歐盟網路和資訊系統安全局(ENISA)
歐盟網路與資訊安全局(ENISA)成立於2004年,目的在於確保歐盟內部網路與資訊安全保持在最高水準,同時也為執行2016年8月生效之歐盟網路和資訊系統安全指令(NIS- Directive),提高歐洲的網路安全準備,以防止並抵禦網路安全事件措施。計有84名工作人員,共同運作位於希臘的兩個辦公室:Heraklion (2005年成立之總部)辦公室;與雅典辦公室(2013年成立),以提高該機構的運作效率。
ENISA在NIS指令的執行中扮演重要的角色,任務包括支援歐盟機構、會員國國與產業界,快速對網路威脅與資訊安全問題做出反應。它也被要求在執行任務中協助各國間成立的合作小組。此外,更透過指令要求ENISA協助成員國與執委會,提供他的專業意見和建議。
ENISA戰略有五個面向:
•提供關鍵網路設施和資訊安全問題之資訊和專業知識。
•制定和執行歐盟網路政策。
•建立歐盟間跨國支援能力。
•培育網路與資訊安全社群的網路演習、協調與支援。
•促進各國間的合作關係。
由於ENISA在建立之後網路發展情勢有顯著的演變,其任務和目標應該因應新發展做出調整,故歐盟執委會也在2017年1月開始重新審視其設立之法律依據以應對新情勢發展。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
洪政緯
法律研究員 編譯整理
近期幾家大信用卡公司遭駭客入侵,使得消費者受到了越來越大的身份被盜用的威脅。對此,能使購物更加安全的技術,特別是生物識別技術,包括電影中常見到的虹膜掃描,以及相對普及的指紋,聲音,臉部特徵識別等,越來越引發了人們的興趣。 目前,美國第二大零售連鎖店 Albertson 已經和其他數百個零售商一起加入了生物識別付款的試點行列。該公司發言人表示,新付款方式則大大加速了結帳的速度;另外也可以自動識別是否賣菸酒給未成年人。 不過生物識別技術的根本的缺陷在於隱私問題,因?這項技術意味著對個人資訊的集中儲存。而這個系統必然會成?駭客和其他居心不良者的「蜜罐」,一旦這個儲存系統被攻破,並將受害者的生物資訊惡意更改,受害者將面臨身份被終極盜用的噩夢。
日本政府對於「小型無人機進階安全確保制度」進行研議,並研提「航空法」修正建議日本政府於2016年1月5日成立「小型無人機進階安全確保制度設計相關小組委員會」(小型無人機の更なる安全確保のための制度設計に関する分科会),聚焦無人機飛安方面之實務議題。會議由内閣官房内閣参事官擔任議長,並由國土交通省航空局協助辦理,民間參與者則多為相關產業公協會,目前規劃每兩個月開1-2次會議,其運行方式包括:原則上為非公開會議,其會議資料將於會後公開,但若議長認有必要,則得決定一部或全部不公開;此外,對於委員會成員以外的民間企業及專家學者之意見,亦應聽取。 為更進一步確保小型無人機於飛行時之安全性,本次會議對「航空法」提出如下修正建議: (1)除「航空法」第一百三十二條之二所規範之飛行方式及禁飛區域外,尚有其他相關飛安重要事項亦應注意,例如:機體本身之缺陷、操控者失誤、不可預期的天候變化、機體重量等(一定重量以上之無人機,對於機體性能及操控者技術應有更高要求,未來可思考訂定罰則或提供擔保)。 (2)對於機場周邊應有比現行法更嚴格之規範,除因此處操控無人機容易誤入禁區外,該範圍以內通常是飛安事故搜救區,恐妨害搜救之進行。 (3)關於禁區內飛行許可之審查,應包含:機體機能與性能、操控者知識、技術與經歷。 (4)對於商業、營業用無人機,應有更高的安全性要求。但何謂商業、營業用之定義及更高安全性究何所指須有更明確的標準!
中國大陸推出「網絡文化經營單位」內容自審制度中國大陸文化部於日前頒布「網絡文化經營單位內容自審管理辦法」,要求「網絡文化經營單位」配置內容審核人員、建立內容管理制度。就其提供的數位産品、內容服務進行自我審核,以確保內容之合法性。 據中國大陸文化部表示,本次辦法的制定,亦是為了落實其國務院轉變政府職能、簡政放權的政策方向。特別在網路音樂、行動遊戲上,期待能透過企業自律機制,達到市場的有效管理。然而,由辦法中規定「按照法規規章規定應當報文化行政部門審查或者備案的網絡文化産品及服務,自審後應當按規定辦理」看來,此項「內容自審機制」暫時不會取代任何現有審批、備案制度。至於未來運作經驗的累積,相關規範是否會有所調整,以確實達到行政審批事項的下放、簡化目標,仍有待持續追蹤觀察。 此辦法預計於2013年12月1日起施行。未來相關內容審核工作,須透過經中國大陸文化行政部門培訓、考核,取得「內容審核人員證書」的人員進行。同時,在內容管理制度上,企業必須規範內容審核工作職責、標準、流程,保障內容審核人員獨立審核權限,並在內容管理制度完成制定後,報請所在地文化行政部門備案。對於台灣業者而言,在辦法施行後,應留意其合作之大陸「網絡文化經營單位」,是否符合上述規範,以避免對其產品拓展產生不利影響。
美國正式推行「聯邦政府風險與授權管理計畫」2010年,美國聯邦政府展開「聯邦政府風險與授權管理計畫」(Federal Risk and Authorization Management Program,FedRAMP),在經過2年的研究與整備後,聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據,針對雲端服務的風險評估、授權管理的標準作業規範。 根據FedRAMP,雲端服務業者欲通過該計畫的評估,其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者,都必須達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。 對於雲端服務業者的評估,必須經由FedRAMP認證的第三方機構來進行審查,第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定,來驗證檢驗機構的品質與技術能力。目前為止,聯邦政府總務管理局已經公佈十個獲得授權的機構。 聯邦政府總務管理局同時並期待在2012年的年底之前,能夠有三個雲端服務提供者通過審查,然而,由於制度才剛上路不久,是否能夠跟上產業變遷的腳步並順利達成目標,仍有待進一步觀察。