歐盟資通安全局(ENISA)提出資通安全驗證標準化建議
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。
受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。
ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎:
- ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。
- IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。
- EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。
然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 新創不容忽視的數位行銷「蝴蝶效應」 如何運用數位力為企業注入新生命
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
張腕純
組長 編譯整理
Standardisaion in Support of the Cybersecurity Certification, ENISA, https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i (last visited Apr. 26, 2020).
EUROPEAN UNION AGENCY FOR CYBERSECURITY [ENISA], Standardisaion in Support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to Cybersecurity Act (Feb.4, 2020), https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i/at_download/fullReport (last visited Apr. 26, 2020).
European Union Agency for Cybersecurity (ENISA) Publishes Two Studies on Standardisation and Cyber Security, WiGGiN, https://www.wiggin.co.uk/insight/european-union-agency-for-cybersecurity-enisa-publishes-two-studies-on-standardisation-and-cyber-security/ (last visited Apr. 26, 2020).
英國通訊傳播管理局(The Office of Communications, Ofcom)於2024年5月21日發布「行動網路與Wi-Fi混合共享上層6 GHz 頻段之重要性」(Mobile and Wi-Fi in Upper 6 GHz: Why hybrid sharing matters)文件,指出為促進稀缺頻譜資源有效利用,需實施創新頻譜共享機制,以便為更多用戶提供服務。有鑑於2023年世界無線電通訊大會(World Radiocommunication Conference 2023, WRC-23)決議上層6 GHz(6425-7125 MHz)為國際行動通訊(International Mobile Telecommunications, IMT)使用頻段,同時承認該頻段可供Wi-Fi等無線接取系統(wireless access systems)使用,因此Ofcom初步探索出兩種可能分割方式,並於文件中分享,期望透過靈活混合共享機制,在與其他既有使用者共存之同時服務更多用戶: 1.可變頻譜分割(Variable spectrum split): 此方法將上層6GHz分割為Wi-Fi及行動網路優先頻段,Wi-Fi和行動網路可於各自優先頻段中自由布建,亦可於不干擾對方之前提下,於對方之優先頻段布建。 2.室內外分割(An indoor/ outdoor split): 此方法以建築物做為兩技術運作之分界,於室外及淺層室內(shallow indoor)區域布建6GHz行動網路,以降低既有3GHz行動通訊服務之負載;6GHz覆蓋不到之範圍,則仍由3GHz提供服務。室內大部分區域則分配給Wi-Fi布建,降低兩技術重疊布建情形,確保資源有效運用。 未來Ofcom將持續與業界合作開發其他混合共享框架技術與解決方案,計劃於2025年發布有關此主題之技術報告,早日實現行動網路與Wi-Fi之共享機制。
論析各國之企業智慧資產揭露機制 澳洲擴大對中小企業之政府採購競爭機會聯邦採購規則(Commonwealth Procurement Rules)為澳洲財政部(Australia Government Department Of Finance)依公共治理、績效及課責法(Public Governance, Performance and Accountability Act 2013)授權所訂定之採購規範。澳洲財政部於2024年發布新修正之聯邦採購規則,並於同年7月1日生效。 新修正之聯邦採購規則除維持現行架構及核心精神外,另增訂聯邦供應商行為準則、擴大經濟效益評估、促進性別平等等措施,同時也擴大對中小企業之支援與協助。 為確保中小企業參與政府標案之公平競爭,新修正之聯邦採購規則要求澳洲政府在評估採購案時應適當提供中小企業競爭機會,並以符合最佳性價比之原則考量下列事項: 一、 向具有競爭力之中小企業進行採購之效益; 二、 中小企業參與競標之障礙,如投標之資金成本; 三、 中小企業之能力及對地區市場之貢獻; 四、 增加潛在供應商數量以最大化競爭所產生之效益,包含在合適之情況下,將大型專案拆分為數項小型專案。 此外,新修正之聯邦採購規則要求聯邦機構提高對中小企業採購之比例。依新修正之聯邦採購規則第5部分,超過澳幣10億元之採購契約,採購總金額中至少25%應係向中小企業採購,較修正前提高5%;超過澳幣2,000萬元之採購契約,採購總金額中則至少應有40%係向中小企業採購,較修正前提高5%。 本次修正是考量中小企業對於澳洲經濟有所貢獻,因此提高中小企業之採購比例,預計修正後亦可讓更多中小企業獲得採購機會。
美國「2009年經濟復甦暨再投資法」大幅度修正HIPAA隱私權條款2009年02月17日美國總統簽署通過「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, ARRA),將醫療產業列為重點發展項目之ㄧ,擬由政府預算進行醫療資訊科技化計畫,俾使電子病歷的傳輸與交換得兼顧效率及安全。而以規範醫療資訊安全為主的「醫療保險可攜及責任法」之隱私權條款(HIPAA, Privacy Rule),亦因此有重大修正。 其中,最主要的變革在於擴充HIPAA的責任主體,由原有的健康照護業者、健康計畫業者及健康照護資訊交換業者,擴充至凡因業務關係而可能接觸個人健康資訊的個人或業者,包含藥劑給付管理公司、代理人及保險業者等,這些機構或個人原本與醫療院所或病患間係依據契約關係進行責任規範,但被納入HIPAA的責任主體範圍後,則需依此負擔民、刑事責任。 而於加強資訊自主權部份,亦有數個重要變革如下:(一)責任主體之通知義務:依據新規定,資料未經授權被取得、使用或揭露,或有受侵害之虞時,責任主體應即早以適切管道通知資訊主體有關被害之情事,以防備後續可能發生的損害。(二)資訊主體之紀錄調閱權:以往資料保管單位得拒絕個人調閱健康資料運用紀錄之請求,有鑒於病歷電子化後,保存及揭露相關紀錄已不會造成過重負擔;依據新規定,資訊主體有權調閱近三年內個人健康資料被使用次數及目的等紀錄。(三)資訊主體資料揭露之拒絕權:以往責任主體得逕行提供個人醫療資訊作為治療、計費及照護相關目的之使用,無論資訊主體曾表達拒絕之意與否;依據新規定,資訊主體得禁止其向保險人揭露相關資訊,除非保險人已全額支付醫療費用。 以上HIPAA之新增規範,預計於2010年02月17日正式施行。