愛沙尼亞首創網路市民證吸引外商與新創家進駐

美國網路安全暨基礎設施安全局（CISA）於2025年8月13日發布該機關與美國、澳洲、加拿大、德國、荷蘭、紐西蘭等國共計八個國安資安相關機構，合作訂定之《工控資安基礎：適用於擁有者與營運者的資產清冊指引》文件，旨在針對易受惡意網路行為攻擊且提供重要服務的能源、水務、製造業及其他領域關鍵基礎設施營運技術（Operational Technology，OT）系統，協助其資產擁有者與營運者建置與維護完整的OT資產清冊，並輔以OT分類體系（Taxonomy）。 OT資產清冊範圍涵蓋組織OT系統與相關軟、硬體，該指引主要說明OT資產擁有者與營運者建置與維護OT資產清冊的流程，包含： 1. 定義清冊範疇與目標（Define Scope and Objectives） 2. 辨識資產及蒐集屬性資料（Identify Assets and Collect Attributes） 3. 建立分類體系（Create a Taxonomy to Categorize Assets） 4. 管理與蒐集資料（Manage and Collect Data） 5. 實現資產全生命週期管理（Implement Life Cycle Management）； 此外透過OT分類體系可幫助區分優先序、管理所有OT資產，有助於風險識別、漏洞管理，以及資安事件應變；有關如何建立OT分類體系，該指引亦提供流程建議如： 1. 根據功能及關鍵性執行資產分類（Classify Assets） 2. 對資產功能類型與其通訊路徑進行分類（Categorize (Organize) Assets and their Communications Pathways） 3. 建構體系架構與互動關係（Organize Structure and Relationships） 4. 驗證資產清冊資料準確度與圖像化（Validate and Visualize） 5. 定期檢查並更新（Periodically Review and Update） 該指引認為，建置OT資產清冊並輔以OT分類體系對期望建立現代化防禦架構的擁有者與營運者而言至關重要。透過上述作為，資產擁有者與營運者得以識別其環境中應加以防護及管控的關鍵資產，並據以調整防禦架構，建構相應的資安防禦措施，以降低資安事件對組織任務（Mission）與服務持續性（Service Continuity）的風險與影響。該指引亦強調關鍵基礎設施之OT與IT（資訊技術）部門間之跨部門協作，並鼓勵各產業組織參考指引步驟落實OT資產盤點與分類，以提升整體關鍵基礎設施資安韌性。

　　為因應歐盟一般資料保護規則（General Data Protection Regulation，簡稱歐盟GDPR）於2018年5月正式施行，英國資訊委員辦公室（Information Commissioner’s Office, 簡稱ICO）於2017年11月21日發布一般資料保護規則指引（guide to general data protection regulation）（簡稱一般資料保護規則指引）。 　　ICO所發布的一般資料保護規則指引，係用於解釋歐盟GDPR的各條規定，協助企業符合歐盟GDPR的各項要求，適用於企業中擔負資料保護義務責任者。ICO說明本指引文件致力於擴展與歐盟GDPR、ICO所制定公告之其他指引文件、歐盟第29條工作小組制定公告之相關指導文件的聯結。歐盟第29條工作小組係由歐盟各會員國的資料保護機構代表組成，而ICO即為英國派任於該工作小組之資料保護機構代表。 　　ICO發布的一般資料保護規則指引，內容簡述如下：本指引文件係在建構歐盟GDPR法規的架構，將反映歐盟GDPR未來的導引與如何呈現，本指引內容有歐盟GDPR的重要定義（如歐盟GDPR適用對象、歐盟GDPR所欲保謢之資料種類）、歐盟GDPR原則、個人資料處理、當事人同意、當事人權利介紹、資料保護、資料洩漏處理、未成年人保護等議題之參考要點；並針對部分議題，設計有簡易清單，供參閱者勾選確認。 　　英國ICO除採取對外發布一般資料保護規則指引外，另有制定數個線上工具，協助企業依其身分別（如資料管理者或資料處理者），選擇線上工具進行自我檢視是否符合歐盟GDPR要求，期以協助英國業者為今（2018）年5月GDPR正式施行，能作更充分的準備。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).