歐洲網路暨資訊安全局發布「重要資訊基礎設施下智慧聯網之安全基準建議」

  歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)於2017年11月20號發布了「重要資訊基礎設施下智慧聯網之安全基準建議」。該建議之主要目的乃為歐洲奠定物聯網安全基礎,並作為後續發展相關方案與措施之基準點。

  由於廣泛應用於各個領域,智慧聯網設備所可能造成之威脅非常的廣泛且複雜。因此,了解該採取與落實何種措施以防範IOT系統所面臨之網路風險非常重要。ENISA運用其於各領域之研究成果,以橫向之方式確立不同垂直智慧聯網運用領域之特點與共通背景,並提出以下可以廣泛運用之智慧聯網安全措施與實作:

  (一) 資訊系統安全治理與風險管理
  包含了與資訊系統風險分析、相關政策、認證、指標與稽核以及人力資源相關之安全措施。

  (二) 生態系管理
   包含生態系繪製以及各生態系的關聯。

  (三) IT安全建築
   包含系統配置、資產管理、系統隔離、流量過濾與密碼學等資安措施。

  (四) IT安全管理
  帳戶管理與資訊系統管理之相關安全措施。

  (五) 身分與存取管理
  有關身分確認、授權以及存取權限之安全措施。

  (六) IT安全維護
  有關IT安全維護程序以及遠端存取之安全措施。

  (七) 偵測
  包含探測、紀錄日誌以及其間之關聯與分析之安全措施。

  (八) 電腦安全事件管理
  資訊系統安全事件分析與回應、報告之資安措施。

本文為「經濟部產業技術司科技專案成果」

你可能會想參加
※ 歐洲網路暨資訊安全局發布「重要資訊基礎設施下智慧聯網之安全基準建議」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7987&no=645&tp=1 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
中華人民共和國《出版管理條例》之介紹

日本公布資料信託功能認定指引ver1.0並進行相關實驗

  日本總務省及經濟產業省於2017年11月至2018年4月間召開6次「資料信託功能認定流程檢討會」(情報信託機能の認定スキームの在り方に関する検討会),檢討具備資料信託功能之「資料銀行」認定基準及模範條款等事項,於2018年6月公布「資料信託功能認定指引ver1.0」(情報信託機能の認定に係る指針ver1.0),以利實現個人資料流通並創造新服務型態。資料銀行係指基於與個人間資料利用契約,透過PDS(personal data store)等系統管理個人資料,根據個人指示或預先設定的條件,於判斷妥當性後向第三方提供資料之行業。目前指引內容包括︰(1)資料信託機能認定基準︰具體內容包括業者適格性、資訊安全原則、資訊安全具體基準、治理體制、業務內容等;(2)模範條款記載事項︰針對個人與資料銀行、資料銀行與資料提供者、資料銀行與接受資料提供者間關係,列出具體應記載事項;(3)資料信託機能認定流程。   作為日本總務省「資料信託功能運用推動計畫」(情報信託機能活用促進事業)一環,日立製作所、東京海上日動火災保險、日本郵局等於2018年9月10日發表將根據「資料信託功能認定指引ver1.0」,進行「資料銀行」個資管理、提供及運用等實驗,參與者分別扮演資料提供者、資料銀行和資料利用者三種角色,未來將會參考實驗結果,提出認定基準改善建議。

開放台資過半持股取得ICP經營許可證之影響評估

開放台資過半持股取得ICP經營許可證之初步評估-以遊戲產業為主- 科技法律研究所 2013年06月25日 壹、背景說明   根據海基會、海協會於102年6月21日共同簽署的兩岸服務貿易協議[1] ,其就電信服務類之增值電信服務,以「在線數據處理與交易處理(僅限於經營性電子商務網站)」為範圍,開放「允許臺灣服務提供者在福建省設立合資企業,提供在線數據處理與交易處理業務,臺資股權比例不超過 55%」。 貳、簽署前中國大陸對台遊戲業設置經營網站之限制說明 一、電子商務網站經營者皆須取得ICP證、SP證(本次開放重點) (一)互聯網信息服務增值電信業務經營許可證(ICP證)   依照中國大陸「互聯網信息服務管理規定」第3條、第4條規定,互聯網信息服務依照是否有償提供信息服務活動,區分為經營性互聯網信息服務及非經營性互聯網信息服務。並依照「互聯網信息服務管理規定」第7條規定,透過互聯網向互聯網上網用戶有償提供信息服務活動者,須向地方電信管理機構或工信部申請,取得「互聯網信息服務增值電信業務經營許可證」(大陸簡稱ICP證)[2]取得ICP經營許可證者,才能從事:網上廣告、代製作網頁、出租服務器內儲存空間、主機託管、有償提供特定信息內容、電子商務及其它網上應用服務等。   在外商申辦ICP證的情況中,依照中國大陸「互聯網信息服務管理規定」第17條規定,應事前經中國大陸國務院信息産業主管部門審查同意,且外商投資的比例應符合相關規定。對此,中國大陸在加入WTO後,僅承諾有限度地開放電信業務市場。   在中國大陸商務部發布的「外商投資產業指導目錄」中,電信公司增值電信業務屬於「限制外商投資」項目,包括組織型態、業務活動範圍、投資比例等投資條件與審批程序,皆有一定的規範。根據中國大陸國務院「外商投資電信企業管理規定」[3]第2條規定,外商投資電信企業,只能以「中外合資經營」形式[4],共同投資經營電信業務。同時「外商投資電信企業管理規定」第6條規定,外商投資電信企業,在增值電信業務部分,外方投資者在企業中的出資比例,最終不得超過50%[5]。亦即,在一般外商投資電信企業的情況中,受限於股權比例上限,外商通常無法掌握企業經營權。 (二)增值電信業務經營許可證   在網站經營涉及增值電信業務時,根據中國大陸「電信業務經營許可管理辦法」[6],亦需取得「增值電信業務經營許可證」(大陸簡稱SP證)[7]。其中業務覆蓋範圍在兩個以上省、自治區、直轄市的,須經國務院資訊產業主管部門審查批准,取得「跨地區增值電信業務經營許可證」。若業務覆蓋範圍在一個省、自治區、直轄市行政區域內的,須經省、自治區、直轄市電信管理機構審查批准,取得「增值電信業務經營許可證」[8]。且同樣地,依據「電信業務經營許可管理辦法」第9條第3項規定,外商投資電信企業申辦電信業務經營許可證亦須根據「外商投資電信企業管理規定」辦理。亦即,一般而言在外商投資者出資比例不得超過50%。   在本次兩岸服務貿易協議中,爭取到台資得以試點方式在福建地區以過半股權提供「在線數據處理與交易處理業務」,依據中國大陸「電信業務分類目錄(2003版)」規定,亦屬於增值電信業務一種。此業務是指「利用各種與通信網絡相連的數據與交易/事務處理應用平臺,通過通信網絡為用戶提供在線數據處理和交易/事務處理的業務」。簡言之,包括交易處理業務、電子數據交換業務和網絡/電子設備數據處理業務。 二、網路遊戲網站經營尚需取得其他經營許可證   在中國大陸除上述ICP證外,還必須經過相關主管機關審批,取得相對應的主體資格與許可證後,始得經營線上遊戲業務。也就是除ICP證外,還必須取得:「網絡文化經營許可證」、「互聯網出版許可證」。 (一)網絡文化經營許可證   有關「網絡文化經營許可證」,依據中國大陸文化部「互聯網文化管理暫行規定」,網路遊戲屬於一種互聯網文化產品,因此要經營網路遊戲前,就必須先申請設立「經營性互聯網文化單位」,通過審批同意設立後,方可領取「網絡文化經營許可證」(大陸簡稱文網文)。並依照「關於文化領域引進外資的若干意見(文辦發[2005]19號)」及「經營性互聯網文化單位申報指南」規定,除香港和澳門服務提供者可設立由中國大陸控股的經營性互聯網文化單位外,不受理外商投資互聯網信息服務提供者申請從事互聯網文化活動。亦即由台灣業者投資設立之企業無法取得網絡文化經營許可證。 (二)互聯網出版許可證   其次,根據中國大陸的「互聯網出版管理暫行規定」第5條規定,互聯網信息服務提供者將自己創作或他人創作的作品經過選擇和編輯加工,登載在互聯網上或者通過互聯網發送到用戶端,供公眾瀏覽、閱讀、使用或者下載的在線傳播行為稱為互聯網出版,包括,圖書、報紙、期刊、音像製品、電子出版物等出版物內容或者在其他媒體上公開發表的內容。對此,根據「互聯網出版管理暫行規定」第6條規定,需先經過新聞出版總署的批准,具備合法互聯網出版機構的資格,並領有「互聯網出版許可證」,方可從事網路遊戲的線上營運業務。同時,依據中國大陸新聞出版總署發出「關於貫徹落實國務院〈“三定”規定〉和中央編辦有關解釋,進一步加強網絡遊戲前置審批和進口網絡遊戲審批管理的通知」規定,外商禁止以獨資、合資、合作等方式在中國境內投資從事網絡遊戲運營服務,任何外商不得通過設立其他合資公司、簽訂相關協議或提供技術支持等間接方式實際控制和參與境內企業的網絡遊戲運營業務。亦即,由台灣業者投資設立之企業亦無法取得網絡文化經營許可證。 三、針對內容本身,亦須完成相關審批作業   台灣線上遊戲產品進口中國 ,除須向中國新聞出版總署提出「引進版互聯網遊戲出版物出版申請」審批同意、取得「中國標準書號(業界一般俗稱版號)」,版號每年有總量管制,核發過程容易受技術性操作而影響取得版號時間。另依據中國文化部「關於加強網絡遊戲產品內容審查工作的通知」(2004)第十點規定:「進口中國香港、澳門特別行政區和臺灣地區的網路遊戲產品參照外國網絡遊戲產品辦理相關手續」。也就是說,臺灣的線上遊戲上市前填具「文化部進口遊戲產品內容審查申請表」、「文化部進口網絡遊戲產品材料登記表」等,向中國文化部提出遊戲產品內容審查。   本次協商,線上遊戲業管機關在徵詢業者意見後,努力向陸方爭取其承諾「在申請材料齊全的情況下,對進口臺灣研發的網絡遊戲產品進行內容審查(包括專家審查)的工作時限為2個月」。 附件、遊戲出版相關審批 ‧電子出版物出版單位與境外機構合作出版物之審批:《外商投資產業指導目錄》,電子出版物(含電子遊戲、網路遊戲等產品)的出版、製作和進口屬於「禁止外商投資項目」,因此台灣遊戲業者要進入中國大陸市場,僅能透過與當地廠商以合作的方式出版遊戲產品,而合作案也須先經過新聞出版總署的審批程序,方可進行。 ‧電子出版物出版許可證:根據《出版管理條例》第41條與《電子出版物出版管理規定》第38條規定,出版遊戲的企業必須具備電子出版物出版單位的資格,並領有電子出版物出版許可證,才是合法的出版單位。 ‧電子出版物專用書號:根據中國大陸《出版管理條例》第29條規定,出版物須載明書號、刊號或版號等,此處所指「書號」係指「電子出版物專用書號」。遊戲產品亦屬於電子出版物一種,按規定必須要申請到「電子出版物專用書號」方可出版。 ‧出版物進口經營許可證:依據其《出版管理條例》第41條規定,只要是出版物(報紙、期刊、圖書、音像製品、電子出版物)之進口,都必須透過領有「出版物進口經營許可證」的出版物進口經營單位。 ‧文化部進口網絡遊戲產品內容審查:根據中國大陸文化部2004年發布《關於加強網絡遊戲產品內容審查工作的通知》規定,外國網路遊戲產品須經文化部之內容審查通過後,方可上線營運。因此,一款境外的網路遊戲產品應由具備《網絡文化經營許可證》及營業執照之互聯網文化單位,向文化部提出內容審查的申請。 ‧出版境外著作權人授權的互聯網遊戲作品審批:台灣的網路遊戲若要進口到中國大陸,除須經過其文化部有關網路遊戲的內容審查程序外,尚須經過向其新聞出版總署提出「引進版互聯網遊戲出版物出版申請」,通過「出版境外著作權人授權的互聯網遊戲作品審批」的審查程序。 ‧圖書、期刊、音像製品、電子出版物重大選題備案:根據2011年甫修訂之《出版管理條例》第20條規定,在中國大陸從事出版行為,若有涉及國家安全、社會安定的重大選題,一律向其中央新聞出版總署申請「重大選題備案」程序,待備案通過後,方允許出版含有該內容之出版物。 ‧複製經營許可證:根據《出版管理條例》、《電子出版物出版管理規定》,電子出版物的複製業務係採許可制度,即須向其新聞出版總署提出電子出版物複製單位的設立申請;且電子出版物亦應委託經領有《複製經營許可證》之複製單位複製。若屬於境外委託複製之出版物,尚須持著作權人授權書,向著作權行政部門進行登記。 ‧出版物經營許可證:臺灣業者若在中國大陸申請設立電子出版物發行單位,便須按照其預計從事的業務活動範圍(例如:總發行、批發、零售)提出審批申請,經批准許可後,皆領取《出版物經營許可證》,但會在證書上註明准予從事的業務活動範圍。 ‧出版境外著作權人授權的電子出版物審批:臺灣作者可將作品內容授權給中國大陸電子書業者置入電子書閱讀器出版,惟依據《電子出版物出版管理規定》,應由當地業者備妥相關文件,提出「出版境外著作權人授權的電子出版物審批」的申請程序。 [1]兩岸服務貿易協議,頁35,http://www.mac.gov.tw/public/Attachment/362114511675.pdf(最後瀏覽日102/06/22)。 [2]互聯網信息服務管理規定第7條:「从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证(以下简称经营许可证)。」 [3]《外商投资电信企业管理规定》(国务院令第333号2001.12.11)(2008.09.10修訂) [4]《中外合资经营企业法》第4條第1項(主席令第48号2001.03.15):「合營企業的形式為有限責任公司」,故具有中國大陸法人資格。 [5]且根據《中外合资经营企业法》(主席令第48号2001.03.15),在「中外合资经营企业法」的註冊資本中,外國合資經營者的投資比例不得低於25%。 [6]《电信业务经营许可管理办法》(工业和信息化部令第5号2009.03.01) . [7]參考《电信条例》第9條(國務院令第291號2000.09.20):「经营增值电信业务申请许可流程:业务覆盖范围在两个以上省、自治区、直辖市的,须经国务院资讯产业主管部门审查批准,取得『跨地区增值电信业务经营许可证』;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须经省、自治区、直辖市电信管理机构审查批准,取得『增值电信业务经营许可证』。」 [8]參考《电信条例》第9條(國務院令第291號2000.09.20):「经营增值电信业务申请许可流程:业务覆盖范围在两个以上省、自治区、直辖市的,须经国务院资讯产业主管部门审查批准,取得『跨地区增值电信业务经营许可证』;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须经省、自治区、直辖市电信管理机构审查批准,取得『增值电信业务经营许可证』。」

歐盟氣候相關資訊報告準則

  歐盟執委會(EU Commission)於2019年6月20日發布「氣候相關資訊報告準則」(Guidelines on reporting climate-related Information),該準則為歐盟執委會2018年3月通過的「永續金融行動計畫」(Action plan on sustainable finance )之一部分,旨在促使企業更完整的揭露其活動對氣候之影響,以及氣候變化對其業務之風險,讓投資人與融資機構獲有更全面的企業資訊以進行決策,同時引導市場資金轉向友善氣候之企業或商業模式。   關於企業氣候相關資訊之揭露,歐盟早在2014年11月15日通過的「非財務資訊報告指令」(Non-Financial Reporting Directive, 2014/95/EU)中要求擁有500名以上員工的大型企業必須揭露其經營與氣候保護間之關聯;為讓所有歐盟企業均有一致可資遵循的揭露標準,執委會嗣於2017年5月7日發布「非財務資訊報告準則」(Guidelines on Non-Financial Reporting);而本次發布之「氣候相關資訊報告準則」則是在2017年的「非財務資訊報告準則」基礎上所進行的補充,其特別之處在於整合了金融穩定委員會(Financial stability board)轄下「氣候相關財務揭露工作組」(Taskforce on climate-related financial disclosures, TCFD)所擬定之氣候資訊揭露建議,該建議詳細的說明了企業編制非財務類報告以揭露企業所面臨的氣候風險與機遇作法。   本準則建議企業分別在(1)商業模式、(2)企業政策、(3)政策成果、(4)風險管理、(5)關鍵績效指標五方面進行氣候相關資訊之揭露:在商業模式方面,例如描述公司對自然資源的依賴性、說明公司商業模式在應對氣候風險時的彈性及可能的變化;在企業政策方面,例如解釋公司如何將氣候相關問題納入運營決策流程、揭露公司在其能源政策中所設之能源相關目標;在政策成果方面,例如參考財務KPI做法描述公司在氣候方面的表現如何影響其財務績效;在風險管理方面,例如根據地理位置、業務活動詳細列出與氣候相關的主要風險、描述進行風險識別、評估的方法與頻率;在關鍵績效指標方面,例如描述主要氣候相關風險與財務關鍵績效指標之間的聯繫。

TOP