歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業
歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。
歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。
此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。
我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
余和謙
法律研究員 編譯整理
European Union Agency for Network and Information Security https://www.enisa.europa.eu/news
Improving Cooperation between CSIRTs and Law Enforcement: Legal and Organisational Aspects https://www.enisa.europa.eu/publications/improving-cooperation-between-csirts-and-law-enforcement/at_download/fullReport
中國大陸國家發展改革委員會及財政部重新核定農業轉殖基因安全評估試驗收費標準,擴大相關試驗範圍,並於去(2005)年12月29日公告實施,有效期2年,而農業部2003年的第303號公告同時廢止。2003年的公告僅針對「環境安全檢測」與「食用安全檢測」訂定收費標準,但是隨著基改作物種植面積與種類逐年增加,因此增列了中間試驗、環境釋放、生產性試驗在進行安全評價時,也需要收取相關費用。
生物識別技術走進零售業近期幾家大信用卡公司遭駭客入侵,使得消費者受到了越來越大的身份被盜用的威脅。對此,能使購物更加安全的技術,特別是生物識別技術,包括電影中常見到的虹膜掃描,以及相對普及的指紋,聲音,臉部特徵識別等,越來越引發了人們的興趣。 目前,美國第二大零售連鎖店 Albertson 已經和其他數百個零售商一起加入了生物識別付款的試點行列。該公司發言人表示,新付款方式則大大加速了結帳的速度;另外也可以自動識別是否賣菸酒給未成年人。 不過生物識別技術的根本的缺陷在於隱私問題,因?這項技術意味著對個人資訊的集中儲存。而這個系統必然會成?駭客和其他居心不良者的「蜜罐」,一旦這個儲存系統被攻破,並將受害者的生物資訊惡意更改,受害者將面臨身份被終極盜用的噩夢。
歐盟執委會發布「2016-2020年e政府行動計畫」並展開公眾諮詢歐盟執委會先前自2015年10月30日到2016年1月22日,針對其2016-2020年e政府行動計畫(eGovernment Action Plan)進行了公眾諮詢程序。執委會依據其公眾意見諮詢之初步分析,於2016年2月23日說明其2016-2020年的e政府行動計畫政策,將藉由公共行政管理措施(包含司法部分)的e化,實現歐盟數位單一市場的目標,提高跨境的互通性以及促進歐盟公民間的便捷交流。 歐盟執委會就該計畫目前有以下四項目標: (1) 透過資通訊之技術促進公共管理措施的現代化。 (2) 藉由數位化的公共服務提高跨境行動(cross-border mobility)的可能。 (3) 加強行政單位與歐盟公民及企業間的數位互動交流(digital interaction)。 (4) 推動數位化的關鍵措施。 相關監測及措施期程的指標,執委會將於未來幾個月內再為詳細之說明。而所有e政府行動計畫均應依循下列原則進行: (1) 數位化設定(digital-by-default):若其他可傳送服務之管道能選擇中斷服務或必須中斷服務時,行動措施應給予服務線上傳輸的特權。 (2) 跨境設定(cross-border by default):行動措施不應於歐盟內部市場製造新的跨境障礙。 (3) 一次性原則(once-only principle):行動措施應僅得於行政單位從未持有數據或資訊時,要求歐盟公民或企業提供該數據或資訊。 (4) 內含設定(inclusive by default):行動措施應促進所有歐盟公民或企業與公共行政單位的互動交流。 (5) 不保留原則(no legacy principle):超過15年的基礎設施或應用服務不再維護保留。 (6) 隱私及資料保護(privacy & data protection):所有數位化的公共服務皆應就個人資料之基本權利為完善的保護。 (7) 開放及透明化設定(open & transparency by default):行動措施應就重複使用及透明化為開放之設定。
德國通過《小型電動車條例》,實現清潔現代化運輸並確保道路安全隨著現代德國城市興起騎乘小型電動車(例如:電動滑板車和電動踏板車)風潮,德國聯邦交通及數位基礎設施部(Bundesministerium für Verkehr und digitale Infrastruktur, BMVi)制定小型電動車條例(Elektrokleinstfahrzeuge-Verordnung),以實現清潔現代化運輸並確保道路安全,該條例於2019年6月15日正式生效,並取代原有的行動輔助工具條例(Mobilitätshilfenverordnung),此外,德國聯邦車輛運輸管理局(Kraftfahrt-Bundesamt, KBA)並陸續公布經審驗合格之小型電動車清單。 由於歐洲議會及理事會通過的二輪或三輪和四輪車核可及市場監督規則(EU Nr. 168/2013)將自動平衡車輛和無座椅車輛特別排除,因此BMVi制定行動輔助工具條例,以規範例如Segways的新型運輸工,然而隨著市場推出更多新型小型電動車,原行動輔助工具條例已無法有效規範,因此制定小型電動車條例,除將原本核可小型電動車納入適用外,而本條例所稱小型電動車定義為第一,具備轉向或支撐桿;第二,最高時速設計6~20公里/小時;第三,功率限制為500瓦(自動平衡運輸工具為1400瓦);第四,最低安全要求(例如制動裝置和照明系統,駕駛動態和電動安全設備)。另條例規範重點如下:(1)小型電動車須年滿14歲方能使用,但無須考取任何駕駛執照;(2)小型電動車應行駛於自行車道上,如該段道路無設計自行車道可行駛於側車道,並禁止行駛於人行道或步行區,且不得於踏板上另搭載他人或物品及攀附於其他車輛;(3)須遵守其他一般道路交通法規,特別是保持謹慎駕駛以及酒駕規定須遵守相關規範;(4)保險部分,因小型電動車輛屬於機械動力車輛,故必須投保,並將投保證明貼紙黏貼於車輛上。 另外,BMVi主張並支持小型電動車可攜帶上公共交通工具,然原則上,攜帶小型電動車搭乘公共交通工具,受貨物運輸規範約束,應視電車及無軌電車等固定路線動力車輛之一般條件及服務條例(BefBedV)第11條,或有關運輸公司之特殊運輸條件規範個案判斷。