歐盟資通安全局公布《提升歐盟軟體安全性》研究報告
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。
本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。
報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括:
- 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。
- 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。
- 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。
- 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。
- 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。
本文為「經濟部產業技術司科技專案成果」
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
何穎欣
研究助理 編譯整理
許祐寧,〈數位歐洲計畫(Digital Europe Programme)〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8268(最後瀏覽日:2020/08/04)。
美國國家標準技術局(the National Institute of Standards and Technology,NIST) 建立網路專頁,提出聯邦各部會所研發技術的移轉計畫報告,揭示各部會具體執行白宮在去(2011)年10月28日所發布的總統備忘錄(Presidential Memorandum),要求各聯邦實驗室進行技術研發並提高移轉給私部門之比例,以使政府投資之研發成果可以供大眾市場所用,以進一步加速經濟成長與提昇美國產業競爭力。 觀察白宮所發布的政策文件指出,聯邦政府將創新技術研發,視為刺激經濟的一個重要工具,而有效的技術移轉又是成功的技術研發的重要驅動力,故歐巴馬政府啟動美國計畫(Startup America Initiative)將政府研發技術的移轉作為重要支柱之一,並預計於5年內達成具體成績。 於NIST網頁公布之13個聯邦部會所提出之執行計畫,包括各機關自訂目標與評量標準,以評估刺激技術移轉計畫之成效。而作為美國產業技術研發與標準制訂之主要推動機構,NIST的技術移轉計畫將調整技術移轉的定義與內涵,俾更為精確地反應和評估廣泛的技術研發活動。未來NIST將擴張各項衡量指標,如標準參考物質和數據(Standard Reference Materials and Data)、專利授權、共同研究等的追蹤範圍,此外包括軟體下載、研究人員、新創公司等亦納入新的衡量指標範圍之內。同時在完善技術移轉活動追蹤機制方面,NIST將建立內部人員參與私部門統一標準制訂委員會之資料庫。 包括NIST在內以及美國商業部與其他各主要進行產業技術研發的聯邦部會之技術移轉計畫,揭示了技術移轉在美國技術研發活動週期中的重要性,具體執行、評估之方式,可自NIST專頁進行下載、分析並作為政策規劃之參考。
國際可再生能源組織發布2021年約旦可再生能源進度評估報告2020年7月,約旦能源與礦產資源部發佈「約旦能源綜合戰略(2020-2030)」,主要著重於下列三點:一、提升再生能源發電比例,降低能源進口量。將本地能源發電比例提高,同時降低石油衍生品於能源結構和發電總量中之比例。二、暫停核電項目計畫,未來約旦將不採用傳統來源生產更多之電力。三、降低碳排放量。 而在2021年2月時,國際可再生能源組織(IRENA)與約旦能源與礦產資源部透過視訊會議的討論結果,共同發布一份約旦可再生能源進度評估報告,指出約旦的可再生能源電量自2014年至2020年間,由幾近為零,增長約20%。 上開結果可能與約旦能源與礦產資源部重視太陽光電(PV)和風力發電的政策有關,包括整合產業發展的各種有利條件,如當地產業發展及所需之技術,以使收益最大化。此外,為使未來可再生能源更加增長,同時為了因應電網基礎設施(the grid infrastructure)的發展進度與可再生能源發展的進步不同,創造能源最終用途的需求及使其盡早電氣化,將成為未來政策上最重要的方向之一。
Ofcom宣佈將為身障者提供更為便利的電話服務英國電信管制機關Ofcom宣布,所有固網與行動電話業者將必須提供更為先進便利的「文字中繼服務(Text Relay Service)給所有聽力或語言障礙的民眾使用。文字中繼服務使聽力或語言障礙民眾能透過電話或文字電話(TextPhone)等設備而能與他人溝通,這項決定意味著所有的手機用戶將有機會獲得一個「下一代(next generation)」文字中繼服務,各種設備將能夠輔助身障者以更快、更流暢的交談速度與他人溝通。 Ofcom在經過文字中繼服務的審查研究後發現,目前的中繼系統以助理作為通話雙方的中介,進行語音與文字的轉換,反之亦然。然而研究發現,通話者對於對話速度的即時性與情感表達的完整性有提昇的需求,現在的系統通話的速度很慢,因為呼叫者只能輪流說話或輸入文字,無法即時快速如正常人一般的溝通。 因此Ofcom決定下一代文字中繼服務,在未來的18個月內將提供顯著的改進,包括: 語音雙向並行傳輸,透過網際網路的連接,允許通訊雙方可隨時插嘴,而無須等到一方的對話結束傳輸。如此將使交談雙方對話流動更快,有更自然的結果,新的服務也將支援更多種類的設備。為了達成這些改進,Ofcom將與產業、身障團體代表進行合作,探討當前和未來中繼服務所需語音辨識技術的精確度和速度的發展。Ofcom也將要求電信業者在未來提供視訊中繼服務,以確保身障者可以使用可靠的、先進的各種中繼服務,以幫助他們更容易溝通。
歐盟與美國宣布就新的跨大西洋資料傳輸框架達成原則性協議歐盟委員會與美國白宮於2022年3月25日發布聯合聲明,宣布雙方已就新的跨大西洋資料傳輸框架達成原則性協議。此舉旨在因應2020年7月歐盟法院(Court of Justice of the European Union)於Schrems II案的判決中宣告「歐盟—美國隱私盾協定」(EU-US Privacy Shield Framework)不符合歐盟一般資料保護規則(General Data Protection Regulation, GDPR)而無效。依照該聯合聲明,新的框架將在雙方間資料流動的可預測性、可監督性、可信賴性以及可救濟性等方面進行補強,以充分維護公民的隱私與自由權利。 目前,該框架仍處於原則性協議的階段,具體細節仍有待後續談判。聯合聲明指出,美國在下列三個方面做出了「重大承諾」: 加強控管美國的情報活動,以確保所追求國家安全目的適法,且所採取的手段係在必要範圍內,而未過度侵犯公民的隱私與自由。 建立具有約束力且獨立的多層次救濟機制,其中包含一個由非政府人員所組成的「個人資料保護審查法院」,並賦予該組織完全的審判權。 針對情報活動強化分層且嚴格的行政監督機制,以確保其合乎隱私與自由的新標準。 上述原則性協議的達成,表面上無疑是一項好消息,將有助於解決雙方跨境資料傳輸的法源爭議,並避免持續演變成嚴重的歐美貿易爭端。然而,美國政府能否順利將新框架轉化為具有約束力的國內行政命令,仍存在相當多的不確定因素。若結果為否,則最終亦難以達成取得歐盟根據GDPR所為「適足性認定」(adequacy decision)的政策目標。