歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業
歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。
歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。
此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。
我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。
- 製造業及技術服務業個資保護及資安落實-經濟部工業局112年企業個人資料保護暨資訊安全宣導說明會
- 【已額滿】2023科技研發法制推廣活動—科專個資及反詐騙實務講座
- 供應鏈資安國際法制與政策趨勢分享會
- 【實體】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 【線上】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 商業服務業個資保護宣導說明會
- 【實體】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 【直播】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 數位發展部數位產業署113年資訊服務業者個資安維辦法宣導說明會
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
余和謙
法律研究員 編譯整理
European Union Agency for Network and Information Security https://www.enisa.europa.eu/news
Improving Cooperation between CSIRTs and Law Enforcement: Legal and Organisational Aspects https://www.enisa.europa.eu/publications/improving-cooperation-between-csirts-and-law-enforcement/at_download/fullReport
世界經濟論壇(World Economic Forum, WEF)於2022年11月15日發布《贏得數位信任:可信賴的技術決策》(Earning Digital Trust: Decision-Making for Trustworthy Technologies),期望透過建立數位信任框架(digital trust framework)以解決技術開發及使用之間對數位信任之挑戰。 由於人工智慧及物聯網之發展,無論個人資料使用安全性還是演算法預測,都可能削弱人民對科技發展之信賴。本報告提出數位信任路線圖(Digital trust roadmap),說明建立數位信任框架所需的步驟,以鼓勵組織超越合規性,指導領導者尋求符合個人與社會期望之全面措施行動,以實現數位信任。路線圖共分為四步驟: 1.承諾及領導(commit and lead):數位信任需要最高領導階層之承諾才能成功,故需將數位信任與組織戰略或核心價值結合,並從關鍵業務領域中(例如產品開發、行銷、風險管理及隱私與網路安全)即納入數位信任概念。 2.規劃及設計(plan and design):透過數位信任差距評估(digital trust gap assessment)以瞭解組織目前之狀態或差距,評估報告應包括目前狀態說明;期望達成目標建議;治理、風險管理與合規性(governance, risk management and compliance, GRC)調查結果;將帶來之益處及可減輕之風險;計畫時程表;團隊人員及可用工具;對組織之影響等。 3.建立及整合(build and integrate):實現數位信任需關注人員、流程及技術等三大面向。首先需確保人員能力、達成該能力所需之資源,以及人員溝通與管理;第二,定義組織數位信任流程,包括制定計劃所需時程、預算及優先實施領域,調整目前現有管理流程,並識別現有資料資產;最後,針對技術使用,可考慮使用AI監控、雲端管理系統以及區塊鏈等,以監測資料之使用正確性及近用權限管理。 4.監控及滾動調整(monitor and sustain):建立數位信任框架後,需持續建構相關績效及風險評估程序,以確保框架之穩定,並根據不斷變化的數位信任期望持續改善,以及定期向董事會報告。
日本經產省為了促進智慧家庭(smart home)計畫,以促進資料共享與利用。經產省為了在智慧家庭領域創造新事業,整備相關資料活用環境,蒐集共有及分析從多種多樣機器及服務所實際產出之資料,於2017年8月開始實施實證實驗。在實施前,為了使參加實證之民間公司間,得為資訊合作而完備相關規則及保安對策,於5月24日召開「智慧家庭資料活用環境整備推進事業」檢討會。因物聯網(IoT)的擴大得以蒐集龐大資料,以及現在人工智慧(AI)解析能力提高下,期待在各種領域提高生產效率及創造新的事業模式。特別是在智慧家庭領域,其在「新產業構造願景的中間整理」(2016年4月27日、產業構造審議會新產業構造部會)中,為有力重要領域。因此,以IoT技術等使家庭內機器網路化,活用此一資料,除了使既存事業模式發生變革或創造新事業模式外,也期待可以透過把握製品之使用資訊,而提高產品回收(recall)率,並促進資源回收以及家庭部門節能化等相關社會課題解決上。為此,本事業係以對於家庭內機器網路化及透過此而創造新事業為目標,整備事業環境與社會課題及各主題新事業服務創造相連結,因應每個人的生活模式而使得生活空間客製化成為可能,實現智慧家庭之社會目標。
日本經濟產業省公布獲選2021年數位轉型品牌之企業名單日本經濟產業省(下稱經產省)與東京證券交易所共同選出「數位轉型品牌(下稱DX品牌)」,並於2021年6月7日公布獲選「DX品牌2021」、「DX關注企業2021」的企業名單。獲選的企業不僅導入優良的資訊系統、活用數據,並以數位技術為基礎的創新商業模式及管理方法勇於挑戰變革,預期能將數位技術發揮到最大的作用。 DX品牌評價的項目包含企業的願景、商業模式、經營策略、數位技術策略實施成果與重要成果指標的公開共享、公司治理。為了加強鼓勵企業推動數位轉型,經產省與東京證券交易所從獲選「DX品牌2021」的企業名單中,再選出「DX大賞企業」,作為數位時代的領導企業。另外,今年度針對因應新冠肺炎採取優良數位技術對策的企業,又特別選出「數位×新冠肺炎對策企業」。 DX品牌即為舊有的「進攻IT管理品牌」。「進攻IT管理品牌」是經產省於2015年至2019年,為了促進日本企業在IT上的運用,與東京證券交易所共同選出積極運用IT的企業為「進攻IT管理品牌」。直到2020年後,因應數位技術產生新興的商業模式,經產省推動企業從IT運用轉向數位轉型技術,並將「進攻IT管理品牌」改為「數位轉型品牌(DX品牌)」。
什麼是「日本Connected Industries」?Connected Industries為日本產業的未來願景,透過人、機器與科技的跨界連接,創造出全新附加價值的產業社會,以達到Society5.0理想目標。例如,物與物的連接形成物聯網(IoT)、人與機器合作拓展智慧與創新、跨國企業合作解決全球議題、跨世代的人與人連繫傳承智慧與技術、生產者與消費者接觸解決商業與社會問題等。 隨著第四次產業革命到來,IoT、大數據及 AI人工製會等技術革新,日本藉由高科技、技術人才及應變能力等優勢與數據技術相結合,目標是邁向以人類為中心、解決問題的新產業社會。Connected Industries的三大支柱分別為: 一、新數據社會(New Digital Society) 消除人與機械系統的對立,實現全新的數位化社會。解決新興科學技術如AI及機器人運用上的困難,並積極活用該技術幫助並強化人類解決問題的能力。 二、多層次合作(Multilevel Cooperation) 區域、世界及全球未來面臨複雜的挑戰,必須透過企業間、產業間及國與國間的連繫合作解決課題。 三、人力資源發展(Human Resource Development) 以人類為中心做思考,積極推展數據技術的人才養成,邁向智慧與技術的數據化時代。