美國正式推行「聯邦政府風險與授權管理計畫」
2010年,美國聯邦政府展開「聯邦政府風險與授權管理計畫」(Federal Risk and Authorization Management Program,FedRAMP),在經過2年的研究與整備後,聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據,針對雲端服務的風險評估、授權管理的標準作業規範。
根據FedRAMP,雲端服務業者欲通過該計畫的評估,其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者,都必須達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。
對於雲端服務業者的評估,必須經由FedRAMP認證的第三方機構來進行審查,第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定,來驗證檢驗機構的品質與技術能力。目前為止,聯邦政府總務管理局已經公佈十個獲得授權的機構。
聯邦政府總務管理局同時並期待在2012年的年底之前,能夠有三個雲端服務提供者通過審查,然而,由於制度才剛上路不久,是否能夠跟上產業變遷的腳步並順利達成目標,仍有待進一步觀察。
- The US Government’s Latest Move In Cloud Computing-FedRAMP, Cloud Tweaks
- Computer News
- FedRAMP aims to authorize 3 cloud providers by year’s end,Government Computer News
- GSA Launches Effort to Transition Federal Government to Cloud Computing, PR Newswire
- FedRAMP takes applications for service providers, Federal Computer Week
歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日,針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫,基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過,該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。 根據EDPS首長Peter Hustinx表示,由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料,因此儘管設立單一之作業管理機構,可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題,但如此一機構欲取得合法性,其活動範圍及相關責任即必須在立法中獲得明確界定,否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析,Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。 此外,針對後續立法進程,EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ,亦或僅限於邊境檢查及難民與移民事務;執委會與該機構之關聯性與責任等重要問題外,是否可在缺乏相關經驗及實證評估下,即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄,顯然亦有商榷餘地。EDPS就此認為,透過立法界定「大型資訊系統」之範圍,並且採取資料庫分次進入該管理機構責任範圍之方式,應係日後執委會可以努力之方向。
英國氣候過渡計畫小組公布氣候揭露報告框架的最終版本英國氣候過渡計畫工作小組(Transition Plan Taskforce,以下稱TPT)於2023年10月9日公布其氣候揭露報告框架(TPT Disclosure Framework,下稱「框架」)最終版本及使用指引。TPT是英國財政部在2022年4月成立,負責建立氣候過渡計畫準則。TPT則於2022年11月提出框架草案,並開始徵詢產官學界意見,最後提出正式版本。 TPT框架建議企業以宏觀、有策略的方式制定氣候過渡計畫。TPT框架從企圖心、行動力和當責性三項原則出發,分別就五個必須揭露的事項說明如何在氣候揭露報告中呈現企業的氣候過渡計畫: 一、企圖心:說明企業的基礎事項,例如氣候戰略目標和商業模式。 二、行動力:說明過渡計畫的執行策略、以及擴大參與的策略。 三、當責性:說明將採用哪些指標與標的來監督計畫的執行、以及如何將過渡計畫融入企業的治理當中。 TPT也配合框架內容制定行業指引,目前已公布40個行業摘要(Sector Summary),簡述各行業可用的脫碳手段、指標與目標。未來還將公布針對銀行業、資產擁有者、資產管理者、電力公用事業和電力發電機、食品與飲料、金屬與礦業、石油和天然氣等7個行業的深度剖析(Sector Deep Dives)。 此外,TPT網站上也提供TPT框架與相關國際主流框架或準則之比較報告給各界參考,要使這套由英國自行開發、為英國內部量身打造的框架也能接軌國際,其未來實施成效值得繼續追踪觀察。
瑞士ESG新法規正式生效全球多個國家目前正在促進企業推動「環境、社會和公司治理」(Environment, Social Responsibility, Corporate Governance, ESG)事務,以瑞士為例,有關ESG的新法規於2022年1月1日正式生效。 在2022年1月1日生效的提案中,主要是對《瑞士債法典》(The Swiss Code of Obligations, CO)提出修正,包含「涉及公共利益(public interest)的企業應提出ESG事項報告」與「企業應就有無使用童工及衝突地區的礦物金屬進行盡職調查(Due Diligence)」,分別說明如下: 一、公共利益企業應提出ESG事項報告 依《瑞士債法典》第32章新增的第6節「非財務事項之透明度」(Transparency on Non-Financial Matters)規定,符合條件的上市公司或受監管實體等公共利益企業,每年應提出一份單獨的非財務事項報告,內容須涵蓋環境事項、社會問題、員工相關問題、尊重人權和打擊腐敗等議題,以及公司對該等議題所提出的政策措施、風險評估和實施績效等資訊。此報告經企業內部最高管理層與治理機構批准後,須立即於網路上公開,並確保至少十年內可供公眾存取。 二、企業應就有無使用童工及衝突地區的礦物金屬進行盡職調查 依《瑞士債法典》第32章新增的第8節「與來自受衝突影響地區的礦物金屬以及童工相關的盡職調查和透明度」(Due Diligence and Transparency in relation to Minerals and Metals from Conflict-Affected Areas and Child Labour)規定,所在地、總部或主要營業地點位於瑞士的企業,如在瑞士自由流通或加工來自受衝突影響和高風險地區(conflict-affected and high-risk areas)的特定礦物或金屬,抑或產品或服務被合理懷疑是使用童工製造或提供而成,原則上即須遵守供應鏈中的盡職調查義務,每年亦應將其遵守情況編制成報告。此報告應在會計年度結束後的六個月內於網路上發布,並確保至少十年內可供公眾存取。
淺談我國能源關鍵基礎設施資通訊安全法制建構之重要性--以歐盟及德國智慧電表布建發展為例