美國正式推行「聯邦政府風險與授權管理計畫」

  2010年,美國聯邦政府展開「聯邦政府風險與授權管理計畫」(Federal Risk and Authorization Management Program,FedRAMP),在經過2年的研究與整備後,聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據,針對雲端服務的風險評估、授權管理的標準作業規範。

 

  根據FedRAMP,雲端服務業者欲通過該計畫的評估,其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者,都必須達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。

 

  對於雲端服務業者的評估,必須經由FedRAMP認證的第三方機構來進行審查,第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定,來驗證檢驗機構的品質與技術能力。目前為止,聯邦政府總務管理局已經公佈十個獲得授權的機構。

 

  聯邦政府總務管理局同時並期待在2012年的年底之前,能夠有三個雲端服務提供者通過審查,然而,由於制度才剛上路不久,是否能夠跟上產業變遷的腳步並順利達成目標,仍有待進一步觀察。

相關連結
※ 美國正式推行「聯邦政府風險與授權管理計畫」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=5795&no=64&tp=1 (最後瀏覽日:2026/07/16)
引註此篇文章
你可能還會想看
英、美等國拒絕簽署新全球電信規則

  由聯合國「國際電信聯盟」(the UN's International Telecommunication Union ,ITU)主持的國際電信世界大會(the World Conference on International Telecommunications ,WCIT)於2012年12月14日在杜拜落幕,此次有193個國家的政府代表與會,主要議題討論是否要更新自1988年以來已經24年未經修改的全球電信規則(the International Telecommunication Regulations ,ITRs),該修正案主要係由中國與俄羅斯所提出,其有意授權政府監管網際網路,盼望各國能合作打擊垃圾郵件並促進網路的普及。   這項修正案最大爭議點就在「人權」二字。若政府擁有網路審查權成為普世價值,保護言論自由是否將流於口號,某些習慣高壓政策的國家是否會濫用審查權,控制輿論進行不當審查與管制?   ITU秘書長Hamadoun Touré認為網際網路應該納入全球電信政策框架下,但反對派則認為此舉扼殺了網路自由,美國代表團團長Terry Karamer則主張,網路政策不應由聯合國成員國來定,應該由公民、社群以及更廣大的社會來決定。   經過激烈的辯論之後,共有89國支持這項修正案,而包括美國、加拿大、澳洲和英國在內的55個國家已經拒絕簽署,該修正案將於2015年1月1日生效,由於修正後的新規定必須經過所有成員國同意才具全球約束力,大會呼籲未簽署或已經拒絕簽署的55國應盡速簽署。

加拿大交通部提出加拿大自駕系統安全評估文件

  加拿大交通部(Department of Transport Canada)於2019年1月發布「加拿大自駕系統安全評估(Safety Assessment for Automated Driving Systems in Canada)」文件,該文件將協助加拿大企業評估其發展高級(SAE第三級至第五級)自駕層級車輛之安全性,並可與美國相關政策進行整合。該文件指出,因相關技術尚在發展之中,不適合使用強制性規範進行管制,因此將利用引導性之政策措施來協助相關駕駛系統安全發展。加拿大交通部於文件中指出可用於評估目前自駕車輛研發成果之13種面向,並將其分類為三個領域: 自駕技術能力、設計與驗證:包含檢視車輛設計應屬何種自駕層級與使用目的、操作設計適用範圍、物件及事件偵測與反應、國際標準、測試與驗證等。 以使用者為核心之安全性:包含安全系統、人車界面與控制權的可取得性、駕駛/使用人能力與意識教育、撞擊或系統失靈時的運作等。 網路安全與資料管理:包含管理網路安全風險策略、售後車輛安全功能運作與更新、隱私與個資保障、車輛與政府分享之資訊等。   加拿大交通部鼓勵企業利用該文件提出安全評估報告並向公眾公開以增進消費者意識,另一方面,該安全評估報告內容也可協助加拿大政府發展相關安全政策與規範。

美國聯邦準備理事會、FDIC與OCC發布聯合聲明,提醒關於加密資產流動性風險

有鑑於加密資產(crypto-asset)投資交易潛在風險與市場波動性,美國聯邦準備理事會(Federal Reserve Board)、聯邦存款保險公司(Federal Deposit Insurance Corporation, FDIC)與通貨監理局(Office of the Comptroller of the Currency, OCC)於2023年2月23日發布聯合聲明,提出加密資產增加銀行流動性風險情境,例如穩定幣因市場狀況之變動,導致銀行擠兌使大量存款流出,由於存款流入和流出的規模與時間的不可預測性,加密資產相關資金恐造成流動性風險提高,提醒銀行機構應用現有的風險管理原則審慎因應。 依據聲明內容,有效風險管理作法包括:(1)了解加密資產相關實體存款潛在行為的直接和間接驅動因素,以及這些存款易受不可預測波動影響的程度;(2)銀行機構應積極監控加密資產資金來源存在的流動性風險,並建立有效的風險管理控制措施;(3)應與加密資產存款相關的流動性風險納入應變計劃(contingency funding planning),例如流動性壓力測試;(4)評估加密資產相關實體存款之間關聯性。該聲明並強調銀行機構應建立風險管理機制及維持適當有效之內部控制制度,以因應加密資產高流動性風險,確保經濟金融穩健發展。

歐盟《醫藥品包裹》修法草案將使用市場保護機制鼓勵藥品創新、提升藥品可及性

歐盟執委會(European Commission)於2023年提出《醫藥品包裹》(Pharmaceutical Package)修訂多項歐盟藥品法規。其中也調整資料保護期(period of data protection)和市場獨占期(market exclusivity)等制度,激勵藥品創新、增加藥品可及性、並強化歐盟面對全球公衛挑戰的能力。修訂草案由環境、公共衛生與食品安全委員會(Committee on Environment, Public Health and Food Safety)通過後,目前已於2024年4月由歐洲議會(European Parliament)投票一讀通過,若歐洲理事會決議通過,即完成修法。為協助產業界提早因應布局,本文擬介紹歐洲議會一讀通過的草案中,資料保護期與市場獨占期的運作方式。 一般新藥 一般新藥的資料保護期由現行的8年縮減至7年半。但符合以下條件時,則能將資料保護期延長:滿足未滿足醫療需求(12個月);含有新活性物質並進行比較性臨床試驗(6個月);於歐盟境內與歐盟研究實體合作開發(6個月),若同時符合多項條件時,最多可將資料保護期延長1年。此外,新藥與現有療法相比具有顯著的臨床優勢時,還能將資料保護期結束後的市場獨占期由2年延至3年,但僅限一次。 針對抗藥性微生物抗生素 引入資料專屬期券(Data Exclusivity Voucher),獲授權的產品最多可將資料保護期延長12個月,該權利能轉讓給其他醫藥產品,但轉讓僅限一次。 孤兒藥 一般孤兒藥的市場獨占期由現行的10年縮減至9年,然而滿足「高度未滿足醫療需求」的罕病孤兒藥最長可享有11年的市場獨占期。但在非額外的市場獨占期剩餘2年以內時,不得阻擋學名藥與生物相似藥之上市申請。 本次修法加速一般的學名藥與生物相似藥進入市場,但同時也加強高品質與創新藥品的保護進行支持;而對於市場機制未能激勵投入的重要需求,如新型抗生素,則提供具可轉讓性的額外獎勵,增添靈活度和價值,以吸引更多企業投入研發。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)

TOP