǔn)家族之架構(gòu)2003前後BS77991BS77992ISO177991ISO177992CNS17800ISO100111ISO100112ISO27001ISO27002ISO19011ISO177992005中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE5尤重【持續(xù)改善】喔1說、寫、做完全一致。2全員參與、榮辱與共、無人可置身事外。3防範(fàn)未然、強(qiáng)調(diào)預(yù)防、未雨綢繆。4由下而上，將現(xiàn)有資源重新整合。5不用文過飾非，有錯可改，人性化管理。6REMARK持續(xù)改善的小撇步一致性社會性實踐性差異性理想性IS0的五大精神中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE6資訊安全管理系統(tǒng)認(rèn)證簡史1990年世界經(jīng)濟(jì)合作開發(fā)組織（OECD）轄下之資訊、電腦與通訊政策組織開始草擬資訊系統(tǒng)安全指導(dǎo)綱要。1992年OECD於1992年11月26日正式通過資訊系統(tǒng)安全指導(dǎo)綱要。1993年英國工業(yè)與貿(mào)易部頒布資訊安全管理實務(wù)準(zhǔn)則。1995年英國訂定資訊安全管理實務(wù)準(zhǔn)則之國家標(biāo)準(zhǔn)BS7799第一部分，並提交國際標(biāo)準(zhǔn)組織（INTERNATIONALORGANIZATIONFORSTANDARDIZATION，簡稱ISO）成為ISODIS14980。1996年BS7799PART提交國際標(biāo)準(zhǔn)組織ISO審議，沒有通過成為ISO標(biāo)準(zhǔn)之要求。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE71998年英國公布BS7799PART2資訊安全管理規(guī)範(fàn)並為資訊安全管理認(rèn)證之依據(jù)。2000年增修後之7799PART1於2000年12月1日通過ISO審議，成為ISO/IEC17799國際標(biāo)準(zhǔn)。7799PART22002年12月5日未通過審議，我國經(jīng)濟(jì)部標(biāo)準(zhǔn)檢驗局分別基於ISO/IEC17799與BS77992，發(fā)布國家標(biāo)準(zhǔn)CNS17799及CNS17800。2005年6月15日，ISO/IEC177992005E正式發(fā)行。ISO於ISO/IEC177992005E之前言敘明於2007年將發(fā)行ISMS的27000標(biāo)準(zhǔn)系列。ISO/IEC177992005E將由ISO/IEC27000系列取代。2005年10月15日ISO/IEC27001與ISO/IEC27002正式發(fā)行。資訊安全管理系統(tǒng)認(rèn)證簡史二中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE8資訊科技與資訊安全之演進(jìn)資訊科技從1960年代才算正式開始。80年代初電腦還在較封閉的環(huán)境中由少數(shù)人操作，安全風(fēng)險低。80年代開始普及的個人電腦並未考慮存取控制，而且軟碟經(jīng)常交換使用，資訊安全事件開始浮現(xiàn)。90年代網(wǎng)際網(wǎng)路蓬勃發(fā)展，也為病毒與駭客提供絕佳的攻擊管道。2000年之後，隨著電子商務(wù)蓬勃發(fā)展，攻擊電腦或網(wǎng)路的目的也從惡作劇轉(zhuǎn)變?yōu)榉欠ɡ嬷〉?。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE9資訊的定義資訊是一種資產(chǎn)，就像其他的重要資產(chǎn)一樣，對組織具有價值，因此需要受到適當(dāng)?shù)谋Ｗo(hù)。資訊可以許多的形式存在，可以書寫或列印於紙上，儲存在電子儲存媒體上，以郵寄或電子儲存?zhèn)鬏敚@示於影片上或在對話中說出。不管資訊的形式是什麼，或者共用或儲存的方式是什麼，都應(yīng)該受到適當(dāng)?shù)谋Ｗo(hù)。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE10資訊安全之目的資訊安全之目的就是在保護(hù)資訊資產(chǎn)（即指資訊紀(jì)錄、電腦系統(tǒng)、實體設(shè)施設(shè)備、人員與服務(wù)等五大類資訊資產(chǎn)）之機(jī)密性、完整性、可用性與該資產(chǎn)之威脅、脆弱CONFIDENTIALITY、INTEGRITY、AVAILABILITY中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE11我們要保護(hù)的重點是什麼資訊紀(jì)錄包括電子紀(jì)錄（資料庫、資料檔等）、儲存媒體（磁帶、磁碟片、光碟片等）與書面紀(jì)錄（系統(tǒng)規(guī)劃與設(shè)計文件、使用與操作手冊、契約、制度文件與維護(hù)記錄等）。電腦系統(tǒng)包括電腦作業(yè)系統(tǒng)、應(yīng)用系統(tǒng)（專屬特殊用途）、工具軟體（單一功能）及套裝軟體（多功能用途或通用功能）。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE12我們要保護(hù)的重點是什麼續(xù)實體設(shè)施與設(shè)備設(shè)施包括辦公區(qū)與管制區(qū)。設(shè)備電腦、伺服器、終端機(jī)、筆記型電腦、個人電腦、列表機(jī)、燒錄機(jī)等。通訊設(shè)備集線器、路由器、網(wǎng)路交換機(jī)、傳輸線路、數(shù)據(jù)機(jī)卡等。其它設(shè)備空調(diào)設(shè)備、媒體儲存櫃、門禁設(shè)備等。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE13我們要保護(hù)的重點是什麼續(xù)人員內(nèi)部人員正式、約、聘僱與臨時人員。外部人員相關(guān)業(yè)務(wù)之承包商與第三方使用者。服務(wù)包括網(wǎng)路、空調(diào)、電力（不斷電系統(tǒng)）、消防等周邊服務(wù)項目。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE14資訊安全脆弱性環(huán)境和基礎(chǔ)結(jié)構(gòu)11缺乏建築物、門、窗等實體的保護(hù)可能會被利用威脅例失竊的威脅。12建築物、房間等實體進(jìn)出控制的不足或不小心之疏忽可能會被利用的威脅例故意損害的威脅。13不穩(wěn)定的電源可能會被利用的威脅例電源波動的威脅。14位於容易淹水的區(qū)域可能會被利用的威脅例淹水的威脅。硬體21缺少定期置換機(jī)制可能會被利用的威脅例儲存媒介劣化的威脅。22電壓容易變動可能會被利用的威脅例電源波動的威脅。23溫度容易變動可能會被利用的威脅例極端溫度的威脅。24容易潮濕、有灰塵可能會被利用的威脅例灰塵的威脅。25對於電磁輻射敏感可能會被利用的威脅例電磁輻射的威脅。26儲存媒介維護(hù)不夠/安裝失敗可能會被利用的威脅例錯誤之維護(hù)威脅。27缺乏有效的組態(tài)變更控制可能會被利用的威脅例操作人員執(zhí)行錯誤的威脅。資料來源ISO/IECTR1333531998E,ANNEXD中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE153軟體31開發(fā)者的規(guī)範(fàn)不清楚或不完整?？赡軙焕玫耐{例軟體失能的威脅32沒有軟體測試或軟體測試不足?？赡軙焕玫耐{例未經(jīng)授權(quán)使用者使用軟體的威脅33複雜的使用者介面?？赡軙焕玫耐{例操作人員執(zhí)行錯誤的威脅34識別與鑑別像是使用者鑑別機(jī)制的不足。可能會被利用的威脅例偽裝使用者身分的威脅35缺乏稽核軌跡?？赡軙焕玫耐{例在未經(jīng)授權(quán)的方式下使用軟體的威脅36軟體的瑕疵。可能會被利用的威脅例未經(jīng)授權(quán)的使用者使用軟體的威脅37密碼表保護(hù)不足?？赡軙焕玫耐{例偽裝使用者身分的威脅38密碼管理不足易猜到密碼、未清除不應(yīng)儲存的密碼、變更密碼的頻率不足?？赡軙焕玫耐{例偽裝合法使用者身分的威脅39存取權(quán)限指派錯誤?？赡軙焕玫耐{例未經(jīng)授權(quán)下使用軟體的威脅310未控制軟體的使用和下載?？赡軙焕玫耐{例惡意軟體的威脅311離開工作站時沒有”登出”?？赡軙焕玫耐{例未經(jīng)授權(quán)的使用者使用資訊資源的威脅312缺乏有效變更控制的管理?？赡軙焕玫耐{例軟體失能的威脅313缺乏文件。可能會被利用的威脅例操作人員執(zhí)行錯誤的威脅314缺乏複製備份?？赡軙焕玫耐{例惡意軟體或火災(zāi)的威脅315沒有適當(dāng)刪除就處置或重覆使用儲存媒介。可能會被利用的威脅例未經(jīng)授權(quán)的使用者使用資訊資源的威脅資訊安全脆弱性資料來源ISO/IECTR1333531998E,ANNEXD中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE164通訊41未保護(hù)通訊線路可能會被利用的威脅例竊聽的威脅。42缺乏連線電纜可能會被利用的威脅例通訊滲透的威脅。43缺乏傳送者與接收者的識別與鑑別可能會被利用的威脅例偽裝合法使用者身分的威脅。44未保護(hù)的密碼傳輸可能會被利用的威脅例未經(jīng)授權(quán)使用者的網(wǎng)路存取的威脅。45缺乏傳送或接收訊息的證據(jù)可能會被利用的威脅例否認(rèn)的威脅。46撥號線路可能會被利用的威脅例未經(jīng)授權(quán)使用者的經(jīng)由網(wǎng)路存取資訊資源的威脅。47未保護(hù)敏感性資料的傳輸可能會被利用的威脅例竊聽的威脅。48網(wǎng)路管理不足彈性的群眾可能會被利用的威脅例流量超過負(fù)載的威脅。49未保護(hù)公共網(wǎng)路的連接可能會被利用的威脅例未經(jīng)授權(quán)使用者使用資訊資源的威脅。資訊安全脆弱性資料來源ISO/IECTR1333531998E,ANNEXD中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE175文件51儲存文件保護(hù)不足可能會被利用的威脅例失竊的威脅。52缺乏小心地處置可能會被利用的威脅例失竊的威脅。53未控制複製可能會被利用的威脅例失竊的威脅。6人員61人員的不足可能會被利用的威脅例員工不足的威脅。62沒有適當(dāng)管理在外工作的員工可能會被利用的威脅例失竊的威脅。63安全訓(xùn)練不足可能會被利用的威脅例員工操作錯誤的威脅。64缺乏安全察覺可能會被利用的威脅例使用者執(zhí)行錯誤的威脅。65不正確的使用軟體和硬體可能會被利用的威脅例員工操作錯誤的威脅。66缺乏監(jiān)督機(jī)構(gòu)可能會被利用的威脅例在未經(jīng)合法授權(quán)的方式下使用資訊資源的威脅。67缺乏正確使用資訊媒體和訊息的政策可能會被利用的威脅例未經(jīng)合法授權(quán)的使用網(wǎng)路設(shè)備的威脅。68招募程序不足可能會被利用的威脅例刻意損害的威脅。7一般的應(yīng)用弱點71單點失效可能會被利用的威脅例通訊服務(wù)失效的威脅。72維護(hù)回應(yīng)服務(wù)不足可能會被利用的威脅例硬體失能的威脅。資訊安全脆弱性資料來源ISO/IECTR1333531998E,ANNEXD中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE18法規(guī)案例說明中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE19壹、電腦與網(wǎng)路犯罪一、妨害電腦使用中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE20想惡作劇，擅自把同學(xué)選的課給退選了小心吃上官司L事件描述【案號1100】2009年2月，一名義守大學(xué)的女學(xué)生，未經(jīng)同意情況下，輸入同學(xué)的帳號、密碼，替同學(xué)退選已經(jīng)選好的課，被害人隔天登入才發(fā)現(xiàn)，跟學(xué)校反應(yīng)，校方報警後才發(fā)現(xiàn)，竟然是同學(xué)惡作劇，雖然情況不嚴(yán)重，但檢方昨天偵查終結(jié)，將惡作劇學(xué)生以妨害電腦使用罪起訴，懲罰她。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE21L事件描述【案號1100】開學(xué)前，都是大學(xué)生選課的尖峰時段，沒想到有人趁機(jī)惡作劇，還吃上官司2009年2月5日，一名義守大學(xué)女學(xué)生，人在瑞芳家中上網(wǎng)，未經(jīng)同意，連續(xù)輸入5位同學(xué)的帳號、密碼登入選課系統(tǒng)，看到同學(xué)選的一門美食與病菌課程，竟惡作劇按下退選鍵，隔天其中兩名同學(xué)登入，才發(fā)現(xiàn)選好的課不翼而飛學(xué)校報警後才發(fā)現(xiàn)，竟然是同學(xué)的傑作，讓被害的學(xué)生無法置信其實，鑄下大錯女學(xué)生也很後悔，對於造成同學(xué)困擾，十分過意不去，也對她本人造成一定的影響，不過檢方還是以妨害電腦使用罪，將女學(xué)生起訴。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE22L法律意見事實上好幾年前，銘傳大學(xué)也有學(xué)生因為和同學(xué)吵架，擅自上網(wǎng)竄改同學(xué)的選課表，還有男學(xué)生自以為是駭客，把不順眼的同學(xué)課程和成績修改，害他無故被當(dāng)，這兩起案件都被警方函送，所以，別以為一時好玩，換來快感，小心惹上官司。為因應(yīng)網(wǎng)路入侵型犯罪，我國於民國92年通過刑法第三十六章妨害電腦使用罪章，將包括無故入侵、無故取得刪除變更電磁紀(jì)錄、無故干擾電腦系統(tǒng)、與製作專供犯罪電腦程式等四種犯罪型態(tài)納入刑罰規(guī)範(fàn)。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE23本案事實中，未經(jīng)當(dāng)事人同意，輸入同學(xué)帳號與密碼登錄網(wǎng)站之行為，已明顯觸犯刑法第358條入侵電腦罪，得處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。而其刪除、變更同學(xué)的個人網(wǎng)頁資料之行為，可該當(dāng)同法第359條無故取得、刪除或變更他人電腦或其相關(guān)設(shè)備之電磁紀(jì)錄罪，得處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。兩罪數(shù)罪並罰，就周女入侵網(wǎng)站進(jìn)行破壞之行為，即可能被處以高達(dá)八年的有期徒刑，併科高達(dá)三十萬元的罰金。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE24你的無名小站，被無名氏竄改資料了嗎L事件描述【案號1101】周女與羅女原係好友，因細(xì)故心生嫌隙，周女先後二次未經(jīng)羅女同意，使用其帳號、密碼登錄羅女在無名小站所申請的網(wǎng)站，刪除、變更網(wǎng)頁內(nèi)容，且刊登不堪入目的描述與援交訊息，供不特定人上網(wǎng)瀏覽。羅女發(fā)現(xiàn)後報警處理，然已嚴(yán)重?fù)p及其名譽(yù)。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE25L法律意見隨著網(wǎng)路的高度發(fā)展，民眾對網(wǎng)路的依賴性愈來愈深，各種傳統(tǒng)或新興的犯罪態(tài)樣相繼發(fā)生於網(wǎng)路空間中。特別是網(wǎng)路具有散布迅速與可匿名性之特性，其無遠(yuǎn)弗屆的影響力，也讓各類犯罪的影響層面擴(kuò)大，讓現(xiàn)行法令以及執(zhí)法單位面臨巨大的挑戰(zhàn)。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE26為因應(yīng)網(wǎng)路入侵型犯罪，我國於民國92年通過刑法第三十六章妨害電腦使用罪章，將包括無故入侵、無故取得刪除變更電磁紀(jì)錄、無故干擾電腦系統(tǒng)、與製作專供犯罪電腦程式等四種犯罪型態(tài)納入刑罰規(guī)範(fàn)。本案事實中，周女未經(jīng)羅女同意，輸入羅女帳號與密碼登錄網(wǎng)站之行為，已明顯觸犯刑法第358條入侵電腦罪，得處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。而其刪除、變更羅女個人網(wǎng)頁資料之行為，可該當(dāng)同法第359條無故取得、刪除或變更他人電腦或其相關(guān)設(shè)備之電磁紀(jì)錄罪，得處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。兩罪數(shù)罪並罰，就周女入侵網(wǎng)站進(jìn)行破壞之行為，即可能被處以高達(dá)八年的有期徒刑。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE27除此之外，周女為損害羅女名譽(yù)目的，刊登毀謗羅女之描述與援交訊息，可另成立刑法第310條第2項的加重誹謗罪，依法得處二年以下有期徒刑、拘役或一千元以下罰金。在網(wǎng)路虛擬空間中，帳號與密碼成為識別個人身分的重要憑據(jù)。雖然當(dāng)事人事後得以法律途徑尋求救濟(jì)，但類似妨害名譽(yù)行為，其透過網(wǎng)路所造成的損害實無法具體評估。類似案例另常見於親密愛人共用帳號與密碼，其後因故分手而報復(fù)。所有網(wǎng)路使用者宜明瞭於此，妥善保管自己的帳號與密碼，以免造成遺憾。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE28用垃圾郵件駭對手只為搶生意L事件描述【案號1102】2004年在高雄發(fā)生一件兩家距離五十公尺的網(wǎng)咖為搶客源，利用電腦長才而攻擊對方網(wǎng)路系統(tǒng)之案例。為另一家網(wǎng)咖系統(tǒng)架設(shè)時之工程師，其後自行創(chuàng)業(yè)，為了搶客人而扮演電腦駭客，利用寄發(fā)大量垃圾郵件手法，意圖癱瘓競爭對手的網(wǎng)路系統(tǒng)，讓其網(wǎng)路傳輸速度變慢，進(jìn)而影響其生意。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE29L法律意見本案行為人藉由在一段時間內(nèi)消耗網(wǎng)站對外頻寬資源，使得頻寬流量擁塞而無法正常提供相關(guān)網(wǎng)路服務(wù)的一種攻擊方式，又稱為阻絕服務(wù)（DENIALOFSERVICE，簡稱DOS攻擊。阻絶服務(wù)攻擊並不以篡改或竊取主機(jī)資料為目的，而是癱瘓系統(tǒng)主機(jī)使之無法正常運(yùn)作。由於一般網(wǎng)路系統(tǒng)的系統(tǒng)資源例如記憶體、磁碟空間以及網(wǎng)路頻寬等有限，有心人士可以根據(jù)部分網(wǎng)路系統(tǒng)或相關(guān)通信協(xié)定設(shè)計或?qū)嵶魃系穆┒?，在短暫時間內(nèi)透過傳送大量且密集的封包至特定網(wǎng)站，使該網(wǎng)站無法立即處理這些封包而導(dǎo)致癱瘓，讓正常用戶無法連上該網(wǎng)站而被阻絕在外。這種攻擊對網(wǎng)站設(shè)備本身而言並不具破壞性，只是造成系統(tǒng)無法即時處理所傳送的大量指令而停滯或當(dāng)機(jī)。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE30為嚇阻此類阻絶式攻擊事件的發(fā)生，我國於增訂刑法第36章妨礙電腦使用罪章時，特別加入第360條，無故干擾他人電腦與相關(guān)設(shè)備罪。若無故以電腦程式或其他電磁方式干擾他人電腦或其相關(guān)設(shè)備，致生損害於公眾或他人者，依本罪之規(guī)定，得處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。本案中的網(wǎng)咖店老闆為了搶生意，故意透過傳送大量垃圾郵件方式，試圖癱瘓競爭對手網(wǎng)路之行為，即可能觸犯本條規(guī)定。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE31下載新版MSN當(dāng)心變成殭屍電腦L事件描述【案號1103】2006年1月出現(xiàn)了一種蘭迪斯變種F病毒BACKDOORLANDISF，它偽裝成流行的網(wǎng)上聊天工具M(jìn)SN80的測試版本，自動向MSN上的好友名單發(fā)送MSN80新版發(fā)布的消息，誘騙其他人點擊隨附網(wǎng)址，該網(wǎng)址指向一個仿冒微軟公司的下載網(wǎng)站，用戶只要從這個網(wǎng)站下載運(yùn)行MSN80測試版，電腦就會中毒，成為遭駭客得以遠(yuǎn)端控制的殭屍電腦，除了可能被盜取個人隱私資訊外，也可進(jìn)一步被做為其他犯罪的工具或跳板。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE32L法律說明所謂電腦病毒，在技術(shù)上來說，是一種會自我複製的電腦程式執(zhí)行檔。有些電腦病毒於程式被執(zhí)行時，會破壞檔案資料、重新格式化電腦硬碟，有些電腦病毒會暗藏指令，自動運(yùn)行電腦擁有者所不知道的功能，或竊取資料，或修改應(yīng)用程式，干擾整個電腦系統(tǒng)的運(yùn)作等等。就算病毒未發(fā)作，它也可能佔據(jù)電腦系統(tǒng)中的記憶體空間，並尋找機(jī)會自行繁殖複製，使電腦運(yùn)算變得遲緩。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE33近年來透過資安教育的宣導(dǎo)與資安軟體廠商在技術(shù)方面的努力，關(guān)於電腦病毒感染造成大規(guī)模損害的新聞已經(jīng)少見。目前實務(wù)上較具危害性的病毒，為具有後門功能的智慧型病毒。這類程式的設(shè)計通常具有針對性，或針對特定對象（如金融服務(wù)業(yè)或特定的政府機(jī)構(gòu)），或針對特定系統(tǒng)程式漏洞、應(yīng)用環(huán)境不斷地變種，再搭配社交工程，利用人性的弱點散布，一般網(wǎng)路使用者甚難察覺與防範(fàn)。而中毒後的電腦，則常被用來當(dāng)作跳板，作為掩飾駭客身分或隱藏攻擊來源的屏障。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE34從法律層面而言，只要當(dāng)事人能證明因病毒散布而造成的損害、能確認(rèn)施放病毒或入侵者身分，均可以透過法律求償。我國更為了遏止此類惡性程式的製作，特別於刑法第362條訂有製作專攻犯罪電腦程式罪。惟病毒或木馬程式的散布，往往透過大量的跳板轉(zhuǎn)接，實務(wù)上欲發(fā)現(xiàn)病毒製作者或入侵者的真實身分可說相當(dāng)困難。而在跳板雙方當(dāng)事人均可能為受害者的情況下，相關(guān)侵權(quán)行為的損害賠償責(zé)任更難釐清。網(wǎng)路環(huán)境雖然危機(jī)四伏，但也不需因噎廢食。只要每位網(wǎng)路使用者都能具有資訊安全風(fēng)險意識，不隨意開啟、接收或下載來路不明的檔案，並善用資安工具，定期進(jìn)行資安防護(hù)工作，才可能避免成為別人犯罪的幫兇，保護(hù)自己也保護(hù)別人。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE35自動更新的病毒專攻臺灣區(qū)L事件描述【案號1104】防毒軟體會自動更新最新的病毒碼，以防止病毒與惡意程式的攻擊是眾所周知的常識，現(xiàn)在這樣的動作連病毒也學(xué)會了。2006年1月出現(xiàn)的新型態(tài)巴克雷病毒W(wǎng)32BACALID，在成功入侵電腦後，會自動連回網(wǎng)路檢視病毒本身有沒有最新的版本，而後自動上網(wǎng)更新最新的攻擊模式，偽裝變身以規(guī)避掃毒程式。目前似乎只有在臺灣地區(qū)以及使用繁體中文的作業(yè)系統(tǒng)環(huán)境中發(fā)現(xiàn)該病毒蹤跡。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE36L法律說明資安防護(hù)工作，如同官兵捉強(qiáng)盜，一直以來是與時間賽跑的工作。新品種病毒與木馬程式的不斷出現(xiàn)，已讓定期更新程式碼、根據(jù)通報下載補(bǔ)丁程式成為機(jī)關(guān)（構(gòu)）網(wǎng)管人員強(qiáng)化資安防護(hù)的例行性工作，然而這樣的安全防護(hù)模式已不足以因應(yīng)多變的網(wǎng)路環(huán)境。巴克雷病毒的出現(xiàn)，其靈活的變身攻擊模式，凸顯了機(jī)關(guān)（構(gòu)）應(yīng)對網(wǎng)管人員強(qiáng)化專業(yè)的重要性。概善用市售的防毒軟體固然有助於阻絕病毒，降低損害發(fā)生的可能性，但過份倚賴掃毒程式，卻可能形成網(wǎng)管工作上的盲點。例如本案自動更新病毒的發(fā)現(xiàn)，實有賴於專業(yè)網(wǎng)管人員對封包流量與連線紀(jì)錄檢視時的敏銳度才可能致。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE37關(guān)於連線紀(jì)錄的保存議題，目前除了第二類電信事業(yè)管理規(guī)則對網(wǎng)路連線服務(wù)提供者（INTERNETACCESSPROVIDER）有所規(guī)範(fàn)外，並未見於其他法律。但為了協(xié)助機(jī)關(guān)（構(gòu)）做好資安防護(hù)工作，仍建議機(jī)關(guān)（構(gòu)）依據(jù)自身需求，參考行政院及所屬各機(jī)關(guān)資訊安全管理要點，建立機(jī)關(guān)（構(gòu)）的資訊安全紀(jì)錄保存與稽核制度，定期或不定期進(jìn)行稽核作業(yè)，並禁止任意刪除及修改系統(tǒng)中之稽核紀(jì)錄檔案。其中最重要者，仍是建立機(jī)制，強(qiáng)化網(wǎng)管人員之專業(yè)，避免定期或不定期的稽核檢視工作流於表面而不自知。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE38FREEDOM程式讓設(shè)計者沒有FREEDOML事件描述【案號1105】刑事局於2006年8月破獲FREEDOM穿越封鎖線駭客程式案，嫌犯為知名銀行資訊室電腦工程師，聲稱純?yōu)橛讶私鉀Q電腦被公司設(shè)限、上班時不能上網(wǎng)聊天打發(fā)無聊的問題，而撰寫此程式，不知觸法。由於此程式著重隱藏及穿透防護(hù)功能，被認(rèn)定是有攻擊性的木馬程式，警方依妨害電腦使用罪將他送辦。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE39L法律說明企業(yè)或機(jī)關(guān)構(gòu)進(jìn)行網(wǎng)管的第一步，即是根據(jù)使用者的身分進(jìn)行權(quán)限設(shè)定，並分層管理，或藉此限制特定應(yīng)用軟體的使用權(quán)限，或避免無權(quán)限者得以接取到具有機(jī)密或敏感性的資料。近年來，更由於網(wǎng)路已成為病毒散布、資料外流的重要管道，有越來越多的企業(yè)或機(jī)關(guān)構(gòu)會對內(nèi)部員工的網(wǎng)路應(yīng)用行為加以設(shè)限，會刻意封鎖如MSN、SKYPE等即時通訊軟體，或限制電子郵件的收發(fā)，甚至是禁止上網(wǎng)。即使如此，高階主管的電腦使用權(quán)限仍相對比基層員工高。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE40本案中的FREEDOM穿越封鎖線程式，據(jù)報載，即是利用此分層設(shè)限的機(jī)制，讓組織內(nèi)部具有較高權(quán)限主管的電腦（代稱A）被植入程式後，其他原本沒有上網(wǎng)權(quán)限的電腦（代稱B）得藉由已被該程式控管的電腦A轉(zhuǎn)介上網(wǎng)，使原有的系統(tǒng)保護(hù)管制措施形同虛設(shè)，遂其協(xié)助使用者達(dá)到上網(wǎng)之目的。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE41從技術(shù)層面言，此程式的運(yùn)作涉及到破解電腦保護(hù)措施（刑法第358條）、植入遠(yuǎn)端控制程式（刑法第359條）、干擾系統(tǒng)依正常指令運(yùn)作的穩(wěn)定性（刑法第360條），從而此程式的設(shè)計者，可構(gòu)成刑法第362條之製作專供犯罪電腦程式罪。不論是供自己或他人使用，只要對公眾或他人造成損害時，可處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE42簡而言之，當(dāng)事人不管是為滿足成就感而挑戰(zhàn)、測試他人設(shè)置之資安防護(hù)措施，或是單純好奇想驗證自己製作程式能力，或是想宣洩對社會或組織的不滿，或如同本案例，僅純粹為自己或親朋使用之便利而製造具有入侵、破壞、干擾功能之電腦程式時，應(yīng)留意這類程式的執(zhí)行或散布是否可能對他人或公眾造成損害，否則將有觸法可能，程式設(shè)計者不可不慎。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE43壹、電腦與網(wǎng)路犯罪二、網(wǎng)路犯罪中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE44網(wǎng)路釣魚，願者上鉤L案例事實【案號1201】2007年1月有不肖集團(tuán)以聯(lián)X銀行網(wǎng)站為樣本，製作與聯(lián)X銀行首頁相同的網(wǎng)頁，並以該銀行名義發(fā)出數(shù)十萬封以銀行系統(tǒng)轉(zhuǎn)換，重新登錄為標(biāo)題的電子郵件，要求銀行用戶點選郵件末隨附的極相似網(wǎng)址，上網(wǎng)重新確認(rèn)帳號及個人密碼。當(dāng)用戶連上該偽冒網(wǎng)站時，即被植入木馬，竊取個人密碼及信用資料；歹徒隨後更利用相關(guān)資料盜領(lǐng)存款、盜開支票，甚至複製信用卡詐欺取財。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE45L法律說明所謂網(wǎng)路釣魚，英文為PHISHING，與FISHING發(fā)音相同，主要因為早期是以盜撥電話來詐騙財物，所以將PHONE和FISHING兩字結(jié)合為PHISHING?，F(xiàn)在則是指利用網(wǎng)站連結(jié)、電子郵件、即時通訊等工具，誘騙網(wǎng)友進(jìn)入與企業(yè)或組織網(wǎng)站相似的網(wǎng)頁，騙取帳號或是植入木馬程式，更進(jìn)一步詐取受害人的財物。這類犯罪由於具有經(jīng)濟(jì)上的誘因，已迅速成為目前國內(nèi)外嚴(yán)重的詐欺犯罪態(tài)樣。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE46由於資訊化社會的發(fā)展，許多的文字或圖像都已經(jīng)電子化，並相當(dāng)程度足以表示其用意之證明，法律上即將其擬制為文書，適用文書保護(hù)之相關(guān)規(guī)定。以本案為例，行為人以商家名義向不特定多數(shù)人發(fā)送電子郵件之行為，即可能構(gòu)成我國刑法的第210條偽造準(zhǔn)文書罪。郵件內(nèi)含偽造首頁及偽冒網(wǎng)址之行為，即可能違反了著作權(quán)法第91條，侵害網(wǎng)頁著作人重製權(quán)，也可能涉及使用他人商標(biāo)中之文字作為來源之標(biāo)識，成立商標(biāo)法第62條的侵害商標(biāo)權(quán)罪。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE47關(guān)於竊取帳號密碼的部分，不論是網(wǎng)友誤入極為相似的網(wǎng)站而輸入帳號密碼，或行為人透過木馬程式竊取，有可能成立刑法第359條取得電磁記錄罪。最後，行為人以竊得之帳號、密碼進(jìn)入銀行網(wǎng)站，進(jìn)而將被害人帳戶內(nèi)存款轉(zhuǎn)走之行為，視行為的階段性，可能成立刑法第358條之無故入侵罪，也可能成立第3393條之電腦詐欺罪，分別為3年與7年以下的刑責(zé)。如歹徒用以製作偽卡，可構(gòu)成刑法第2011條的偽造支付工具罪，可處1年以上、7年以下有期徒刑。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE48網(wǎng)路釣魚詐欺多是利用人性弱點進(jìn)行誘騙，或要求收信人及時回覆、或提供虛假網(wǎng)址連結(jié)誤導(dǎo)被害人。面對層出不窮的犯罪手法，消費(fèi)者對於網(wǎng)路之應(yīng)用要有所警惕，除應(yīng)定期更新安全防護(hù)軟體及更新瀏覽器漏洞修正外，更要謹(jǐn)慎小心，不要輕信不明的電子郵件，或隨意點擊廣告連結(jié)，並儘可能注意加註防釣安全標(biāo)章（SIGNINSEAL），以確保擁有安全的網(wǎng)路使用環(huán)境而免於受騙。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE49色情資訊土石流L案例事實【案號1203】檢警於臺北縣偵破一販賣色情光碟案，行為人利用知名網(wǎng)站成立女友的私房相簿家族網(wǎng)頁，張貼色情圖片並販?zhǔn)凵楣獾?，這些色情光碟中包含賓館、廁所偷拍，甚至還有未滿18歲的幼幼片。行為人為了達(dá)到宣傳網(wǎng)站的效果，還徵得妻子同意，將兩人性交的自拍畫面拷貝成色情光碟販?zhǔn)?。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE50L法律說明所謂網(wǎng)路色情，指在網(wǎng)際網(wǎng)路上公開張貼或散布裸露、猥褻或低俗不雅的文字、圖片、聲音、動畫與性交易資訊。但何為猥褻何為低俗不雅由於憲法保障民眾的言論自由權(quán)，且對猥褻、色情等的認(rèn)定標(biāo)準(zhǔn)亦會隨社會發(fā)展、風(fēng)俗變異而有所不同，其界線甚難釐清。雖然如此，考量兒童及少年之心智發(fā)展未臻成熟，國家採取適當(dāng)管制措施以保護(hù)兒童及少年免於被迫從事任何非法之性活動或性引誘，至為重要。此亦為聯(lián)合國兒童權(quán)利公約所宣示普世價值之基本人權(quán)。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE51本案例首先值得討論者，即為這些色情圖片的來源取得問題。如所謂的幼幼片為行為人自行拍攝、製作，或引誘、媒介使未滿18歲之人被拍攝、製作相關(guān)圖畫、錄影帶、影片、光碟、電子訊號或其他物品時，行為人無疑該當(dāng)兒童及少年性交易防制條例第27條之拍攝製造猥褻物品罪，得處六個月以上五年以下，或一年以上七年以下有期徒刑。若其來源係以廁所、賓館偷拍方式取得，涉及無故以錄音、照相、錄影或電磁紀(jì)錄竊錄他人非公開之活動或身體隱私部位者，可構(gòu)成刑法第3151條之妨害秘密罪，得處三年以下有期徒刑、拘役或三萬元以下罰金。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE52若不涉及來源問題，則本案行為人張貼、散布、播送、公然陳列或販賣色情光碟之行為，另構(gòu)成刑法第235條之販賣猥褻物品罪，與兒童及少年性交易防制條例第28條之散布或販賣姦淫猥褻物品罪，得處三年以下有期徒刑。為避免讓未成年人接觸到不該接觸的色情資訊，我國已於2004年4月26日公布實施電腦網(wǎng)路內(nèi)容分級處理辦法，要求平臺提供者與內(nèi)容提供者需就其內(nèi)容標(biāo)示分級標(biāo)誌，並設(shè)置管理員以及時發(fā)現(xiàn)、及時移除不當(dāng)資訊。即便如此，網(wǎng)路過濾和分級制度皆非萬能，仍應(yīng)仰賴學(xué)校、家庭和社會三方面的配合，建立兒童及青少年正確的性觀念，才可能有效遏止網(wǎng)路色情對於兒童及青少年的危害。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE53轉(zhuǎn)寄誹謗郵件有罪L(fēng)案例事實【案號1204】南部某家知名冷飲店一再遭人惡意中傷，在電子郵件、網(wǎng)路留言版或聊天室上經(jīng)常發(fā)現(xiàn)有詆毀性的文章，包括該家冷飲店的飲料含有茶精、添加代糖，吃多會致癌等內(nèi)容，該公司摘錄30多封網(wǎng)路留言及相關(guān)轉(zhuǎn)寄電子郵件後報請臺南市刑大偵辦，警方詢問幾位措辭嚴(yán)重且強(qiáng)烈的行為人到案說明後移送地檢署。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE54L法律說明網(wǎng)路是一個匿名的虛擬空間，似乎每個人都可以在網(wǎng)路上想做什麼就做什麼，也因其具有訊息散布快速、使用者得匿名的特性，有不少網(wǎng)友誤以為實體社會的法律、道德或倫理的界線在網(wǎng)路虛擬空間可以不用遵守而無所顧忌的發(fā)表言論，因此網(wǎng)路上流傳的各種言論內(nèi)容可謂千奇百怪。例如早年流傳的某公司所生產(chǎn)的衛(wèi)生棉會長蟲或XX公司所販?zhǔn)鄣碾u肉為基因雞、XX醫(yī)院的醫(yī)生罔顧人命等等，網(wǎng)友在收到或看到這樣的訊息或文章後覺得感同身受，或覺得有必要伸張正義，提醒親友注意，往往不加思索地將文章再次轉(zhuǎn)寄出去，殊不知此等行為可能觸犯了法律。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE55依目前實務(wù)見解，行為人透過網(wǎng)路將涉及妨害名譽(yù)內(nèi)容的郵件轉(zhuǎn)寄給大量連絡(luò)人時，可被認(rèn)定顯有散布於眾的意圖，可構(gòu)成刑法第310條的誹謗罪意圖散布於眾，而指摘或傳述足以毀損他人名譽(yù)之事者，為誹謗罪，處一年以下有期徒刑、拘役或五百元以下罰金。又，如果網(wǎng)友為取信於人，隨附說明圖片或文字並透過網(wǎng)路傳送，此時可成立第310條第2項之加重誹謗罪；即使謠言不是由行為人首先發(fā)表，只要行為人在收到謠言後又轉(zhuǎn)寄出去，也可能構(gòu)成此罪。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE56建議網(wǎng)友處理這些真假難辨的電子郵件時，在未經(jīng)查證前最好不要轉(zhuǎn)寄予他人，萬一這些消息是錯誤的，甚至是有心人惡意散布以打擊對手時，轉(zhuǎn)寄者也許只是出於好心想提醒親朋好友，卻可能因此須負(fù)擔(dān)法律責(zé)任。當(dāng)然，轉(zhuǎn)寄者或許可以提出抗辯，表示並沒有犯罪故意，但依照民法第195條，此等行為若侵害了他人的名譽(yù)或信用，恐怕仍須負(fù)起民事?lián)p害賠償責(zé)任。網(wǎng)友在轉(zhuǎn)寄類似郵件時宜謹(jǐn)慎。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE57恭喜你得標(biāo)小心網(wǎng)路劫標(biāo)客L案例事實【案號1205】臺中市有名女子在知名拍賣網(wǎng)站上以3400元標(biāo)得一部中古相機(jī)，結(jié)標(biāo)後隔天便收到自稱是賣主寄發(fā)的得標(biāo)確認(rèn)電子郵件，便依信中留下的手機(jī)號碼聯(lián)絡(luò)對方，對方要她將貨款匯到指定帳戶，即可收到貨品。買家依指示將錢匯進(jìn)賣家?guī)翎幔瑓s遲未收到商品，再次與對方聯(lián)絡(luò)卻無任何回音，直到重新查看信箱，又發(fā)現(xiàn)了真正賣主的確認(rèn)信後，才知上了網(wǎng)路劫標(biāo)客的當(dāng)。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE58L法律說明網(wǎng)路交易自2005年起遭劫標(biāo)集團(tuán)擾亂至今，已逾4,000件無法偵破，嚴(yán)重危害網(wǎng)路交易安全。近年來網(wǎng)路詐騙案件逐年呈倍數(shù)成長，根據(jù)警方的統(tǒng)計，2006年1月至8月，警方受理網(wǎng)路詐騙案達(dá)4,600餘件，是2004年的兩倍，也超越了2005年的3,800件，顯見網(wǎng)路已成為詐騙集團(tuán)從事犯罪的新管道。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE59網(wǎng)路劫標(biāo)多半是發(fā)生在下列情形劫標(biāo)客通常會盯上快結(jié)標(biāo)商品的出價者，等商品結(jié)標(biāo)後，利用與真賣家極為相似的帳號，或者提供與賣家一模一樣郵件帳號，佯稱賣方而發(fā)給買方得標(biāo)通知信，要求轉(zhuǎn)帳到某帳戶。信的內(nèi)容多半以出國、出差等理由，要求買家儘早匯款，並強(qiáng)調(diào)因此將另外給予折扣。劫鏢客同時也可能通知買家，稱其因為電話或手機(jī)故障，請買家勿以電話聯(lián)絡(luò)等，以延遲犯罪被發(fā)現(xiàn)的時間。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE60從法律觀點，雖然這類犯罪的手法千變?nèi)f化，但其行為可概括論以刑法第339條之詐欺罪，意圖為自己或第三人不法之所有，以詐術(shù)使人將本人或第三人之物交付，或得財產(chǎn)上不法之利益者，處五年以下有期徒刑、拘役或科或併科一千元以下罰金。網(wǎng)路拍賣雖然便利，但在保障自身權(quán)益考量下，建議喜好網(wǎng)路拍賣的網(wǎng)友可以選擇見面交易或貨到付款方式，或選擇利用拍賣網(wǎng)站提供的交易認(rèn)證機(jī)制，以降低詐騙風(fēng)險。若堅持郵寄取貨，建議網(wǎng)友對結(jié)標(biāo)商品頁面的資訊應(yīng)多加留意，並於匯款前主動跟賣家聯(lián)絡(luò)，確認(rèn)收到的匯款資料是否正確無誤，以保護(hù)自身權(quán)益。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE61虛擬竊盜，實體制裁L案例事實【案號1206】某位19歲的電腦好手，利用網(wǎng)路入侵他人電腦，取得網(wǎng)友的遊戲帳號、密碼後，以竊取到的帳號和密碼登入遊戲伺服器，並將他人遊戲角色中所有的寶物轉(zhuǎn)移給自己遊戲中的角色。警方循線查獲後，將該名青少年移送法辦。L法律說明網(wǎng)路遊戲玩家因為遊戲中竊取他人的虛擬寶物而衍生的官司時有所聞。根據(jù)內(nèi)政部警政署偵辦電腦犯罪案件的成果報告，網(wǎng)路竊盜案件已躍升為排行榜第一名，其中絕大部分是虛擬寶物的竊盜案件。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE62竊取寶物的行為雖然發(fā)生在虛擬遊戲世界中，但仍可構(gòu)成犯罪而受到刑法的制裁。就本案事實分析，行為人入侵他人電腦的行為，即違反了刑法第358條無故入侵電腦罪，最高可處三年以下有期徒刑、拘役或併科十萬元以下罰金。行為人以竊得之帳號密碼登入遊戲伺服器，進(jìn)而移轉(zhuǎn)其他玩家之虛擬寶物給自己遊戲中的角色，有可能構(gòu)成刑法第359條無故取得他人電磁記錄罪。但也有見解認(rèn)為，行為人藉由輸入不正確指令而獲得不法利益，可構(gòu)成刑法第3393條不正使用電腦詐欺罪，最高可處七年以下有期徒刑。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE63有鑑於線上遊戲發(fā)展快速，衍生問題不斷，遊戲廠商卻往往片面以定型化契約約款或遊戲管理規(guī)則排除己身責(zé)任，經(jīng)濟(jì)部於2005年初修訂有線上遊戲定型化契約範(fàn)本，針對虛擬貨幣或?qū)毼锉槐I取之糾紛設(shè)計出一套保護(hù)機(jī)制條款，除要求業(yè)者應(yīng)於此類糾紛發(fā)生時，積極介入玩家與第三人間，協(xié)助釐清事實真相外，更要求業(yè)者應(yīng)維持消費(fèi)者相關(guān)電磁紀(jì)錄保存之完整，至少保留30日之遊戲歷程提供玩家參閱。有效解決線上遊戲糾紛，可說是遊戲產(chǎn)業(yè)發(fā)展的關(guān)鍵。透過契約條款明確區(qū)分玩家與遊戲公司的責(zé)任歸屬外，仍建議遊戲公司應(yīng)加強(qiáng)設(shè)備的安全性，而玩家亦應(yīng)定期更新防毒軟體及執(zhí)行更新系統(tǒng)，建立保護(hù)虛擬財產(chǎn)的觀念，於發(fā)生糾紛後積極主張自己的權(quán)利，如此才能使遊戲回歸娛樂面的意義。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE64部落格分享音樂，違反著作權(quán)法L案例事實【案號1207】國內(nèi)盛行網(wǎng)路部落格（BLOG）文化，部落格作者常以文章配上優(yōu)美的音樂，以豐富自己的文章及網(wǎng)誌內(nèi)容，然而多數(shù)的部落格作者可能不知道，在部落格內(nèi)分享音樂，其實有觸法危險。各地方法院判決相繼出現(xiàn)，網(wǎng)友應(yīng)提高警覺。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE65L法律說明部落格作者在網(wǎng)誌內(nèi)以音樂搭配自己的文章，或提供音樂檔案供他人聆聽、轉(zhuǎn)貼，這些互動、分享的機(jī)制原本是網(wǎng)誌文化盛行的原因之一。但部落格作者卻可能因為上載分享的音樂使用量過大，而難以主張著作權(quán)法中的合理使用。雖然部落格作者被判刑的刑期通常不重，且可易科罰金，但是這樣的判決結(jié)果確實為部落格文化投下一個震撼彈。從法律層面分析，部落格作者上傳音樂於網(wǎng)路空間或透過超連結(jié)與網(wǎng)友大量分享歌曲檔案的行為，可能構(gòu)成著作權(quán)法第91條第1項之重製罪。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE66其將音樂放在網(wǎng)誌內(nèi)，供不特定網(wǎng)友點選聆聽的行為，則違反了第92條的公開傳輸而侵害著作財產(chǎn)權(quán)之規(guī)定。所謂的公開傳輸，係指以有線電、無線電之網(wǎng)路或其他通訊方式，藉聲音或影像或公眾提供或傳達(dá)著作內(nèi)容，包括使公眾得於其各自選定之時間或地點，以上述方法接收內(nèi)容。因此，部落格作者設(shè)置音樂檔案，也許只是想方便自己聆聽，但因網(wǎng)際網(wǎng)路的特性，已使部落格內(nèi)容置於公開傳輸或接受的狀態(tài)而觸法。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE67依目前各地方法院就部落格作者侵權(quán)案的判決結(jié)果，部落格作者利用別人的音樂著作，但未取得其音樂著作權(quán)人授權(quán)的行為，一旦遇到音樂著作權(quán)人主張其權(quán)益時，部落格作者雖無商業(yè)行為，仍恐無法主張合理使用，而被認(rèn)定為有罪。建議部落格作者在提供分享機(jī)制時應(yīng)審慎之。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE68貳、資訊安全管理一、無線網(wǎng)路與新興科技中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE69悠遊無線應(yīng)注意安全L案例事實【案號2101】2006年2月14日刑事局破獲國內(nèi)第一例利用無線溢波（OVERFLOW）盜刷信用卡之犯罪。該犯罪集團(tuán)為逃避、干擾警方追查，四處以租屋方式尋找可盜用之無線溢波，或暫住可接收無線網(wǎng)路的飯店，再上網(wǎng)盜刷信用卡購物，不法獲利至少數(shù)百萬元以上。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE70L法律說明隨著寬頻網(wǎng)路環(huán)境的普及，無線網(wǎng)路設(shè)備價格的下降，民眾已可輕易且自由自在地在許多公共場所及家中使用無線網(wǎng)路，享受隨時飆網(wǎng)的便利。不過此種新興的上網(wǎng)模式，也為機(jī)關(guān)構(gòu)網(wǎng)路安全的維護(hù)工作帶來困擾。概在有線網(wǎng)路環(huán)境下，網(wǎng)管人員還可藉由對有線區(qū)域內(nèi)的設(shè)備掌控進(jìn)行管理，但行動載具搭配無線網(wǎng)路，打游擊式的上網(wǎng)態(tài)樣，確實容易讓網(wǎng)管人員無所適從。有機(jī)關(guān)構(gòu)乾脆禁止使用無線網(wǎng)路，但即使如此，來自隔壁大樓或街上便利商店的無線溢波，可能仍讓網(wǎng)管人員防不勝防。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE71在臺灣，民眾自行架設(shè)小型無線基地臺的情形相當(dāng)普遍。或許有些人不介意讓別人借用多餘頻寬，但出借者仍必須留意，未經(jīng)管理的無線溢波容易成為有心人士混淆辦案或逃避犯罪查緝的途徑。本案即是網(wǎng)路新興科技被利用以逃避犯罪追緝的案例。從法律層面分析，行為人如果是透過破解保護(hù)措施方式進(jìn)入他人無線網(wǎng)路時，此時已違反刑法第358條之無故入侵電腦相關(guān)設(shè)備罪。而行為人上網(wǎng)盜刷信用卡之行為，也違反了刑法第3393條之詐欺罪，可處以七年以下有期徒刑。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE72無線上網(wǎng)技術(shù)雖然帶給民眾隨時上網(wǎng)的便利，卻不可避免遭犯罪集團(tuán)濫用，輕則佔用頻寬、干擾網(wǎng)路穩(wěn)定度，重則散布病毒、惡意攻擊、甚至竊取機(jī)密隱私資料，造成難以彌補(bǔ)的損失。建議架設(shè)有無線基地臺的民眾應(yīng)重視無線溢波管理之問題，做好基礎(chǔ)安全防護(hù)，一方面以加密方式限制無線網(wǎng)路接取權(quán)限，另一方面透過指定無線網(wǎng)卡方法，限制特定無線網(wǎng)卡才能接收，以防範(fàn)有心人士之犯罪行為。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE73電子生物護(hù)照的安全疑慮L案例事實【案號2103】在國際恐怖主義籠罩下，世界先進(jìn)國家如美國、英國、新加坡紛紛全面換發(fā)電子生物護(hù)照，將民眾的生物特徵資訊寫入微晶片中。然而據(jù)了解，英國所使用的生物護(hù)照竟於兩週內(nèi)被德國一家安全公司的電腦專家破解。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE74L法律說明所謂電子生物護(hù)照，即是在新護(hù)照中裝置一小片無線射頻辨識系統(tǒng)RFID晶片，晶片中儲存護(hù)照持有人的姓名、國籍、出生日期、出生地等資訊，以及個人生物特徵如指紋、臉型及虹膜等。美國、英國政府當(dāng)局即表示，這些高科技護(hù)照的運(yùn)用將有助於縮短到訪者入海關(guān)檢查時間，並可有效防範(fàn)護(hù)照偽造，保障邊境安全。有感於國際應(yīng)用電子生物護(hù)照趨勢，我國政府也於2007年提出護(hù)照條例修正草案，擬賦予政府發(fā)行晶片護(hù)照之法源依據(jù)。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE75然而，政府對於蒐集民眾生物特徵後的個人資料如何保護(hù)議題，似仍未見明確之說明。相關(guān)爭議，就如同我國先前因政府換發(fā)身分證擬強(qiáng)制錄存指紋之爭議一般；該案並已經(jīng)司法院作成釋字第603號解釋。雖然如此，透過RFID技術(shù)在護(hù)照防偽功能上的好處是否大於護(hù)照持有者就其個人資料安全上的威脅，一直仍為各方爭議中。各國的人權(quán)團(tuán)體無一不擔(dān)心RFID晶片為駭客所破解，個人資料因而被側(cè)錄，造成資料外洩，甚至供以犯罪之用。個人資料的管理及保護(hù)預(yù)計是RFID在電子生物護(hù)照應(yīng)用上最受爭議的議題。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE76根據(jù)釋字第603號解釋意旨，憲法對資訊隱私權(quán)之保障並非絕對，國家得於符合憲法23條規(guī)定意旨之範(fàn)圍內(nèi)，以法律明確規(guī)定對之予以適當(dāng)之限制。亦即，政府如果確定將發(fā)行電子晶片護(hù)照，應(yīng)注意應(yīng)以法律明定其蒐集之目的；個人生物資料之蒐集應(yīng)與重大公益目的之達(dá)成具有密切必要性與關(guān)聯(lián)性；應(yīng)明文禁止法定目的外之使用；而最重要者，主管機(jī)關(guān)應(yīng)配合當(dāng)代科技發(fā)展，對所蒐集之檔案採取組織上與程序上必要之防護(hù)措施。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE77我國電腦處理個人資料保護(hù)法對政府蒐集民眾個人資料的安全管理規(guī)範(fàn)，僅見於個資法第17條，要求公務(wù)機(jī)關(guān)應(yīng)指定專人依相關(guān)法律辦理安全維護(hù)事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。另包括若公務(wù)機(jī)關(guān)違反本法規(guī)定，致當(dāng)事人權(quán)益受損者，則應(yīng)依個資法第27條負(fù)損害賠償責(zé)任。此種規(guī)範(fàn)方式，實不足以回應(yīng)釋字第603號所揭示的個人資料保護(hù)原則。政府後續(xù)在推動電子生物護(hù)照時，實應(yīng)強(qiáng)化法源，在組織上與技術(shù)上建立更安全的防護(hù)機(jī)制並建立透明的稽核機(jī)制，納入公眾參與，才可能消弭電子生物護(hù)照帶來的個人資料管理疑慮。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE78貳、資訊安全管理二、個人資料保護(hù)中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE79某名主持人病歷資料外洩事件L案例事實【案號1101】2009年有陳姓醫(yī)師將其對某知名女主持人利X的變性醫(yī)療詳細(xì)過程與病歷資料刊登於某醫(yī)學(xué)期刊上。其後檢方認(rèn)為涉案人所公布醫(yī)療詳細(xì)過程與病歷資料雖未經(jīng)診療被害人同意，但所刊登之所在為醫(yī)學(xué)期刊，屬特定專業(yè)人士所限閱，未能構(gòu)成散播或洩漏個人隱密資料之條件，該案以不受理不起訴處分偵察終結(jié)。病歷來源之醫(yī)療機(jī)構(gòu)的管理責(zé)任為本案探究之重點。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE80L法律說明電腦應(yīng)用已經(jīng)成為民眾生活、工作的重要部分，事關(guān)民眾健康之醫(yī)療機(jī)構(gòu)近年亦大力推動醫(yī)療資訊、病歷電子化的工作。依據(jù)衛(wèi)生署93年訂定醫(yī)療機(jī)構(gòu)實施電子病歷作業(yè)要點規(guī)定，所謂電子病歷是以電子文件方式製作、保存之病歷。該要點並規(guī)定醫(yī)療機(jī)構(gòu)應(yīng)設(shè)置經(jīng)適當(dāng)訓(xùn)練之人員，以確保電子病歷之安全。本案例中，利姓被害人遭公布之病歷為A醫(yī)院所有，依據(jù)電腦處理個人資料保護(hù)法以下簡稱個資法的規(guī)定，該醫(yī)院即應(yīng)做好保護(hù)措施，不讓病歷外洩。不過值得注意的是，目前個資法所規(guī)範(fàn)之範(fàn)圍僅限於經(jīng)電腦處理之個人資料，若非經(jīng)電腦處理之個人資料如手寫紙本則不在本法保護(hù)範(fàn)圍中。中華科技大學(xué)科技管理永遠(yuǎn)領(lǐng)先客氣客觀客戶滿意PAGE81本案分析上第一步值得探究者，為所公布醫(yī)療詳細(xì)過程與病歷資料雖未經(jīng)診療被害人同意，但所刊登之所在為醫(yī)學(xué)期刊，是否為公共刊物。若不是，則無現(xiàn)行個資法適用；若是，則該醫(yī)院與該醫(yī)師對病患病歷