歐盟資通安全局公布《提升歐盟軟體安全性》研究報告
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。
本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。
報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括:
- 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。
- 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。
- 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。
- 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。
- 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
何穎欣
研究助理 編譯整理
許祐寧,〈數位歐洲計畫(Digital Europe Programme)〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8268(最後瀏覽日:2020/08/04)。
日本著作權法在2018年修正時,在第35條針對教育相關資通訊(利用網路進行線上教學與傳送預複習資料)之權利對應規定進行增修。修正前,利用人在每次利用時,均需獲得個別權利人之同意並支付授權金;而修正後,僅需一站式的支付補償金即可,無須得到權利人之許可。 然而本條規定原訂於2021年4月施行,但因為新冠肺炎疫情蔓延影響,許多學校、教學機構因停課而使得線上教學之需求提高。日本文化廳為防止感染並考量停課措施有可能長期化,宣布將文學作品、論文及新聞記事等作為線上教學教材,自本月開始無須得著作權人之許可即可使用,亦即將修正施行日期大幅提前。 而作為日本著作權人補償金分配窗口之「教學目的公眾放送補償金管理協會」,也在今年(2020年)4月6日決定本年度相關作品之補償金以特例無償之方式處理。依據上開規定,本年度的線上教學,不論是文學或是音樂等作品,均無須取得著作權人之同意,即可免費使用。
英國國家統計局政府資料品質中心發布《政府資料品質框架》英國國家統計局(Office for National Statistics)轄下之政府資料品質中心(Government Data Quality Hub)為實踐英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport)發布之《國家資料戰略》(National Data Strategy),於2020年12月3日釋出《政府資料品質框架》(The Government Data Quality Framework),以達成國家資料戰略中「資料基礎(Data Foundation)」之核心目標。該框架提出「資料品質原則」(Data quality principles),旨在解決目前政府資料品質低落的問題。該原則包含以下五點: 一、確保資料品質:機關內部應建立有效的資料治理機制,例如培訓員工具備管理資料的能力、持續改進資料品質等。 二、了解使用者需求:機關應將使用者對資料品質的需求視為優先處理事項。 三、評估資料於資料生命週期各階段之品質:機關應密切關注資料於生命週期各階段之品質,並與使用者及利益關係人交換意見。 四、持續溝通資料品質:機關應持續與使用者交流資料品質現況,提供使用者有效的文件及中繼資料(metadata)。 五、了解造成資料品質低落的主因:分析造成資料品質低落的根本原因,從源頭徹底解決資料品質問題。 英國國家統計局政府資料品質中心希望藉由本框架揭示的資料品質原則,提升政府機關人員主動辨別及解決資料品質問題的能力,以改善政府資料品質、為人民帶來更高品質的資料,釋放資料價值並促進社會經濟發展。
一名挪威學生提供違法音樂下載連結被判侵權一名挪威學生,因執行校內某項計畫而在2001年架設了一個名為Napster.no的網站。該網站和知名的Napster.com並無關聯。由於Napster.no提供了可免費下載MP3音樂的連結,因而使該名學生遭到Universal Music AS等的著作權侵權指控,並被判賠15900美元。案經上訴,日前挪威最高法院已做出判決,下級法院的判決仍被維持。