歐盟資通安全局(ENISA)提出資通安全驗證標準化建議
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。
受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。
ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎:
- ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。
- IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。
- EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。
然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
張腕純
組長 編譯整理
Standardisaion in Support of the Cybersecurity Certification, ENISA, https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i (last visited Apr. 26, 2020).
EUROPEAN UNION AGENCY FOR CYBERSECURITY [ENISA], Standardisaion in Support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to Cybersecurity Act (Feb.4, 2020), https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i/at_download/fullReport (last visited Apr. 26, 2020).
European Union Agency for Cybersecurity (ENISA) Publishes Two Studies on Standardisation and Cyber Security, WiGGiN, https://www.wiggin.co.uk/insight/european-union-agency-for-cybersecurity-enisa-publishes-two-studies-on-standardisation-and-cyber-security/ (last visited Apr. 26, 2020).
新加坡自今年(2018年)1月5日起推動「醫療服務法案(Healthcare Services Bill)」之制定,該法案預計取代現有「私人醫院和醫療診所法(Private Hospitals and Medical Clinics Act)」。其中「國家電子醫療紀錄(National Electronic Health Record),下稱NEHR」將整合並改善國營醫療機構及非國營醫療機構兩種醫療紀錄無法互通之情形,而行動醫療及遠端醫療亦納入之。 根據目前之諮詢狀況(已於今年2月15日結束),提案單位衛生部(Ministry of Health)表示,由於現代醫療技術已趨近複雜,若能整合各醫療單位之就診紀錄,將可大幅提升醫療效率,特別是在急診的狀況下,整合過的單一病歷將可降低評估所需的時間。 而對於病患之個資方面保護,該部表示,首先,NEHR並不會蒐集全部患者的醫療參數,只有患者之核心醫療參數才會上傳至NEHR之資料庫內,此外亦不提供非醫療目的外之使用(例如就業及保險評估)。而為降低非法使用之機率,非法使用亦將處罰之。 另外為尊重病患個人之資訊自決權,NEHR亦提供了病患選擇退出機制(opt-out)以作為個資保護的最後屏障。然而該退出機制仍不同於一般的退出機制(即退出後不得蒐集、處理及利用),該機制僅禁止各醫療機構讀取該病患之醫療紀錄,但是各該機構依NHER之架構仍應將每次就診紀錄上傳之,此一設計係避免緊急情況下或病患同意讀取電子病歷時,卻無醫療紀錄可供查詢之窘境。
國際產業創新合作策略實例 – 歐盟之歐洲科技與創新機構(EIT) 日本發布創新治理報告書,主張強化企業等對法規範形成的實質參與日本經濟產業省於2020年7月13日發布「創新治理:實現Society5.0的法規與結構設計(GOVERNANCE INNOVATION: Society5.0の実現に向けた法とアーキテクチャのリ・デザイン)」報告書。其作成背景係依據日本在去(2019)年G20峰會時,基於大阪框架(大阪トラック、Osaka Track)下的「可資信任的資料自由流通機制(Data Free Flow with Trust(DFFT))願景,所提出的創新治理目標。該目標指出,過往的治理模式主要依靠法律規範,但明顯已追趕不及數位化與創新的快速步伐,致生新型態風險無法獲得有效控管、法律可能阻礙創新等問題,因而有必要革新治理模式,以掃除創新活動的障礙。基此,就上述創新治理模式的必要性與方式,日本召集國內外法律、經濟、科技、經濟等各界專家徵求意見進行討論,彙整後作成本報告書。 本報告書主張,應擺脫法規範的設計、法遵與執行,均由國家主導的傳統模式,建立提高企業參與規範擬定與實施程度的治理型態。具體主要包含以下作法: (1)法規範制定層面:規範之制定方向,改以作成價值決定的目的導向為主。至於細節性的行為義務,包含企業如何在數位化的虛擬場域內,透過程式語言等途徑落實上述法目的,則應由該些企業、以及在虛擬場域活動的社群或個人等利害關係人共同參與擬定相關的指引或標準。 (2)法遵層面:如上(1)所述,未來法規範制定將轉為形塑價值與目的為主,不會明確訂定企業的行為義務,而交由企業來擬訂。企業所制定之行為規範能否達成法規範目的,則須仰賴企業主動揭露其法遵方法,供外界檢視。因此,除企業應採用創新手法達成法目的、並對內落實法遵事項的說明外,應運用各種內外部查核機制來控管風險。同時,應著手研發相關技術或措施,讓利害關係人得取用企業之即時資料,以隨時確認企業所採取方法有無達成法遵,實現有效監督。 (3)執法層面:政府應以企業之行為對社會產生影響的程度,作為執法標準。若遭遇AI參與決策而衍生的事故,不應歸責於個人,而應建立獎勵機制,鼓勵企業積極協助究明事故原因。另一方面,亦應推動訴訟與訴訟外紛爭解決機制的線上化(Online Dispute Resolution, ODR),例如共享經濟平台服務的認證機制與標準、就電商平台上發生的小額消費糾紛由平台透過公告罰則等方式抑止與處理糾紛。
澳洲於9月初生效《政府負責任地使用人工智慧的政策》(Policy for the responsible use of AI in government)2024年9月1日,澳洲生效《政府負責任地使用人工智慧的政策》(Policy for the responsible use of AI in government,下稱政策)。澳洲數位轉型局(Digital Transformation Agency,以下稱DTA)提出此政策,旨於透過提升透明度、風險評估,增進人民對政府應用AI的信任。 1. AI之定義 此政策採經濟合作暨發展組織(OECD)之定義:AI系統是一種基於機器設備,從系統接收的資訊進而產出預測、建議、決策內容。 2.適用範圍 (1)此政策適用於「所有非企業的聯邦個體(non-Corporate Commonwealth entities, NCE)」,非企業的聯邦個體指在法律、財務上為聯邦政府的一部分,且須向議會負責。此政策亦鼓勵「企業的聯邦實體」適用此政策。 (2)依據2018年國家情報辦公室法(Office of National Intelligence Act 2018)第4條所規定之國家情報體系(national intelligence community, NIC)可以排除適用此政策。 3.適用此政策之機構,須滿足下列2要件 (1)公布透明度聲明 各機構應在政策生效日起的6個月內(即2025年2月28日前)公開發布透明度聲明,概述其應用AI的方式。 (2)提交權責人員(accountable official,下稱AO)名單 各機構應在政策生效日起90天內(即2024年11月30日前)將AO名單提供給DTA。 所謂AO的職責範圍,主要分為: I.AO應制定、調整其機構採取之AI治理機制,並定期審查、控管落實情況,並向DTA回報;鼓勵為所有員工執行AI基礎知識教育訓練,並依業務範圍進行額外培訓,例如:負責採購、開發、訓練及部署AI系統的人員,使機構內的利害關係人知道政策的影響。 II.當既有AI 應用案例被機構評估為高風險AI應用案例時,通知DTA該機構所認定之高風險AI應用案例,資訊應包括:AI的類型;預期的AI應用;該機構得出「高風險」評估的原因;任何敏感性資訊(any sensitivities)。 III.擔任機構內協調AI的聯絡窗口 IV.AO應參與或指派代表參與AI議題之政策一體性會議(whole-of-government forums)。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)