美國發表網路安全框架
2014年2月12日,美國發表「網路安全框架(Cybersecurity Framework)」,該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成,其蒐集了全球現有的標準、指引與最佳實務作法,最後由國家標準技術局(National Institute of Standard and Technology, NIST)彙整後所提出。
本框架主要可分成三大部份:
1.框架核心(Framework Core)
框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期,藉由這五項功能的要求項目與參考資訊的搭配運用,可使組織順利進行網路安全管理。
2. 框架實作等級(Framework Implementation Tiers)
共分成局部(Partial)、風險知悉(Risk Informed)、可重複實施(Repeatable)、合適(Adaptive)四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察,瞭解組織目前的安全防護等級。
3. 框架側寫(Framework Profile)
框架側寫係組織依照本框架實際操作後所產出的結果,可以協助組織依據其企業需求、風險容忍度,決定資源配置的優先順序,進一步調整其網路安全活動。
此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考,而針對已有建立網路安全架構者,該框架並未意圖取代組織原先的風險管理程序和網路安全計畫,而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。
總部位於亞特蘭大的ZapMedia媒體服務公司於2008年3月12日向美國德州東區地方法院控告Apple的iTunes線上音樂店與iPod音播放器侵害ZapMedia專利技術,其申請的兩項專利,先後於2006年3月(專利號7,020,704)與ZapMedia提申訴訟前一日2008年3月11日(專利號7,343,414)獲取美國專利權。 就ZapMedia提出爭議技術,主要透過伺服器向多媒體播放器傳送音樂和其他數位電子內容,其專利主要包含一媒體程式庫資料庫伺服器,使用者可經由一或多個通訊網路存取伺服器中主要程式庫內多媒體資料。其伺服器中包含複數個多媒體播放器,以供存取多媒體資料之用。每個多媒體播放器包含一處理器以執行客戶端應用程式,使用者可經授權許可運用其多媒體資料。ZapMedia技術開發後陸續向全球多家科技和媒體公司推銷,其中亦包括Apple。ZapMedia指出,Apple沒有徵求ZapMedia同意,分別於2001年10月推出iPod MP3和iTunes連結的播放器,以及2003年4月推出iTunes線上音樂店。就市場研究單位「NPD集團」分析指出,iTunes的成功,促使Apple在美國僅次沃爾瑪百貨(Wal-Mart)成為第二音樂零售業者。故ZapMedia要求Apple應依去年iTunes和iPod銷售額約110億美元補付ZapMedia權利金。 ZapMedia指出從2006年6月至2007年秋天已試圖多次與Apple協商,並請Apple購買許可證,以授權方式有效使用ZapMedia的專利技術。然而Apple對此無表達任何意見,使得Zap採取提申訴訟動作。
日本經產省提出創新政策落實方向由於日本近年研發品質、數量停滯不前,加上企業研發效率亦落後於外國,經濟產業省(簡稱經產省)於2024年6月21日從三個面向提出政策建議,期能打造成功創新模式。重點如下: 1.發揮新創企業與大企業優勢,促進研發投資 由於研發投資具有回收期間長、獲利不確定等特徵,短時內難以看到成效,故為鼓勵企業持續投入研發,經產省擬制定研發投資效率評價指標,並將透過「新創培育五年計畫」(「スタートアップ育成5カ年計画)下之「新創推動框架」(スタートアップ推進枠),將科研預算優先分配予重點項目,以建立友善研發環境。 2.透過新創資源流動,促進商業化和創造附加價值 新創企業初期往往受限於人力、技術和設備等資源不足問題,難以快速成長及擴張。為解決上述問題,經產省擬制定「跨領域學習」指引及案例集,期能促進新創資源流動,打造創新生態系統。 3.以需求為導向之前瞻技術研發 部份具有高度發展潛力之前瞻技術,如量子和核融合等,因研發風險較高且市場需求不明,將由新能源‧產業技術綜合開發機構(新エネルギー・産業技術総合開発機構)、產業技術綜合研究所(產業技術綜合研究所)等法人進行研發。
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。 英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應: 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。 當事人權利(Individuals'rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。