查看單個文章
  #2  
舊 2017-12-09, 04:50 PM
chennien 的頭像
chennien chennien 目前離線
進階會員
 
註冊日期: 2007-03-15
住址: nien.com
文章: 814
發送 ICQ 消息給 chennien 發送 AIM 消息給 chennien 發送 MSN 消息給 chennien 發送 Yahoo! 消息給 chennien 發送 Skype™ 消息給 chennien
帖子 〈自由時報〉薪資系統個資外洩,北市府遭糾正

為處理轄下機關、學校、議會人員薪資發放、考績等業務,台北市政府斥資開發設計的「薪資發放管理系統」,由於沒有妥善保護個人資料,導致部分公務員姓名、薪資、考績等資料曝光在網路,以及台北市政府「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei Android版 App」有使用者帳號、密碼外洩情形,監察院內政及少數民族委員會前天為此審查通過監委高鳳仙、江綺雯調查報告並糾正台北市政府。

2千多人受害 嚴重疏失
高鳳仙、江綺雯指出,台北市政府於一百年間,將薪資系統主機由內網移至DMZ(邊界網路)區,卻未完善資安防護配套,一○六年一月間爆發員工個資外洩事件,使四萬餘名市政府員工陷於個資外洩風險,且因一百九十筆薪資報表檔案連結外露,其中十八張報表連結疑遭廿三個外部 IP連結或下載,實際受影響員工數達二千三百一十三人,直到監察院約詢後,才個別通知疑遭個資外洩員工並採取因應措施,有嚴重疏失。

根據監委調查,台北市政府近三年來,共編列約二億一千萬餘元的資安防護預算,卻發生至少十九起資安事件,其中十七起有「系統漏洞且有明確事證可證實已發生資料遭洩漏」、「系統或資料遭竄改」或「業務運作遭影響或系統停頓」情事,高達十二起肇因於「應用程式漏洞」或「軟硬體漏洞」,兩起個資外洩,六起遭外部有心人士實際入侵,違失情節明確。

高鳳仙、江綺雯並表示,「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」資安事件,係因採用國家發展委員會 GCA SSL憑證進行加密,但該憑證當時與
Google Play還不相容,台北市政府未能及時督促得標廠商改採其他商業電子憑證,以致短期間連續爆發兩件因未採用 https加密技術,而導致個資外洩爭議,核有疏失。

資訊局:已編補強、汰換預算
對此,台北市資訊局昨晚則發出聲明表示,資訊系統目前已規劃配合系統評估,進行資訊安全風險的補強,無法修補者會優先編列於明年度的預算中進行汰換,預算正在台北市議會審議中。另已對市府所有標準作業流程進行資訊安全檢測,並修訂市府 App上線 SOP及管理規定,要求市府所有 App均應符合經濟部工業局行動化應用軟體檢測標準,才能提供民眾下載使用。

資訊局也說,對於監察院的關心及指示,他們再一次表示感謝及虛心檢討,會在相關政策、處理流程及技術上持續加強。


news.ltn.com.tw/news/local/paper/1158614
__________________
--

nien.com | 網路檢測 | 網速測試 | 顧問服務
回覆時引用此篇文章