歐盟資通安全局公布《提升歐盟軟體安全性》研究報告

  歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。

  本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。

  報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括:

  1. 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。
  2. 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。
  3. 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。
  4. 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。
  5. 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 歐盟資通安全局公布《提升歐盟軟體安全性》研究報告, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8522&no=55&tp=1 (最後瀏覽日:2026/03/20)
引註此篇文章
你可能還會想看
從國際體育項目認定方式觀電子競技正名

從國際體育項目認定方式觀電子競技正名 資策會科技法律研究所 法律研究員 丘瀚文 104年12月 壹、前言   電子競技目前仍無統一定義,本文對其定義是「利用電子設備,使參與者能在虛擬的空間中進行之競賽活動」。2015年10月26日臺北市產發局局長私下拜會教育部體育署,請求體育署將電子競技正名為體育項目,教育部雖未給予肯定回答,僅回覆需經由國際奧林匹克委員會(International Olympic Committee,下稱:國際奧會)及中華奧林匹克委員會認可,電子競技方能成為正式運動項目,可知電子競技已開始獲得官方注意[1]。   為何電子競技需要正名為體育項目?蓋現行電子競技選手多為年輕族群,常面對兵役、學業兩大方面問題,其中又以兵役問題影響最大,選手除了必須以延畢的方式躲避兵役,且無法至其他國家電子競技戰隊長時間服務,否則可能違反妨害兵役治罪條例之核准出境期限問題[2]。又現今社會普遍對於電子競技認識仍停留玩樂的印象,而並非產業鏈,此點造成電子競技贊助與推廣困難重重;而電子競技獲正名體育項目後,電子競技之贊助企業得依法減稅[3],可吸引更多廠商投資產業鏈,對整體電子競技產業推廣而言將獲益匪淺[4]。   既已得知電子競技正名體育項目重要性,故以下便從「體育項目認定依據」與「體育項目認定要件」兩方面分析之。 貳、評析 一、我國體育項目認定依據   依體育署2015年10月26日之新聞稿,我國當前推展運動政策主軸仍以發展奧運、亞運運動項目為優先考量,故對於「電子競技」列為運動項目的議題,該署認為尚須得國際奧會與國際單項體育總會聯合會(SportAccord,下稱:單體總會)認可方得為之[5]。   惟查我國體育法並無體育項目認定一詞,上開說法並無法令依據,其論述基礎應為教育部所提出之體育運動政策白皮書所稱「……目前我國體育政策目標為提升我國國際競技運動水準,故以奧運、亞運項目為主去做選手培育與全民推廣,因而體育發展重點集中傳統體育項目上」[6]。在此前提下,電子競技欲獲承認為正式體育項目,實僅須我國體育政策變更,體育項目之認即毋庸與國際奧會與單體總會之認定連結。惟現今政策尚未更改,以下便依現行政策,研析國際奧會與單體總會對於體育項目之認定標準,並對電子競技是否符合國際認定體育項目標準進行分析。 二、國際奧會與單體總會認定體育項目要件   我國於政策上要求體育項目需經由國際奧會與單體總會承認者方得成為我國正式體育項目,故以下即就國際奧會與單體總會體育項目認定標準進行研析。 (一)國際奧會體育項目之認定門檻   奧林匹克運動會競賽項目分為夏季與冬季,其設置和取消均由國際奧會全體委員決定。依據2002年國際奧會所發佈之奧林匹克計畫和建議,可列入夏季奧林匹克運動會計畫的新項目必須符合至少4個洲75個國家發展男子體育項目、至少3個洲40個國家發展女子體育項目;而冬季奧運會比賽項目則須至少有3個洲25個以上國家發展體育項目,方得列為冬季奧林匹克運動會項目[7]。 (二)單體總會體育項目之認定標準   單體總會是受少數受到國際奧會認可的國際性體育組織,在國際間管轄一項或多項動項目,並管轄區域性國際運動總會,如國際籃球總會FIBA、國際足球總會FIFA、國際游泳聯合會;其主要任務是負責運動項目的技術監督和行政管理方面的工作,具體作用則是制訂並推廣運動計畫並保證該運動計畫在全世界的開展[8]。   單體總會將運動分為心智、肢體、機動性、協調性、動物駕馭5大類,而所有運動均應包含如下5個要件[9]: 1.該項運動必須包含競爭的成分。 2.該項運動不能存有任何「運氣」成分。 3.該項運動不應對運動員或參與者的健康與安全造成過度的風險。 4.該項運動不能傷害任何生物。 5.該項運動不得僅依賴單一供應商所提供的設備。 三、電子競技通過國際體育項目審查的可能性   目前全球有正式法規、行文認可電子競技為正式運動項目的國家僅有中國、韓國、義大利、馬來西亞及美國,仍未達較低門檻之冬季奧運會承認項目標準,即3個洲合計25個以上國家發展體育項目,故目前電子競技恐無法通過國際奧會體育項目認定標準。   單體總會體育項目承認標準中,電子競技雖符合競爭成分要求、且未對運動員或參與者的造成安全過度風險與傷害生物,但要件中之「不能存有任何運氣成分」與「不得僅依賴單一供應商所提供的設備」則可能出現問題;因為電子競技中常常有所謂機率性的道具存在遊戲中,且知名遊戲製作常常依賴單一遊戲製造商所提供。   本文認為「單一供應商所提供設備」是忽略了電子競技比賽項目為數款遊戲,其無依賴單一或特定遊戲供應商。但在另一方面,由於電子競技機率性的道具影響,往往大於其他運動的不穩定因素(如天氣、濕度),致使其競爭公平性存疑;電子競技為一個集合名詞,其包含各式電子競技遊戲,縱使認為電子競技項目可納入全無機率性道具遊戲做為體育項目,亦難防因遊戲資料更新或遊戲代理商更易,而使遊戲內容改變為具有機率性道具之要素,故本文認為電子競技難以通過單體總會之體育項目認定標準。 參、結論   電子競技是否為正式體育項目現今固仍有爭議,惟根據資策會產業情報研究所(MIC)統計,台灣2014年遊戲業產值新台幣506億元,較2013年的453億元成長11.7%,產值已然不可小覷[10],產值逐年增加確是不爭事實,而我國在此電子競技領域競賽,獲得亮眼成績。電子競技更從硬體周邊、遊戲製作、競技賽事發展到轉播授權形成一個不可忽視的產業鏈。事實上,依《國民體育法》第1條,體育之目的為鍛鍊國民健全體格,培養國民道德,發揚民族精神及充實國民生活,而電子競技與智力體育項目如橋牌、象棋等類似,均具有培養國民道德與充實國民生活功能,亦符合當前《國民體育法》立法精神,也能達推動電子競技產業鏈目的。但礙於傳統社會觀感使電子競技推行面臨家長不贊同孩子投入、企業亦不願贊助的窘境,雖此問題並非一定要靠正名電子競技方式解決,但正名電子競技絕對是成本以及效果最顯著方式。因此,關於體育項目認定,本文認為應修正現行體育政策,使我國體育項目認定與國際體育團體認可脫鉤,使電子競技可獲得官方認可,擺脫民間負面印象並帶動電子競技周邊商品銷售,促進經濟成長。 [1] Zou Chi,〈電競才正名為運動項目 體育署不到半天就反悔〉,The News Lens 關鍵評論,2015/10/27,http://www.thenewslens.com/post/237818/ (最後瀏覽日期:2015/01/07) [2] 妨害兵役治罪條例第3條「役齡男子意圖避免徵兵處理,而有下列行為之一者,處五年以下有期徒刑一、徵兵及齡男子隱匿不報,或為不實之申報者。三、徵兵檢查無故不到者。七、核准出境後,屆期未歸,經催告仍未返國,致未能接受徵兵處理者。」(節錄) [3] 運動產業發展條例第26條「營利事業合於下列之捐贈,得依所得稅法第三十六條第一款規定以費用列支,不受金額限制: 一、捐贈經政府登記有案之體育團體。二、培養支援運動團隊或運動員。三、推行事業單位本身員工體育活動。」(節錄) [4] 周之鼎、洪聖壹,〈台灣電競之路(上):10年翻轉最速!電子競技產業須正名〉,ET遊戲雲,2015/11/09,http://www.new0.net/%E5%8F%B0%E7%81%A3%E9%9B%BB%E7%AB%B6%E4%B9%8B%E8%B7%AF(%E4%B8%8A)%EF%BC%9A10%E5%B9%B4%E7%BF%BB%E8%BD%89%E6%9C%80%E9%80%9F%EF%BC%81%E9%9B%BB%E5%AD%90%E7%AB%B6%E6%8A%80%E7%94%A2%E6%A5%AD%E9%A0%88%E6%AD%A3%E5%90%8D-1093122.html(最後瀏覽日期:2015/12/31) [5] 教育部體育署,〈對體育署將「電子競技」列為運動項目回應說明〉,2015/10/26,http://www.sa.gov.tw/wSite/ct?xItem=15870&ctNode=300&mp=11 (最後瀏覽日期:2015/12/31) [6] 教育部,〈體育運動政策白皮書〉,2013/09,http://www.sa.gov.tw/saAdmin/gipadmin/site/public/Data/f1392626664065.pdf?ctNode=1140&idPath=214_226_1140(最後瀏覽日期:2015/12/31) [7] OLYMPIC PROGRAMME COMMISSION,Review of the olympic programme and the recommendations on the programme of the games of the xxix olympiad, beijing 2008(2002), http://www.olympic.org/Documents/Reports/EN/en_report_527.pdf (last visited Dec. 16, 2015). [8] OLYMPIC.ORG,IOC statement on SportAccord(2015), http://www.olympic.org/news/ioc-statement-on-sportaccord/246251 (last visited Jan. 8, 2016) [9] SPORTACCORD,Definition of sport, http://www.sportaccord.com/about/membership/definition-of-sport.php (last visited Dec. 16, 2015). [10] 吳金英,〈遊戲軟體業:中國將取代美成為手遊大國〉,2015/08/04, http://www.topology.com.tw/news/newscontent.asp?ID=PC0AFD9B3B0K9N1HCPJQ1NT5P2 (最後瀏覽日期:2015/12/31)

開原碼授權 印度要走自己的路

  印度理工學院的 Deepak Phatak 啟動了一項建立 Knowledge Public License (知識公共授權,簡稱 "KPL" )的計畫,這種授權計畫允許程式人員跟他人分享自己的點子,但是同時保留軟體的修改權。它很像柏克萊軟體發行計畫或 MIT 授權計畫。目的是希望為建立一種環境,開發者既可以借助開放原始碼的合作力量,又能保護個人的利益。這項計畫還有助於舒緩開原碼運動和專屬軟體商之間日趨緊張的關係。    Phatak 的授權計畫有著先天的數量優勢。由於委外的興起和繁榮,印度已經成長為一個重要的軟體發展中心。 Phatak 也發起了一項 Ekalavya 計畫,鼓勵大家提出開原碼運動的新概念。

美國國會就外國情報偵察法提出修正草案

  美國民主黨國會議員針對「外國情報偵察法」(Foreign Intelligence Surveillance Act of 1978, FISA)提出修正草案,2007電子監察法案 (Responsible Electronic Surveillance That is Overseen, Reviewed and Effective Act of 2007, RESTORE Act of 2007),主要目的在提高政府部門對外國人進行電子監聽之門檻,以增加電子監聽之隱私保障。   在911恐怖攻擊事件後,美國有不少電信業者開放其網路供政府部門進行電子監聽。但是隱私保護團體認為此一行為對於美國民眾之個人隱私造成莫大傷害,並對各大電信公司提起訴訟。為協助配合政府監聽要求之電信業者免於此一民事訴訟糾紛,布希政府要求國會修正外國情報偵察法的同時,增訂溯及既往之條款,使過去曾配合政府之監聽要求的電話及網路服務提供業者能免責,不需面對高額求償之訴訟。   儘管隱私保護團體認為該修正草案對於隱私權之保護比現行法規更為周延,但仍認為美國國會還應立法要求政府對於本國人之電話或電子郵件訊息之監聽,必須事先申請獨立之搜索票。但布希政府指出,針對所有可疑目標之監聽均一一申請獨立搜索票將會花費過多時間,影響監聽之效率。   由於此一修正草案具有高度爭議,因此美國國會已於日前延後該修正草案之表決時間,以便就該修正草案進行更周詳之討論。

歐洲專利局(EPO)專利申請案件數量持續增加

  歐洲專利申請案件於2015再次創下新高,達到279,000件之多,較2014年多了近5000件,前五名的國家分別是;美國、德國、日本、法國、荷蘭。當中,向European Patent Office (EPO,歐洲專利局)提出專利申請的就有160,00o件(2014年為152700件),其中美國以及中國的專利申請案件數量頗具貢獻,較2014年增加了16.4%以及22.2%。此數據顯示了全球商業對於專利保護的重視。   EPO 負責人Benoît Battistelli 對此表示,這代表著歐洲不儘有著高度吸引力的科技市場使企業以及研發者爭相投入,更是全球創新能量的核心。   像是義大利和西班牙是在他們近四年來表現最好的一年,專利申請案件分別成長了9%、3.8%;同時,比利時為5.9%、英國為5.7%、荷蘭為3.3%、瑞士為2.6%。甚至也有大幅成長的國家,波蘭成長17.8%、立陶宛成長62.5%。不過,部分國家專利申請案件數量卻是持續下滑,德國下降了3.2%、芬蘭下降8.3%、丹麥下降2.7%。   另外,值得一提的是,不僅是非歐洲當地企業在歐洲的專利申請案件數量有所增加,歐洲當地企業或是研發者於歐洲以外地區的專利申請案件數量也有亮眼的表現,再次顯現了歐洲的創新潛力。   以產業別觀之,醫學科技相關專利申請案數量再次位於EPO中的第一名,成長了11%,引擎相關專利成長18%、 藥學相關專利成長10%、電腦相關專利成長8%。   然而,這樣的成長都與接下來在歐盟會員國之間要實施的單一專利政策有著高度關聯性。單一專利目前由EPO執行,相關的準備已於2015年就緒,包含內部結構的調整,以達到高效率高品質的專利審查過程(去年僅有48%的申請案成功取得歐洲專利)。   當中還有統一專利法庭的設置(United Patent Court),而真正的落實就等德國和英國國內進一步批准United Patent Court Agreement 。EPO對此表示樂觀的態度,認為2016年將會完成所有程序。   最後,歐洲專利開始在歐洲以外地區生效,版圖逐漸擴大。摩洛哥和摩爾多瓦在去年3月、11月都陸續成為非EPO會員卻簽署EPO相關協議,使得該協議法律效果於其國內產生效力。相信這樣的單一專利體制將會對我國有意進入歐洲市場的企業有所助益。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。

TOP