哥本哈根會議後，歐盟討論實行碳關稅的可能

垂直場域應用之5G頻譜政策趨勢 資訊工業策進會科技法律研究所 2019年07月25日 壹、事件摘要 　　在科技的進展下，各國為提升民眾與企業之連網品質，皆刻正積極的推動5G網路相關應用，國際標準化機構第三代合作夥伴計畫（3rd Generation Partnership Project, 3GPP）更提出了三個5G應用場景，分別是更大頻寬（Enhanced Mobile Broadband, eMBB）、海量連結（Massive Machine Type Communications, mMTC），以及超低時延（Ultra-reliable and Low Latency Communications, URLLC）[1]。而相對於4G時代如雨後春筍般冒出的影音串流平台，係以「人」為主要消費客群，5G時代則擴大至「萬物」[2]，其中，製造業因可能透過無線技術來重新配置產品線或研發新興產品，而在5G世代產生巨大變化[3]。也由於製造業廠區對無線接取設施之渴求，製造業者開始思索自行控制網路基礎設施之必要性，垂直場域應用之概念應運而生。 　　垂直場域應用又被稱為企業專網（private network），係指為了特定用途，企業或組織自行付費建置限定區域內之行動網路基礎設施，且該網路僅特定用戶得以使用。企業之所以願投入龐大成本自行建置網路基礎設施，是因垂直場域應用所具備的網路涵蓋密集、網路延遲低、網路容量大、網路安全高，以及得以自主控管網路之5大特性[4]。此外，企業還可完全掌握何人可接取至其專網，哪些行動應優先考量，以及如何完善利用網路資源等[5]。然無線網路的接取也意味著頻譜的使用，但頻譜是有限稀有的資源，為提高頻譜之使用效率與社會價值，如何妥善配置頻段，促進國內製造業之發展，已是政府不容忽視之議題。 貳、重點說明 　　為了鼓勵企業自行建置網路，部分國家透過保留特定頻段之頻譜政策規劃，再由有需求之業者申請取得，以鼓勵垂直場域應用之發展，並保障區域性業者、中小企業與新創企業取得頻譜之權利，以防止頻譜僅被全國性電信營運商取得。然而，這樣的政策面臨兩方面的重大挑戰，第一，電信業者擔憂企業自建網路可能會壓縮其取得頻譜的數量，是以對政府保留專網頻段表示反對；再來，大部分的企業缺乏自行營運電信網路之經驗[6]。僅管如此，在頻譜政策的規劃上，大致上仍可區分為兩種政策模式，即規劃保留單一完整頻段，或與其他既有服務共用頻譜，本文以下即分別以保留完整頻段的德國，以及與既有服務共享頻段的日本為例，說明其政策概要，並進一步探討我國是否亦有規劃垂直場域頻段之必要性，相關困難又應如何克服。 一、保留專用頻段(德國) 　　德國作為工業4.0（Industry 4.0）之發起國，為進一步推動智慧工廠與智慧製造，聯邦網路局（Bundesnetzagentur, BNetzA）在規劃5G頻譜時，除了透過競標釋出5G最關鍵的中頻段3.4-3.7 GHz供全國性電信服務使用，特別保留3.7-3.8 GHz頻段共100 MHz頻寬供企業專網使用。且由於數以萬計的中小企業是構成德國經濟的重要支柱，惟中小企業難以擁有龐大資本與電信業者共同競標頻譜，是以，為降低該等企業取得頻率之成本，並提升中小型企業與新創企業對頻譜之需求，BNetzA方保留特定頻段，並採申請制之方式配置[7]。 　　BNetzA在決議釋出3.7-3.8 GHz頻段供垂直場域應用使用前，於2018年8月15日至9月28日發布公眾諮詢文件，並在收到69份意見回覆，其中包含全球行動供應商協會（Global Mobile Suppliers Association, GSA）、大型製造業者BOSCH與空中巴士對保留特定頻段之正面支持後，在2019年1月31日針對徵詢意見發布框架草案，並預計在5G頻譜拍賣結束後開始接受申請。 　　BNetzA將3.7-3.8 GHz頻段分為三種用途，使業者可根據自身需求提出申請，分別是當地室內應用無線網路（3.7-3.8 GHz）、當地室外應用無線網路（3.78-3.8 GHz），與區域性應用無線網路（3.7-3.78 GHz）。此外更對申請人附加二項限制，第一，須為該地區或建物之不動產所有權人或承租人；第二，不得為700-3600 MHz頻段之全國頻譜使用權者，換言之，BNetzA排除了既有電信業者申請取得該頻段之權利，以保障中小型企業與新創業者自行建置垂直場域應用之空間。但對於3.7-3.8 GHz範圍內的未使用頻譜，BNetzA允許電信業者為擴充網路容量，暫時性的使用該頻段，亦即在特定情況下，容許電信業者與中小企業共享頻譜，以促進頻率的有效利用。 二、與既有服務共享頻段(日本) 　　日本總務省（Ministry of Affairs and Communications, MIC）在規劃5G頻譜時，為鼓勵垂直場域應用之建置，考量保留企業專網頻段，並在2018年12月組成「Local 5G檢討作業班」（ローカル5G検討作業班），定期舉行會議共同討論如何推動企業或地方政府自行建置專網[8]。與德國相同，日本亦是透過申請制配置專網頻段，並僅限建物或土地所有權人自行利用或委託他人利用，全國性營運商不得使用垂直場域應用之規劃頻段，以保障中小型企業與地方政府取得完整頻段之權利[9]。 　　Local 5G檢討作業班研議之項目主要有三，第一，垂直場域應用的名額分配，並明確申請者的使用目的；第二，垂直場域應用技術條件的訂定，同時檢討頻率共享的可能性；第三，參考寬頻無線接取（Broadband Wireless Access, BWA）之導入經驗，規劃區域型與自用型，避免頻率互相干擾[10]。 　　頻譜方面，MIC研擬在中頻段4.6-4.8 GHz與毫米波28.2-29.1 GHz頻段保留總共1100 MHz頻寬，供當地業者與地方政府使用。相對於德國是保留一段乾淨的頻譜供垂直場域應用使用，日本則是規劃使垂直場域應用與既有服務共享頻段，4.6-4.8 GHz頻段需與政府專用電信共用，28.2-29.1 GHz頻段則與衛星業務共用，以極大化頻譜的利用效率。惟為避免干擾，MIC並正針對28.2-28.3 GHz頻段進行干擾測試，最快會在2019年8月作出是否釋出之決議，若未能通過干擾測試，該100 MHz頻寬將會作為護衛頻段（guard band），避免兩個相鄰的服務互相干擾。4.6-4.8 GHz與28.3-29.1 GHz頻段則會在與既有服務進行和諧共用測試後，至2020年5月過後方會釋出。 參、事件評析 一、我國垂直場域應用之頻段規劃必要性 　　有鑑於5G網路所需頻段較4G為高，通訊距離與訊號穿透性皆會受到影響，再加上為了確保傳輸速率並降低時延，需大量建置基地台，網路佈署成本將大幅度增加[11]。因此，5G網路布建初期將著重在六都等主要都會區，並逐步對外擴散。大多數製造業基於廠區地理範圍以及投入成本等問題，更將服務據點設在商用效益不佳、5G網路建置進度延後之地區。基此，政府若未為企業專網規劃特定頻段，可能導致企業使用免授權頻段而發生干擾之情形，更可能會抑制我國相關供應鏈掌握新市場商機之可能性。 　　針對頻段之保留，基於中頻段（3.5 GHz）為5G的關鍵頻段，毫米波（mmWave）則是推動5G網路達到峰值速度不可或缺的要素，是以我國似可參考德國與日本垂直場域應用之相關政策，由政府規劃在中頻段或高頻段保留部分頻寬，或是與現有服務進行頻譜共用，期在專網產業的興起下帶動整體網路設備業者的發展。 　　按電信業者因擔憂垂直場域業者可能會在取得頻譜後，將其用於提供公眾電信服務，而成為電信業者的水平競爭者，此方面可透過相關法規之限制避免類似情況發生。另一方面，電信業者也可適時提供援助，藉由長年網路建置經驗，作為系統整合的角色與垂直場域業者合作，而達到雙贏的局面。惟企業專網對於網路規格、服務品質、資安等皆與公眾電信服務不同，電信業者與企業如何深化合作，仍有待更多的交流與討論。 二、推動我國垂直場域應用之可能頻譜政策 　　相較已進行5G商轉的其他國家，我國目前尚未釋出頻譜[12]，發照速度雖慢於其他國家，惟我國產業仍可透過實驗網路頻譜的申請，研發具高附加價值的企業專網應用，以在智慧製造、智慧醫療，抑或智慧農業等領域搶佔一席之地。但針對企業專網的頻譜需求，由於我國5G頻譜釋照迄今仍以競標拍賣商用頻譜為大方向，在第一波5G釋照時並不會保留「指配頻譜」予企業專網，僅會在「第一類電信事業開放之業務項目、範圍、時程及家數一覽表」中以註記的方式，說明處理企業專網之大方向[13]。 　　依108年立法院三讀通過之電信管理法第57條規定，主管機關得考量無線電頻率使用特性、國家安全、實驗研發及市場競爭等情形，依職權或依申請核配二以上使用者使用同一無線電頻率。此一條文似可解釋為，在頻譜和諧使用及不干擾之情況下，通訊主管機關國家通訊傳播委員會可核配垂直場域業者與電信業者使用同一頻譜的法源依據。 　　有論者提出電信管理法通過後，尚可利用第58條頻譜租賃之方式提供企業專網頻譜，該條允許電信事業在取得主管機關核准後，將其獲配頻率之一部提供予他電信事業使用；惟按電信事業僅指利用公眾電信網路提供公眾通信服務之事業，垂直場域業者在屬性上較偏向專用電信，而非該法所稱之「電信事業」，在法規適用上仍有疑慮。此外，即使未來允許電信事業將頻譜出租、出借予垂直場域業者，惟電信業者取得5G頻譜之代價高昂，其衍生之使用成本恐亦非中小型垂直場域業者所能承擔。 肆、結語 　　各個國家基於不同的制度或產業特性，而對企業專網之規劃各有不同的考量，然共同目的皆係藉由頻譜之規劃刺激中小型企業、新創企業與地方政府自建網路，並透過客製化的領域營運需求，避免工業間諜與駭客攻擊等情事[14]。是以，我國政府亦可參採國際案例，在協調電信業者與垂直場域業者之下，為企業專網保留特定頻譜，以掌握垂直場域應用之發展脈動，並促進新創服務之萌芽，達到提升我國整體國際競爭力之目標。 [1] Keith Mallinson, The Path to 5G: as much evolution as revolution, 3GPP (May. 10, 2016), https://www.3gpp.org/news-events/1774-5g_wiseharbour (last visited June 11, 2019). [2] 総合通信基盤局，〈第５世代移動通信システムの導入のための特定基地局の開設に関する指針案について〉，頁8（2018）。 [3] 陳端武，〈AT&T、高通將智慧製造視為5G商機〉，DigiTimes，2018/03/23，https://digitimes.com.tw/iot/article.asp?cat=158&cat1=20&cat2=10&id=0000527161_V5Y24IJX5ULPGI230CHFJ（最後瀏覽日：2019/6/12）。 [4] 李建勳、蘇奕霖、廖修武，〈全球5G專網市場發展〉，資訊工業策進會產業情報研究所，頁4（2019）。 [5] Tony Ridzyowski, What is a Private 5G Network?, TTI (Dec. 18, 2018), http://www.turn-keytechnologies.com/blog/network-solutions/what-is-a-private-5g-network (last visited June 14, 2019). [6] Id. [7] BNetzA, Entwurf der grundsätzlichen Rahmenbedingungen des zukünftigen Antragsverfahrens für den Bereich 3.700 MHz – 3.800 MHz für Anwendungen des drahtlosen Netzzugangs (Jan. 31, 2019), available at https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/OeffentlicheNetze/RegionaleNetze/regionalenetze-node.html;jsessionid=1612C0A9E32BF6C018EF03D2F781EF94 (last visited June 12, 2019). [8] 総務省，〈ローカル5G検討作業班〉，http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/joho_tsusin/5th_generation/local_5g/index.html（最後瀏覽日：2019/6/13）。 [9] 新世代モバイル通信システム委員会，〈情報通信審議会 情報通信技術分科会 新世代モバイル通信システム委員会報告概要（案）〉，頁9（2019），http://www.soumu.go.jp/main_content/000624455.pdf（最後瀏覽日：2019/6/13）。 [10] 総務省 総合通信基盤局電波部 移動通信課，〈ローカル5G検討作業班の主な検討内容〉，頁2（2018），http://www.soumu.go.jp/main_content/000589526.pdf（最後瀏覽日：2019/6/13）。 [11] Ferry Grijpink, Alexandre Ménard, Halldor Sigurdsson & Nemanja Vucevic, The road to 5G: The inevitable growth of infrastructure cost, McKinsey & Company (Feb. 2018), https://www.mckinsey.com/industries/telecommunications/our-insights/the-road-to-5g-the-inevitable-growth-of-infrastructure-cost (last visited June 17, 2019). [12] 鄭鴻達、楊文琪，〈5G拚明年一月釋照 四年計畫啟動〉，聯合新聞網，2019/06/14，https://udn.com/news/story/7238/3870814（最後瀏覽日：2019/6/14）。 [13] 林淑惠，〈5G企業專網 首波落空〉，中時電子報，2019/03/04，https://www.chinatimes.com/newspapers/20190304000226-260202?chdtv（最後瀏覽日：2019/6/14）。 [14]經濟日報社論，〈5G企業專網規劃 兼顧公平與發展〉，聯合新聞網，2019/06/06，https://udn.com/news/story/7338/3855673（最後瀏覽日：2019/6/17）。

　　新加坡自今年（2018年）1月5日起推動「醫療服務法案（Healthcare Services Bill）」之制定，該法案預計取代現有「私人醫院和醫療診所法（Private Hospitals and Medical Clinics Act）」。其中「國家電子醫療紀錄（National Electronic Health Record），下稱NEHR」將整合並改善國營醫療機構及非國營醫療機構兩種醫療紀錄無法互通之情形，而行動醫療及遠端醫療亦納入之。 　　根據目前之諮詢狀況（已於今年2月15日結束），提案單位衛生部（Ministry of Health）表示，由於現代醫療技術已趨近複雜，若能整合各醫療單位之就診紀錄，將可大幅提升醫療效率，特別是在急診的狀況下，整合過的單一病歷將可降低評估所需的時間。 　　而對於病患之個資方面保護，該部表示，首先，NEHR並不會蒐集全部患者的醫療參數，只有患者之核心醫療參數才會上傳至NEHR之資料庫內，此外亦不提供非醫療目的外之使用（例如就業及保險評估）。而為降低非法使用之機率，非法使用亦將處罰之。 　　另外為尊重病患個人之資訊自決權，NEHR亦提供了病患選擇退出機制（opt-out）以作為個資保護的最後屏障。然而該退出機制仍不同於一般的退出機制（即退出後不得蒐集、處理及利用），該機制僅禁止各醫療機構讀取該病患之醫療紀錄，但是各該機構依NHER之架構仍應將每次就診紀錄上傳之，此一設計係避免緊急情況下或病患同意讀取電子病歷時，卻無醫療紀錄可供查詢之窘境。

從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制 科技法律研究所 2013年07月03日 　　資訊科技的發展，從早期「超級電腦/大型電腦」、近期「個人電腦」，到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用，未來電腦運算設施就像是水、電；資料儲存與應用就像是銀行，只要連上網路就可以使用，不必各自投資發展。因此，「雲端運算」未來將成為每個國家的重要基礎建設。 　　將雲端運算列為重要的產業發展重心，已是各國的趨勢，而運用雲端運算所帶來的效益，如節省經費、提升效率等，亦為普遍地承認，再加上公部門相較於民間，其擁有較多的經費及資源來進行雲端運算的導入，而藉由公部門導入雲端運算，可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此，各國均皆致力於促進公部門導入雲端運算。 　　然而，在雲端運算帶來龐大經濟效益的同時，伴隨而來的，是新的資訊管理議題，雲端安全防護聯盟（Cloud Security Alliance, CSA）提出了雲端運算可能遭遇的九大安全威脅 ： 一、資料外洩（Data Breaches） 二、資料遺失（Data Loss） 三、帳號被駭（Account Hijacking） 四、不安全的APIs程式（Insecure APIs） 五、拒絕服務（Denial of Service） 六、惡意的內部人員（Malicious Insiders） 七、濫用雲端服務（Abuse of Cloud Services） 八、審慎評鑑不足（Insufficient Due Diligence） 九、共享環境議題（Shared Technology Issues） 　　面對前述的安全威脅，政府部門在考量導入雲端服務時，首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度，以及政府部門要從何尋找符合其需求的業者。 壹、事件摘要 　　美國政府在2010年12月發表了25項聯邦IT轉型重點政策，其中一項核心的政策便是「雲優先政策」（cloud first policy）。根據「雲優先政策」，聯邦機構必須在三個月內找出三項轉移到雲端的政府服務，並且要在一年內導入其中一項。 　　然而，此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰，傳統由各機關分頭洽談所導入資訊系統與應用規格之方法，並實施個別的資訊安全需求與政策的作法，對服務商而言，其所提供的相同服務，在各機關導入時，卻必須將受各個機關的審查，造成各機關投入過多的資源在審查程序上，導致政府資源的浪費，不但耗費時間、審查重複，且無法達到建構妥善操作程序的效果。 　　2012年6月6日，聯邦政府總務管理局（General Service Administration, GSA）宣布「聯邦風險與授權管理計畫」（Federal Risk and Authorization Management Program,以下稱FedRAMP）開始正式運作，GSA並表示，「FedRAMP」的正式運作，將解決美國政府在雲端產品及服務需求上，因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費，並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用，預期效益相當可觀。 　　「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範，建立一套可遵循之依據。未來所有雲端產品的服務提供者，都必須遵守及達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 貳、重點說明 　　「聯邦風險與授權管理計畫」主要由預算與管理辦公室（Office of Management and Budget, OMB）負責組織預算與管理；聯邦資訊長（the Federal Chief Information Officer，CIO）負責跨部門的整合；國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析；總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序，並成立計畫管理辦公室（ Program Management Office， PMO）負責FedRAMP之操作與管理；以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準；最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局，組成共同授權委員會（Joint Authorization Board, JAB），負責對服務提供者的授權與定期檢視。 　　FedRAMP制度的精神在於「作一次並重複使用」（Do once ,Use Many Times），同一內容的雲端服務，透過FedRAMP，僅須經過一次的評估與授權，即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性，造成資源浪費的問題，將可獲得解決。當其他機關欲採用雲端服務時，可透過FedRAMP，免去再一次的評估與驗證。 　　FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成，簡單介紹如下： 一、第三方評估機構的認證 　　FedRAMP的特殊之處，在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構（3PAO）來進行審查，而第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下： （一）申請檢視 　　機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力，並且自行檢視FedRAMP網站上的申請表，自行檢視是否合乎要求，然後決定是否提出申請。 （二）完成要求 　　機構須分別完成申請表所要求的系統安全計畫（system security plan, SSP）、系統評估計畫（system assessment plan, SAP）、安全評估報告（security assessment report, SAR）。於完成後向計畫管理辦公室提出申請。 （三）審查 　　在接受申請後，總務管理局會與ISO網路安全專家共同組成「專家審查委員會」（Expert Review Board , ERB），審查該申請。 （四）決議 　　審查完畢後，FedRAMP計畫管理辦公室（PMO）會檢視ERB的意見，決議是否通過該申請。 　　於通過申請後，該機構將會被列入FedRAMP官方網站（www.FedRAMP.gov）的第三方評估機構名單，目前為止，陸續已有十五個機構通過共同授權委員會的授權，日後得對雲端服務商進行評估。 二、對雲端服務提供者的評估 　　在「聯邦風險與授權管理計畫」的機制設計中，政府機關或雲端服務提供者任一方，皆可提出申請（Request）啟動雲端服務的安全性評估（Security Assessment）程序，此程序中共有四個主要階段： （一）提出申請 　　在申請人將所須文件初步填寫完畢之後，計畫管理辦公室（PMO）即會指派資訊系統安全官（Information Systems Security Officer, ISSO）進行指導，使之得進行安全控制、出具必要文件、並實施安全測試。之後，PMO會與雲端服務提供者簽署協議，並要求相關機關實施對雲端服務系統的安全性測試。 （二）檔案安全控管 　　雲端服務提供者必須作成系統安全計畫（System Security Plan, SSP），表明安全控制之實施方法，及其相關文件如IT系統永續計畫（IT Contingency Plan）、隱私衝擊調查（Privacy Impact Questionnaire），並送交ISSO進行審查，再由雲端服務提供者就對審查意見予以回覆之後，由ISSO將案件送至共同授權委員會（Joint Authorization Board, JAB）進行審查，以確認所提交的SSP安全措施符合雲端系統所需。 （三）進行安全測試 　　服務提供者與第三方評估機構（Third Party Assessment Organization, 3PAO）簽約，且由PMO約集雲端服務提供者與3PAO，確認雙方對於安全測試實施的期待與時程，再由3PAO獨立進行該雲端系統測試，並完成安全評估報告（Security Assessment Report, SAR），闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果，作成行動與查核點報告（Plan of Action & Milestones (POA&M)），以提出矯正弱點與殘餘風險（residual risks）的措施、資源與時程規劃。 　　雲端服務提供者再將前述SAR與POA&M提交予PMO，由JAB決定是否接受該弱點及其修正計畫，或者提出修正建議。倘若JAB可接受該弱點及其他因應措施，則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。 （四）完成安全評估 　　雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案，並提出證明將確實執行其安全控制措施。由JAB檢視此方案，並作出最終決定是否授予「附條件之授權」（Provisional Authorization）。得到此授權的雲端服務提供者名單，將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權，PMO會指導如何進行重新申請。 三、持續的評估與授權 　　持續的評估與授權（ongoing Assessment and Authorization, A&A）通常也被稱為持續監控（Continuous Monitoring），在FedRAMP中第三個也是最後一個流程，透過持續的評估與授權機制，來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面： （一）操作的能見度 　　操作能見度的目標，是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度，而不必政府機構另行要求。 （二）變更控制程序 　　雲端服務提供者更新她們的系統是常有的事，此處的變更控制程序並非針對例行性的維修或變更，而是要求若有發生影響臨時性授權或的顯著變更時，服務提供者必須提供此種具衝擊性變更的有效資訊，使FedRAMP得以評估此變更的影響與衝擊。 （三）事件回應 　　事件回應方面聚焦於新風險和漏洞的因應，服務提供者在發現影響授權的新風險或漏洞時，應向機構說明其針對保持系統安全的因應對策與作法。 參、事件評析 　　在各國紛紛投入雲端運算的推動熱潮中，我國也不能在此項產業推動中缺席。2010年4月，行政院科技顧問組（現已改組為行政院科技會報）責成經濟部，研擬「雲端運算產業發展方案」；2011年5月，行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」，在內部運作管理面向，將運用新興雲端運算技術推動以全國性的政府雲端應用服務，減少機關重複開發成本，並達成節能減碳效果。 　　雲端的安全問題，無論在私人企業或政府部門，均為選擇導入雲端服務的第一要務，「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點，運用雲端運算技術，創新資安服務價值，確保政府資通安全防護。 　　然而，在服務提供者的安全性方面，我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此，我國可借鏡各國的作法，適度的以透過公正第三方機構驗證，來消除雲端服務安全性的疑惑，並推動一個公開的平台，將通過驗證的廠商公布出來，提供公部門甚至私人企業作選擇，不僅可免去同一服務廠商不斷重複驗證的麻煩，亦可削減選擇上的難題，並藉此發展雲端資安技術與推動雲端產業，使我國的雲端環境能夠更臻成熟。