歐盟資通安全局(ENISA)提出資通安全驗證標準化建議
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。
受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。
ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎:
- ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。
- IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。
- EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。
然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張腕純
組長 編譯整理
Standardisaion in Support of the Cybersecurity Certification, ENISA, https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i (last visited Apr. 26, 2020).
EUROPEAN UNION AGENCY FOR CYBERSECURITY [ENISA], Standardisaion in Support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to Cybersecurity Act (Feb.4, 2020), https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i/at_download/fullReport (last visited Apr. 26, 2020).
European Union Agency for Cybersecurity (ENISA) Publishes Two Studies on Standardisation and Cyber Security, WiGGiN, https://www.wiggin.co.uk/insight/european-union-agency-for-cybersecurity-enisa-publishes-two-studies-on-standardisation-and-cyber-security/ (last visited Apr. 26, 2020).
美國參議院於2021年8月12日提出全新《產業融資公司法案》(Industrial Finance Corporation Act),擬授權成立美國產業金融公司(Industrial Finance of the U.S., IFCUS)投資半導體、量子運算、人工智慧、網路安全、生物科技等高科技領域,旨在促進國內製造業創新和打造良好就業機會。 本法案首先點出國內在關鍵技術供應鏈上所面臨的困境,包括「國內製造商缺乏足夠的資金管道致技術工作外包,影響到美國在關鍵技術(如半導體和5G通訊硬體)生產的主導地位」、「目前美國的創新模式較依賴私人資本協助政府將研究成果產品化,然因私人資本通常會傾向尋求短期投資回報,與新興技術領域較需採長期投資發展策略有別」,以及「官方捐款計劃跟不上創新步伐使得納稅人須承擔技術創新的高風險,但卻無法獲得相應的高回報」。接著,法案提到為解決前述困境,擬藉由法案授權成立美國國有企業產業金融公司(IFCUS),以投資方式協助與經濟國家安全相關重要產業之發展,並幫助相關產業利用額外私人資金,使納稅人在承擔高風險之際,亦有機會獲取相應的高回報。 依據《產業融資公司法案》所成立之國有企業產業金融公司(IFCUS),則將支持關鍵產業彈性供應鏈、美國製造業經濟發展及就業機會、先進技術商業化、中小企業廠商與資金門檻較低廠商、易受系統性投資不足與不公平產業政策等。在具體運作模式上,IFCUS將先與私人企業合作,利用法案所授權的500億美元資本進行融資,並由IFCUS發行及提供擔保貸款、購買股權、發行債券、收購資產、創建投資設施和企業基金及投資證券化等,藉以創造更多資本額。並鑒於IFCUS為一國營單位,相對較有能力保持優良的社會環境和勞動標準,創造全國就業機會、減少環境危害及對公眾與國會負責,同時確保企業決策係為納稅人服務。最後,透過IFCUS與政府研究機構協調,建立保障措施,以及提供私人資本和政府計畫補助,鼓勵天使投資以降低市場競爭影響。簡而言之,即希望憑藉IFCUS國有企業之設立,為美國高科技製造業提供策略性投資、產經政策等具體援助,藉以強化供應鏈韌性。
英國資訊委員辦公室(ICO)發布當事人近用請求權實務準則英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2013年8月8日發布當事人近用請求權實務準則(subject access code of practice),以協助資料控制者遵循1998年資料保護法(Data Protection Act 1998,DPA)有關當事人行使近用權(access right)之規定。 根據DPA,任何資料主體都有權利接觸、查詢其被資料控制者擁有之個人資料,即當事人向資料控制者請求近用其個人資料之權利。當事人近用請求權實務準則闡明資料主體的查閱請求權、製給複製本請求權等權利,與資料控制者回應當事人近用請求權的責任,該項權利允許當事人查詢其信用卡紀錄、健康紀錄等資料,資料控制者一旦收到當事人請求,必需於40天內回覆。 ICO同時發布10項簡易步驟,以協助資料控制者衡量回應當事人近用請求權。內容包括:1.確認當事人提出之請求是否為當事人近用請求權;2.確保有足夠資訊可識別請求者的身分;3.若需要更多資訊以釐清請求者之需求,立即向請求者提出;4.若需收費,及時向請求者提出;5.確認是否有請求者需求的資訊;6.即使紀錄不正確或令人尷尬,都不要試圖更改該紀錄;7.衡量紀錄中是否含有他人資訊;8.確認是否有提供資訊之義務;9.確認能解釋資訊中的複雜名詞;10.於適當的情形下,永久保存回覆當事人資訊的副本。 這項實務準則將協助資料控制者更即時且有效地處理當事人對其資料近用請求之相關事項,同時證明資料控制者係以公開且透明之方式妥善管理其所蒐集之顧客資料。
美國產業安全局放寬對敘利亞的出口管制措施美國產業安全局(Bureau of Industry and Security)於2025年9月2日發布《放寬對敘利亞的出口管制》(Relaxing Export Controls for Syria)最終細則,此最終細則依《總統行政命令第14312號》(E.O.14312)修訂、放寬《出口管制規則》(Export Administration Regulations,以下簡稱EAR)對敘利亞的出口管制措施。 此次的修訂放寬重點如下: 1. 新增或擴大對敘利亞出口、再出口的許可例外(license exception)範疇 (1) 針對EAR第740部分為新增和擴張,如新增有關於敘利亞和平與繁榮(Peace and Prosperity)的許可例外,擴大EAR第740.9條許可例外之範圍至與消費性通訊裝置(Consumer Communications Devices)相關的貨品及軟體; (2) 為了允許對敘利亞出口、再出口新增的許可例外情況,修訂EAR第746.9條第b項一般限制條款。 2. 對敘利亞出口、再出口採取更寬鬆的許可審查 (1) 於EAR第746.9條第c項第1款特定最終使用情況(如電信通訊、水供應和衛生、電力等)採取推定同意(presumption of approval licensing); (2) 其餘最終使用的出口和再出口許可申請,依EAR第746.9條第c項第2款以逐案審查(case-by-case)的方式為之。 3. 刪除部分條文 例如EAR第746.1條第a項第3款刪除適用《第二號一般命令》(General Order No. 2.)之內容,而交叉參照EAR第746.9條。
FCC推動電線寬頻上網(BPL, broadband over power line)服務FCC日前發佈一份關於電線寬頻上網之備忘錄命令及意見(MO&O, Memorandum Opinion and Order),除了再度確認FCC於2004年時就接取電線寬頻上網系統所為之決議外,同時也否決業餘無線電社群、電視廣播業者、航空工業等所提出限制電線寬頻上網之要求,但FCC採納保護無線電天文台以及航空站使免於電線寬頻上網干擾之規定。 FCC表示,推動電線寬頻上網可以幫助居住於鄉村地區之美國民眾接取高速網路,而且目前寬頻網路市場的主導者有線電視網路上網(cable)業者及數位用戶迴路業者(DSL)亦將會因電線寬頻上網之發展而被迫降價,讓消費者可以更低廉的價格接取寬頻網路。不過,FCC委員Michael Copps 提醒,雖然眼前FCC在電線寬頻上網以及可能產生之干擾間似乎已達成平衡,但FCC仍應繼續密切關注電線寬頻上網對其他使用者之干擾問題,尤其在卡崔那(Katrina)颶風的慘痛經驗中已證實業餘無線電之發展與貢獻具有高度價值,因此,對於電線寬頻上網可能對業餘無線電用戶之干擾部分應格外注意。