美國發表網路安全框架

  2014年2月12日,美國發表「網路安全框架(Cybersecurity Framework)」,該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成,其蒐集了全球現有的標準、指引與最佳實務作法,最後由國家標準技術局(National Institute of Standard and Technology, NIST)彙整後所提出。

  本框架主要可分成三大部份:
1.框架核心(Framework Core)
框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期,藉由這五項功能的要求項目與參考資訊的搭配運用,可使組織順利進行網路安全管理。
2. 框架實作等級(Framework Implementation Tiers)
共分成局部(Partial)、風險知悉(Risk Informed)、可重複實施(Repeatable)、合適(Adaptive)四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察,瞭解組織目前的安全防護等級。
3. 框架側寫(Framework Profile)
框架側寫係組織依照本框架實際操作後所產出的結果,可以協助組織依據其企業需求、風險容忍度,決定資源配置的優先順序,進一步調整其網路安全活動。

  此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考,而針對已有建立網路安全架構者,該框架並未意圖取代組織原先的風險管理程序和網路安全計畫,而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。

相關連結
相關附件
※ 美國發表網路安全框架, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6513&no=57&tp=1 (最後瀏覽日:2026/07/10)
引註此篇文章
你可能還會想看
美國食品藥物管理局發布《品質管理系統法規最終規則》

美國食品藥物管理局(U.S. Food and drug administration, FDA)於2024年1月31日發布《品質管理系統法規最終規則》(Quality Management System Regulation(QMSR)Final Rule),主要內容為修改美國聯邦法規(Code of Federal Regulations, CFR)第21章第820條,品質系統規範(Quality System Regulation, QSR)中現行優良製造規範(Current Good Manufacturing Practice, cGMP, CGMP)內容,以降低美國國內法規與國際醫療器材品質管理系統標準ISO 13485的差異,達到減輕醫材製造商、進口商的監管負擔之效。 與美國QSR相比,ISO 13485對「風險」與「透明度」規範的要求更加嚴格,故此最終規則主要將QSR中風險管理與透明度的規範依照ISO 13485進行補足。並增修QSR中未出現於ISO 13485中或即將取代ISO 13485中同義的名詞或術語的定義,用以降低原先QSR與ISO 13485的差異。同時增設對記錄保存、標籤和資訊可追溯性要求等FDA認為ISO 13485未涵蓋完全的額外規定,用以完善整體規則完整性。 該最終規則預計於2026年2月2日正式實施。FDA預估此次修訂會有效降低醫材製造、進口商的潛在金錢與時間成本,FDA提供近3年的緩衝期,即希望相關工作人員與醫材製造商能熟悉並遵循新的QMSR。未來FDA會追蹤並評估是否應將ISO13485的變更納入QMSR中,以促進醫材監管的一致性,並為病人及時推出安全、有效且高品質的醫材。

美國仍有千萬民眾無法接取寬頻網路

  美國聯邦通訊委員會FCC於2010年7月20 日發布第六次寬頻建設調查報告(Sixth Broadband Deployment Report),指稱「仍有1400萬到2400萬的美國人仍無法接取下載4Mbps、上載1Mbps的寬頻網路服務,並且幾乎沒有可能立即為這些人裝設寬頻網路。」從而FCC在報告中做出了「寬頻網路並未以合理、符合時代需求的方式對全民推廣佈建」(Broadband deployment to all Americans is not reasonable and timely)的結論。   自1996年通訊法(第706節)要求FCC應每年針對「寬頻普及」的狀況進行評估以來,FCC是第六次針對此議題發布調查報告。報告指出,雖然寬頻建設在過去10年中已有顯著的成長,但在如北卡羅萊納州、德州、密西西比州等地的鄉村地區,仍有不成比例的多數民眾並無法接取寬頻網路,因為網路服務提供者在這些區域中看不到佈建寬頻網路的經濟利益。   目前只有65%的美國民眾能在家中接取高速寬頻服務。今年3月公布的「國家寬頻計畫(National Broadband Plan)」,FCC則設定目標,希望利用教育方案和公私合作伙伴策略(public-private partnerships)來推動網路的基礎建設,在2020年前達到90%美國民眾可在家接取高速寬頻服務的目標。為此,FCC將重整普及服務基金,引進創新策略釋出新的行動寬頻頻譜、除去對基礎建設(包括路權與電線桿等的接取權)的投資障礙。   值得注意者,這份報告同時將家戶寬頻接取網路的基本速率從2Mbps提升到下載4Mbps、上傳1Mbps。

歐盟首例 丹麥救濟基金途徑保障遭受基改(Genetically Modified,GM)作物污染的農民

  歐盟執委會於11月底同意丹麥針對GM作物所提出的賠償方案(compensation scheme),這是歐盟國家中第一個透過法律途徑來保障因GM作物污染而遭受經濟損失的農民的國家。丹麥所提出的賠償方案為當非GM的作物(如有機或是傳統作物)被含有超過0.9%成份的GM作物污染,且限於標示GM與法律未要求應標示之作物有市場價差時,農民即可得到賠償。   歐盟認為賠償方案有助於基改與非基改的共存制度,目前賠償基金主要來源為種植可能導致污染的GM作物的農民所繳納之特別捐,藉由此方案更可以刺激種植GM作物的農民審慎地預防污染的發生,未來賠償基金將改為由私人保險支付。   生物科技在歐盟一直是受爭議之領域,事實上,歐洲人民反GM食品的情緒有增無減,從英國人民關切GM食品的比例逐漸爬升(從2002年的56%提高至現今的61%)即可看出端倪。此外,歐洲食品大廠Heinz與英國的大型超商也都已改用非GM的名義來當為市場銷售工具。不過,也不是所有的歐盟國家中態度都相同,歐盟所進行不下十次的支持或反對GM食品或飼料投票,英國、芬蘭和紐西蘭永遠都是投下支持GM的那一票。

臉書(Facebook)被控告違反和解協議

  臉書(Facebook)在2011年11月與美國聯邦貿易委員會(Federal Trade Commission, FTC)針對用戶資料的隱私權問題達成和解,包括第一:臉書必須遵守其自行提出的隱私權政策;第二:臉書必須要事先得到使用者的同意,才能更改其資訊分享的設定;第三:當使用者刪除其帳號的三十天內,臉書必須實際上使任何人不能再取得相關資訊;第四:必須對新產品或服務建立並維護其隱私權保障的計畫;第五:在未來二十年內,臉書必須由獨立的第三人稽查其隱私政策,以維護使用者的資訊隱私保護。   但是公益團體電子隱私資訊中心(Electronic Privacy Information Center, EPIC)最近指控臉書的Timeline功能違反和解協議的第二條。在EPIC的指控中表示:臉書必須要事先得到使用者的同意,才能更改其資訊分享的設定。而Timeline的功能在2011年12月6日上線後,完全改變了使用者揭露其資訊的方式,強化使用者張貼的重要事件,並回溯資料至該使用者第一次登入臉書時(甚至更早至第一次輸入相關資料時)。雖然臉書提供七天時間給使用者可以編輯Timeline,刪除不希望公開的照片或貼文,但幾乎沒有人知道。EPIC因而要求FTC介入調查。

TOP