美國發布網路事件協調準則
隨著網路技術的進步,資安事件亦日益加增,為了因應日趨頻繁的網路攻擊,美國總統歐巴馬於2016年7月26日發布了對於美國資安事件發生時聯邦部門間協調之指令(PRESIDENTIAL POLICY DIRECTIVE/PPD-41),該指令不僅提出聯邦政府對於資安事件回應的處理原則,並建立了聯邦政府各部門間對於發生重大資安事件時之協調指引。
指令中就資安事件及重大資安事件進行了定義:資安事件包含資訊系統漏洞、系統安全程序、內部控制、利用電腦漏洞的執行;而重大資安事件則指可能對國家安全利益、外交關係、美國經濟、人民信心、民眾自由或大眾健康與安全發生明顯危害的有關攻擊。 此外,就遭遇資安事件時,列舉出下列幾點作為聯邦政府因應資安事件時之原則:(A)責任分擔;(B)基於風險的回應;(C)尊重受影響者;(D)政府力量之聯合;(E)促進重建及恢復。
聯邦政府機關於因應資安事件時,需同時在威脅、資產及情報支援三方面上做相關之因應。其中司法部透過轄下聯邦調查局(Federal Bureau of Investigation, FBI)、國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force, NCIJTF)負責威脅之回應;國土安全部(Department of Homeland Security, DHS)則透過轄下的國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)負責保護資產之部分,而情報支援部分,則由國家情報總監辦公室(Office of the Director of National Intelligence)下之網路威脅情報整合中心(Cyber Threat Intelligence Integration Center)負責相關事宜。如係政府機關本身遭受影響,則機關應處理該資安事件對其業務運作、客戶及員工之影響。另在遭遇重大資安事件時,為使聯邦政府能有效率因應,指令指出聯邦政府應就國家政策、全國業務及機關間為協調。此外,指令中亦指示國土安全部及司法部應建立當個人或組織遭遇資安事件時得以聯繫相關聯邦機關之管道。
該指令加強了現有政策的執行,並就美國機構組織上於資安事件與現行政策之互動做了進一步之解釋。
施弘文
專案經理 編譯整理
Presidential Policy Directive/PPD-41, Presidential Policy Directive -- United States Cyber Incident Coordination, https://www.whitehouse.gov/the-press-office/2016/07/26/presidential-policy-directive-united-states-cyber-incident (last visited Aug. 29, 2016).
Countering the Cyber Threat, New U.S. Cyber Security Policy Codifies Agency Roles,https://www.fbi.gov/news/stories/new-us-cyber-security-policy-codifies-agency-role (last visited Aug. 30, 2016).
Statement By Secretary Jeh C. Johnson Regarding PPD-41, Cyber Incident Coordination,https://www.dhs.gov/news/2016/07/26/statement-secretary-jeh-c-johnson-regarding-ppd-41-cyber-incident-coordination (last visited Aug. 30, 2016).
瑞士洛桑管理學院(International Institute for Management Development, IMD)於2025年6月17日發布《2025年IMD世界競爭力年報》(IMD World Competitiveness Yearbook),針對全球69個國家與地區,從「經濟表現」、「政府效能」、「企業效能」及「基礎建設」四大面向進行綜合評比,瑞士、新加坡與香港分列前三,展現其制度穩定性與政策應變能力的優勢。 排名第一的瑞士,擁有強健的制度架構,且其「政府效能」與「基礎建設」表現卓越,然瑞士在「經濟表現」與「企業效能」表現略有下滑,主要與公共採購制度的透明度相關,當地企業反映,公共部門合約對外國投標者開放程度不足,限制市場競爭並影響外資參與。 新加坡「經濟表現」亮眼,使其整體競爭力維持在第二名,然因企業外移嚴重,其「企業效能」由去年的第二名滑落至第八,對未來競爭力構成威脅。 香港由第五名升至第三,四大面向皆有明顯進展,顯示其持續改善投資環境;且香港在企業效能方面表現出色,有效強化其作為全球金融中心的地位。 我國排名第六,較去年上升兩名,展現整體競爭力持續提升。四大面向表現均衡,尤以「經濟表現」與「企業效能」成績亮眼,顯示我國出口動能穩定,企業具備良好轉型能力與國際競爭力,科技產業持續發揮關鍵影響力。「政府效能」維持穩定,財政與稅制制度具備競爭優勢,對營商環境有正面助益。惟在「基礎建設」與社會面向方面,仍面臨人口結構變遷、能源轉型與永續發展等挑戰,需持續強化相關制度與政策配套,以確保長期發展動能。 總體而言,競爭力除經濟與治理外,亦受社會及供應鏈變動影響。未來各國應持續強化治理與創新能力;兼顧社會包容性與產業永續發展,以維持長期競爭力。
美國證券交易委員會發布指引要求公司進一步揭露加密資產之潛在影響美國證券交易委員會(United States Securities and Exchange Commission,下稱SEC)於2022年12月8日發布「致公司有關近期加密資產市場發展之樣本函(Sample Letter to Companies Regarding Recent Developments in Crypto Asset Markets)」指引文件(下稱本指引),指導公司應針對自身業務涉及近期加密資產市場動盪事件(如虛擬貨幣交易所破產等),進行直接或間接影響之風險揭露,以符合聯邦證券法規之資訊揭露(如風險及風險暴露等)義務。SEC轄下之企業金融處(Division of Corporation Finance,以下簡稱金融處)認為公司應向投資者提供具體且量身訂製之市場動盪事件報告、揭露公司在動盪事件中之狀況以及可能對投資者造成之影響。爰此,本負有常態報告義務的公司應據此考量現有的揭露內容是否須進行更新。 金融處說明,為加強並監督公司對資訊揭露要求之遵守狀況,爰依據1933年證券法(Securities Act of 1933)及1934年證券交易法(Securities Exchange Act of 1934)內涵,要求公司亦須針對應作出聲明的實際狀況,進一步揭露相關重大訊息,且不得進行誤導。本指引所要求公司明確揭露加密資產市場發展的重大影響,包括公司對競爭對手及其他市場參與者之風險暴露;與公司流動資金及獲取融資能力相關的風險;及與加密資產市場法律程序、調查或監管影響相關的風險等。 值得注意的是,本指引並未列出公司應考量問題的詳細清單,個別公司應視自身情況評估已存在之風險,或是否可能受到潛在風險事項的影響。由於公司所揭露之文件事前通常不會經過金融處審查,因此金融處也敦促各公司應自主依循本指引進行相關文件準備。
美國證券交易委員會針對上市公司提出網路安全風險管理、治理及網路安全風險事件揭露規則美國證券交易委員會(United States Securities and Exchange Commission, SEC)於2022年3月9日提出關於上市公司網路安全風險管理、治理及相關事件揭露規則,希望加強上市公司的網路安全風險管理以及網路安全事件之揭露監管,其提案核心內容有二,第一係要求國內上市公司於確定發生重大網路安全事件後四個工作日內,揭露有關資訊,且揭露內容必須包含以下五大項,(1)事件何時發現、目前是否持續中、(2)事件性質與其範圍簡要說明、(3)是否有任何資料被洩漏、竄改或被不當使用、(4)該事件對於公司之營運影響、(5)公司是否已著手進行補救及處理。 該提案的第二個核心內容係定期報告公司的網路安全風險管理及治理資訊,例如公司是否具有網路安全風險評估計畫,其內容為何、公司是否有政策及程序監督第三方服務提供商之網路安全風險、當公司發生網路安全事件時,是否具備應變程序及網路攻擊復原計畫、網路安全相關風險對於營運結果及財務狀況將可能產生何種影響等等。 該提案的公眾諮詢期間為提案發布後60天,鑒於網路安全風險增加,美國證券交易委員會期望藉由此提案,更明確的告知投資者上市公司的網路安全風險管理及治理相關資訊、並且可以即時通知投資者重大網路安全事件,給予上市公司投資者及其他資本市場參與者更周延之保障。
網路中立管轄權屬誰?FCC尋求法院支持美國聯邦上訴法院哥倫比亞巡迴分院(US Court of Appeals for the District of Columbia Circuit)於2010年1月12日,針對網路中立議題召開口頭辯論聽證會。該案上訴人為美國目前電視及網路服務市佔率最高的Comcast所提出,系爭案由為聯邦通信委員會(Federal Communication Commission, FCC)於2008年禁止網路服務提供者(Internet Services Provider, ISP)限制其用戶使用BitTorrent。 BitTorrent為一種常見的點對點傳輸程式,多用以線上檔案分享。該公司認為,FCC並沒有足夠的權力要求其不分用戶等級,全部提供毫無限制的服務;而FCC卻從保護消費者及網路應開放自由進入的角度辯述,從而使FCC是否有權力規範網路中立(Internet Neutrality)之議題邁入更激烈的討論。 所謂「網路中立」,意指網路服務提供者不得因傳送或下載資訊種類差異而提供不平等的流量服務。早在2005年,FCC即有一套管制網路服務提供者侵害網路中立的審查標準,但該標準並非為一體適用的法律位階,而FCC是否得依職權制定網路中立的規範,一直以來亦有所爭議,是故此次其與Comcast對簿公堂,FCC最終目的即是在尋求法院之見解,希冀獲得聯邦法院的支持而使其立法行動名正言順。 對此,聯邦最高法院原則上認同FCC以往對於「資訊服務」的見解,亦即,由於傳統電信服務往往與重大基礎建設相關,尤其是網路開放接取的相關規定,FCC應提高其管制密度;而屬低度管制的資訊服務(Lightly Regulated Information Service)則不應與電信服務有相同的對待;是故Comcast據認在網路中立尚未有明確權責規劃前,FCC實無權插手管控Comcast所提供之資訊服務。此外,該公司亦提出,類似BitTorrent的點對點傳輸應用程式往往用於大量檔案的交換,無限制地提供所有用戶使用,不但造成整體網路服務效能下降,由於傳輸的內容往往為影音檔案,亦間接侵害了Comcast本身的電視業務。 對此,雙方目前仍各執一詞,由於案件目前尚在上訴法院審理,FCC此次投石問路的策略是否成功還在未定之天,但可以確定的是,不論法院的見解為何,網路中立的爭議恐將持續發酵,並對後續網路服務提供之發展產生一定影響。