歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業
歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。
歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。
此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。
我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
余和謙
法律研究員 編譯整理
European Union Agency for Network and Information Security https://www.enisa.europa.eu/news
Improving Cooperation between CSIRTs and Law Enforcement: Legal and Organisational Aspects https://www.enisa.europa.eu/publications/improving-cooperation-between-csirts-and-law-enforcement/at_download/fullReport
今(2022)年2月28日卡地亞(Cartier)控訴精品珠寶領域的競爭對手蒂芙尼(Tiffany & Co.),聲稱其在卡地亞前員工的幫助下,竊取獨家商品的營業秘密。 歷峰北美公司(Richemont North America Inc.)旗下的卡地亞今年2月28日於美國紐約州法院起訴蒂芙尼和卡地亞前襄理(Junior Manager)梅根瑪莉諾(Megan Marino),控訴瑪莉諾於跳槽前下載卡地亞的高級珠寶業務機密資訊, 並於去年11月加入蒂芙尼後將資訊傳送給新同事。蒂芙尼發言人發出否認聲明,卡地亞的指控毫無根據。 根據訴訟聲明,蒂芙尼聘請瑪莉諾負責包括單價高達1000萬美元(約新台幣2.8億)的高級珠寶系列,蒂芙尼法律部門從卡地亞獲得通報後,於今年2月份解僱瑪莉諾,但卡地亞聲稱,蒂芙尼的高階主管已經獲得大量的卡地亞機密和營業秘密資訊。 這並非卡地亞第一次指控跳槽至蒂芙尼的前員工試圖竊取營業機密。2014年,卡地亞起訴一名前廣告主管,據稱其試圖讓她的前助理隨身攜帶機密資訊一同加入蒂芙尼,該訴訟於次年和解。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
何謂瑞典「VINNOVA」?VINNOVA的組織地位與功能為何?瑞典近年來積極制定科技創新政策,為了提升政策協調度,瑞典於2001年繼續進行組織改造,創立瑞典創新系統署(Swedish Governmental Agency for Innovation Systems, VINNOVA)與瑞典研究委員會(Swedish Research Council),成為創新發展最主要的兩大支柱。 VINNOVA是瑞典推動科研創新重要的一個部署,瑞典政府相當重視此單位,每年投入約20億瑞典克朗的經費於此,且除了在斯德哥爾摩(Stockholm)設有總部外,更在比利時的布魯塞爾(Brussels)及美國矽谷(Silicon Valley)設有辦公室,以掌握世界最新的產業創新動態,其組織單位約有兩百多名員工,負責VINNOVA計畫推動等工作 。由於VINNOVA的特別地位及其執行許多協助瑞典產業創新之計畫。 VINNOVA在科技創新扮演重要的推手,政府也希望藉VINNOVA的成立促進產業社會的發展,尤其重視產業創新領域。為能順利推動科研創新的過程,且加強學術、產業及公共行政單位的研究合作,VINNOVA建立三螺旋(Triple Helix)模式,希望藉由合作而相互學習。
美國參議院通過「2008年基因資訊平等法」(Genetic Information Nondiscrimination Act of 2008)美國參議院以95對0票通過了「2008年基因資訊平等法」(Genetic Information Nondiscrimination Act of 2008),該法案主要是為了增補「2007年基因資訊平等法」(The Genetic Information Nondiscrimination Act of 2007)所制定。 「2008年基因資訊平等法」的內容主要為:1.保險業者不得基於被保險人的基因資訊,拒保或是提高保費,也不得要求被保險人提供其基因資訊以供保險用途,除非符合該法的例外規定。2.雇主不得以員工的基因資訊來限制、隔離、分級員工的工作,更不可據此來剝奪員工的工作機會。但是,本法所稱的基因資訊不包含個人的性別與年齡。 在本法通過之前,美國已有41個州立法保護個人的基因資訊被保險公司使用,並且進行不平等的對待;另有32個州立法保護員工因為基因資訊,兒在工作場合受到歧視。美國並於2000年發佈行政命令(Executive Order 13145),禁止利用基因資訊歧視聯邦單位的員工;另外,「1996年醫療保險可攜與責任法」(Health Insurance Portability and Accountability Act of 1996, HIPAA)也針對歧視做了若干的保護,但是仍有許多漏洞,諸如沒有限制保險公司收集被保險人的基因資訊,或是沒有禁止保險公司要求被保險人進行基因檢測等,所以觀察家認為本法的通過對於個人權利保護是一項進步,但是遺傳病醫藥業者與研究者卻憂慮本法阻礙了醫療研究的發展。
美國Amazon開始免費提供CD之線上即時MP3資料服務美國Amazon於1月10日正式發表在美國國內開始提供消費者使用其所購入CD之MP3資料的免費雲端服務「AutoRip」。 消費者一旦在Amazon.com的網站上購買音樂CD以後,音樂CD的MP3資料就會自動加入雲端音樂服務Amazon Cloud Player上的使用者個人儲存空間。購買手續完成以後,資料立刻自動加入,無需等待CD本身的送達。在這項服務範圍內的CD約有5萬片,不僅是在服務開始後購買的才能享受,服務還回溯至1998年以來曾在Amazon.com上購買過CD的消費者。 Amazon Cloud Player在公司的Kindle Fire,以及iPhone與iPad等搭載iOS作業系統的終端設備,與各家智慧型手機等搭載Android作業系統的終端設備等等都可利用,旨在提供消費者無論何時無論何地皆可以享受音樂的行動價值。此外,音樂資料不僅可以透過串流播放的方式利用,也能直接免費下載存檔利用。 目前,這項服務的對象區域僅限於美國境內,在日本、台灣都還無法利用,不過在網路上也已經有許多網友開始殷切期盼這項服務後續的推出。值得一提的是,Amazon這項服務的推出也進一步突顯了企業因應網路著作權利用型態發展的一個重要轉變。