iPAS 資訊安全工程師 考試重點

IS112 相關法規職場與遵循
主題分類
1
相關法規(個資法、資通法、GDPR等)
2
職場倫理與遵循
3
智慧財產權(著作權、營業秘密等)
#1
★★★★★
個人資料保護法 (Personal Data Protection Act, PDPA) - 核心概念 (台灣)
重要規定
台灣的PDPA旨在規範個人資料蒐集處理利用,以避免人格權受侵害,並促進個人資料之合理利用。(管理113-2 Q11)
  • 個人資料:指得以直接或間接方式識別該個人的資料。公司營業據點不屬於個人資料。(管理111-2 Q12)
  • 特種個資敏感個資):包括病歷醫療基因性生活健康檢查犯罪前科。指紋不屬於特種個資。(管理111-2 Q6) GDPR定義不同,例如GDPR未明確列入犯罪前科,但台灣PDPA有。(管理113-2 Q13)
  • 告知義務:蒐集個資時應明確告知事項,包含個資類別利用期間/地區/對象/方式等,但不包含儲存方式。(管理111-2 Q11)
  • 當事人權利:查詢閱覽、製給複製本、補充更正、請求停止蒐集/處理/利用、請求刪除不包含請求永久保留。(管理112-1 Q10)
  • 目的限制:蒐集、處理、利用不得逾越特定目的之必要範圍。(管理112-2 Q13)
  • 安全維護:應採行適當之安全措施。施行細則第12條詳述措施,包含風險評估、認知宣導、稽核機制等,不包含導入ISO管理架構。(管理112-2 Q9)
  • 公務員加重處罰:加重其刑至二分之一。(管理111-2 Q7)
  • 請求回應時限:原則上應於30天內回覆當事人請求,必要時可延長15天。(管理113-1 Q9)
#2
★★★★★
資通安全管理法 (Cyber Security Management Act, CSMA) - 核心概念 (台灣)
重要規定與子法
CSMA旨在積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益。(管理113-2 Q11)
  • 適用對象公務機關(不含軍事、情報機關)及特定非公務機關關鍵基礎設施提供者公營事業政府捐助之財團法人)。(管理112-1 Q7)
  • 責任等級分級:依業務重要性等分為 A, B, C, D, E 五級,A級最高。業務涉及全國性民眾服務或跨特定非公務機關共用性資通系統維運者為A級。(管理112-2 Q6)
  • 事件通報與應變:事件分四級。公務機關知悉後1小時內通報上級;特定非公務機關通報中央目的事業主管機關。
  • 損害控制/復原時限:第一、二級72小時;第三、四級36小時。(管理112-2 Q7, 管理111-2 Q20)
  • 主管機關審核時限:第一、二級8小時;第三、四級2小時。(管理113-2 Q9, 管理111-2 Q12)
  • 罰則:針對特定非公務機關未依規定通報者,處30萬~500萬罰鍰;其他未符規定者處10萬~100萬罰鍰。公務機關人員違法則懲戒或懲處。(管理111-2 Q8)
  • 相關子法資通安全責任等級分級辦法資通安全事件通報及應變辦法資通安全情資分享辦法等。資通安全事件通報及應變辦法定義了演練作業項目。(管理113-1 Q7)
  • 委外廠商管理:委託辦理資通系統建置維運或服務提供時,應選任及監督受託者,並進行適任性查核(如是否曾犯洩密罪等)。(管理111-2 Q9)
#3
★★★
歐盟一般資料保護規則 (General Data Protection Regulation, GDPR)
核心原則與影響
GDPR 是歐盟的資料保護法規,對全球有廣泛影響。
  • 適用範圍:處理歐盟境內個人資料的組織,包括雲端處理者控制者。(管理110-2 Q9)
  • 核心原則:包含資料最小化問責制度(Accountability)等。
與台灣PDPA比較:兩者皆規範個資處理,但GDPR在某些權利(如被遺忘權、資料可攜權)及罰則上更為嚴格。GDPR特種個資的定義範圍更廣。(管理113-2 Q13)
#4
★★★★
職場倫理專業行為準則
資訊安全專業人員守則
資訊安全專業人員應遵守高標準的職業道德:
  • 保護機密資訊不得未經授權洩露雇主或客戶的機密資訊。
  • 誠實正直(Integrity):在所有專業活動中保持誠實,避免利益衝突。
  • 客觀性(Objectivity):不受個人偏見或外部壓力影響判斷。
  • 保密性(Confidentiality):保護所接觸到的敏感資訊。
  • 專業能力(Competency):持續精進專業知識與技能,提供稱職的服務。
  • 遵守法律:遵守所有適用的法律、法規與合約義務。
  • 促進安全文化:在組織內推廣資訊安全意識與最佳實務。
  • 避免不當行為:例如,為維持與受稽核對象的良好關係隱瞞重大稽核發現,是違反專業倫理的行為。(管理110-2 Q98)
內部稽核人員四大原則:誠正客觀保密能力(不包含節省)。(管理112-1 Q148)
#5
★★★★
智慧財產權 (Intellectual Property Rights, IPR) 保護
主要類型與保護
  • 著作權 (Copyright):保護原創文學、藝術、音樂、軟體等表達形式。保護是創作完成即自動產生。不得重製、散布、改作等。例外:公文、法規、標語、新聞報導(單純傳達事實)等不屬於保護範圍。(管理111-1 Q17) 在學校宿舍分享下載的音樂影片侵犯著作權。(管理110-2 Q47) 肖像權屬於人格權,智慧財產權。(管理112-1 Q45)
  • 專利權 (Patent):保護發明新型設計需申請獲准。保護期限一般發明為20年。(管理112-1 Q46)
  • 商標權 (Trademark):保護區別商品/服務來源的標識需申請註冊。(管理112-1 Q46)
  • 營業秘密 (Trade Secret):保護具經濟價值秘密性且採合理保密措施的資訊。不得為質權及強制執行之標的。(管理111-2 Q12)
  • 保護措施:購買正版軟體、制訂IPR政策、定期審查授權。下載破解版軟體是不當做法。(管理111-1 Q16, 管理112-1 Q47)
個人資料保護法主要保護個人隱私,與智慧財產權保護的標的不同。(管理110-2 Q7)
沒有找到符合條件的重點。