德國聯邦政府提出《資訊科技安全法2.0》草案

　　相較於綠色採購（Green public procurement, GPP）所揭櫫的於採購產品、服務或勞務時選擇於其生命週期中對於環境造成衝擊較小者，循環型採購（Circular Procurement）可說是在綠色採購的基礎上，加入循環經濟（Circular Economy）強調最大化資源利用效率的概念，使對於環境的影響與衝擊並非唯一的標準，而應考量產品、服務或勞務對資源的利用效益。 　　歐盟執委會於2017年10月發布《循環經濟公共採購範例與指引》（Public Procurement for A Circular Economy: Good Practice and Guidance），其中指出循環型採購的意義在於促進歐盟邁向循環經濟轉型，藉由循環型採購所創造的需求，達成循環經濟所強調封閉資源循環（Closing the Loop）以最大化資源利用效率的概念，並肯認政府採購為推動循環經濟轉型的重要誘因之一。 　　具體的循環型採購做法，包含選擇具高度資源循環利用性的產品，例如可維修、再利用或利於回收再循環的產品，以及以採購服務代替採購硬體等，透過循環型採購對於資源利用效率的重視，支持符合循環經濟概念的產品設計、研發技術與商業模式等創新成果，與提出這些解決方案的企業或團隊，進而達成促進社會邁向循環經濟轉型與永續發展的目標。

　　依據2013年11月27日通過之藥物供應鏈安全法（Drug Supply Chain Security Act, DSCSA），美國食品與藥物管理局（US Food and Drug Administration, FDA）於2019年2月7日公布新的領航計畫（Pilot Program）。此計畫主要的目標在於發展電子協同運作系統（electronic, interoperable system）以降低不合規範的藥物於市場流通的可能性，並提升患者的用藥安全。 　　此運作系統預計於2023年開始正式實施，其主要的功能包含辨識（identify）或追蹤處方藥物（prescription drugs）於供應鏈中的流通狀態，以及排除非法藥物進入供應鏈。於後者的情形，此運作系統將同時協助相關主管機關在非法藥物於市場中流通時迅速反應。FDA進一步指出，為達到這些目的，將引入區塊鏈（blockchain）等已使用在全球食品供應鏈（global food supply chains）的管理技術，以促進系統運作過程中的可追蹤性（traceability）及準確性。 　　此計畫於2019年2月8日到3月11日間接受加入申請，FDA鼓勵供應鏈中的相關人員，包含製造商（manufacturers）、再包裝商（repackagers）及其他利害關係人（other stakeholders）加入並試行計畫中開發的運作系統等技術，以加強產品使用狀況的管理。此外，FDA未來將持續公布相關的指引草案，如藥物辨識指標（product identifiers）等，以提升產業利用性及藥物使用的安全性。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。