美國白宮頒布有關於太空系統的網路安全原則《太空政策第5號指令》
由於美國近年來透過太空系統進行通訊、定位導航、太空探索及國防等多方面應用,為避免太空系統受到網路威脅,白宮於2020年9月4日發布《太空政策第5號指令》(Space Policy Directive-5,SPD-5),該指令主要關注太空系統的網路安全,將現有地面使用的網路安全政策應用在太空系統中,旨在提高美國太空設施網路安全。
SPD-5指令建立以下五項太空網路安全原則,作為指導政府及民間單位提高太空系統網路安全的方法:
一、太空系統及相關軟硬體設施,應使用以風險等級為基礎的方式,進行開發運作並建構其網路安全系統。
二、太空系統營運商應制定太空系統網路安全計畫(應包含防止未經授權的存取行為、防止通訊干擾、確保地面接收系統免受網路威脅、供應鏈的風險管理等功能),以確保能掌握對太空系統的控制權。
三、監管機構應訂定規則或監管指南來實施SPD-5指令的原則。
四、太空系統的營運商及其合作對象應共同推動SPD-5指令,並盡力減少網路威脅的發生。
五、太空系統營運商在執行太空系統網路安全的保護措施時,應管理其風險承擔能力。
儘管SPD-5指令並未指示特定機構執行上開原則,但已有美國聯邦通信委員會將SPD-5之網路安全原則納入其法規中,未來SPD-5指令將有可能作為美國太空網路安全措施及法規訂定的基礎。
- Memorandum on Space Policy Directive-5—Cybersecurity Principles for Space Systems
- White House issues cybersecurity space policy
- White House Issues Space Policy Directive on Cybersecurity
- NEW WHITE HOUSE SPACE POLICY DIRECTIVE ADDRESSES CYBERSECURITY
- How Does Space Policy Directive-5 Change Cybersecurity Principles for Space Systems?
- Space Policy Directive-5 Establishes Comprehensive Cybersecurity Policy for Space Systems
- Cybersecurity Influencers React to Space Policy Directive 5
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
謝宜庭
法律研究員 編譯整理
The White House, Memorandum on Space Policy Directive-5—Cybersecurity Principles for Space Systems (2020/4 Sep),https://trumpwhitehouse.archives.gov/presidential-actions/memorandum-space-policy-directive-5-cybersecurity-principles-space-systems/ (last visited Jun. 15, 2021).
SPACE NEWS, White House issues cybersecurity space policy(2020/4 Sep), https://spacenews.com/white-house-issues-cybersecurity-space-policy/(last visited Jun. 08, 2021).
wiley, White House Issues Space Policy Directive on Cybersecurity (2020/8 Sep),https://www.wiley.law/alert-White-House-Issues-Space-Policy-Directive-on-Cybersecurity(last visited Jun. 27, 2021).
SpacePolicyOnline.com, NEW WHITE HOUSE SPACE POLICY DIRECTIVE ADDRESSES CYBERSECURITY (2020/4 Sep), https://spacepolicyonline.com/news/new-white-house-space-policy-directive-addresses-cybersecurity/(last visited Jun. 08, 2021).
Makena Young, How Does Space Policy Directive-5 Change Cybersecurity Principles for Space Systems?, Aerospace Security, (2020/14 Sep), https://aerospace.csis.org/how-does-space-policy-directive-5-change-cybersecurity-principles-for-space-systems/ (last visited Jun. 12, 2021).
Jonathan Bair, Space Policy Directive-5 Establishes Comprehensive Cybersecurity Policy for Space Systems, LMI Advisors, https://www.lmiadvisors.com/space-policy-directive-5-establishes-comprehensive-cybersecurity-policy-for-space-systems/(last visited Jun. 15, 2021).
Mark Holmes, Cybersecurity Influencers React to Space Policy Directive 5, Via Satellite, http://interactive.satellitetoday.com/via/november-2020/cybersecurity-influencers-react-to-space-policy-directive-5/(last visited Jun. 15, 2021).
美國醫療產業使用境內或境外雲端服務(Cloud Services)急速成長,導致「健康保險可攜與責任法」(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)規範下之「適用機構」(Covered Entities)與其「商業夥伴」(Business Associate),對於雲端服務業者如何適用HIPAA感到疑惑。因此,衛生及公共服務部民權辦公室(Department of Health and Human Services, Office for Civil Rights)於10月7日公布相關業者如何適用HIPAA之指引,以釐清爭議。 於該指引中,該部指出,雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」(Protected Health Information),則該雲端業者就被視為HIPAA下規範之商業夥伴,原因在於該服務具有儲存與維護醫療資訊功能,非屬該法排除適用之「網路服務業者」(Internet Service Providers)資料傳輸服務類型。 該指引有幾大重點:首先,雲端服務業者如將該醫療資訊提供加密儲存服務,仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者,雲端業者皆須與委託方簽署商業夥伴協議(Business Associate Agreements)。此外,使用雲端服務儲存資療資訊時,委託方皆能使用行動設備進入雲端儲存之醫療資料,但應建立合乎HIPPA所要求相關之安全措施。最後,HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者,但使用前應自行評估該資訊遭駭客攻擊之可能性。
英國數位、文化、媒體暨體育部公布「家用智慧裝置消費者指引」英國數位、文化、媒體暨體育部於2018年10月14日公布「家用智慧裝置消費者指引」(Consumer guidance for smart devices in the home)。該指引之目的係因應家用之智慧及聯網設備(例如:智慧電視、音樂播放器、聯網玩具或智慧廚房等)日益普及,以及可能發生之侵害消費者個人資料之風險。 本指引提出以下方向,供消費者參考: 一. 智慧裝置之設定 (一) 應閱讀與遵循智慧設備之設定指示。 (二) 確認設備指示是否要求使用者須至製造商網站設定帳號。 (三) 若所設備預設之密碼過於簡單(例如,0000),則應更換成較複雜之密碼。 二. 帳號管理 (一) 確保密碼複雜性。 (二) 若設備提供雙重驗證功能,消費者應使用之。 (三) 特定產品可能提供遠端存取功能,消費者應於不再家時考慮將該功能關閉。 三. 持續更新應用軟體與Apps (一) 消費者應檢查其設備是否可設定自動更新。 (二) 應安裝最新版本的軟體與Apps。 四. 若接到資安事件之通知,應採取行動 (一) 於接到資安事件通知後,應訪問製造商網站以確認其是否提供後續因應措施等資訊。 (二) 定時確認國家安全網路中心以及資訊保護委員會辦公室網站是否公布相關網路安全指引。
新加坡個人資料保護委員會發布資料保護專員之職能與培訓準則新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2019年7月17日發布資料保護專員之職能與培訓準則。基於新加坡個人資料保護法(Personal Data Protection Act 2012, PDPA)明文規範非公務機關必須設立至少一名資料保護長(Data Protection Officer, DPO),負責個資保護政策之制定落實、風險評鑑及個資事故處理等工作。為了使資料保護專業人員增強能力並於企業組織有效履行其職責,新加坡個人資料保護委員會就此特別發布此準則,將資料保護專員分為三種工作職能,九項專業能力,進而規劃相關培訓課程。 此準則使企業組織能就工作職能聘僱合適之資料保護專員,亦使相關專業人員能掌握清晰之職業生涯,確定自我能力與培訓課程之落差,進而調整有效實施組織之個人資料保護管理政策與流程。其分為資料保護專員、資料保護長、區域資料保護長,依據工作職能與職責區分如下: 一、 資料保護專員 需監視與評估組織之個人資料保護管理政策與程序,並確保其遵循新加坡個人資料保護法。 識別個人資料之風險,並提出風險管控之措施。 提供組織個人資料保護政策之實施與實踐證據。 定期檢視審核,分析現況並矯正改善。 識別並規劃利害關係人之需求與利益。 二、 資料保護長 制定並審查個人資料管理計劃。 根據組織職能,視需求與流程,執行個人資料保護與風險評鑑,並解決相關業務風險。 制定培訓計劃,舉辦個人資料保護政策與流程之教育訓練。 確保組織內部個人資料保護之意識。 根據業務營運與個資法遵要求之落差評估,並建立合規性流程。 透過客戶對隱私與個人資料保護之要求,做為日後促進資料創新之實施。 三、 區域資料保護長 監督資料傳輸活動,並提供個人資料保護法之領導指南。 建立區域創新之資料保護策略。 減少區域內之個資事故。 於資料創新之運用提供戰略性,為組織創造業務價值。 評估新興趨勢與科技,如隱私增強技術、雲端運算、區塊鏈、網絡安全之風險與可行性。 針對上述工作職能與職責,結合所需之專業能力,包括個人資料管理、風險評鑑管理、個資事故緊急應變、利害關係人管理、個人資料稽核認證、個人資料治理、個人資料保護之倫理、資料共享與創新思維,規劃基礎個人資料保護相關課程與進階資料創新課程,使其個人資料保護制度更專業具有規模。目前我國對於資料保護專員並無相關立法規範,若未來修法新加坡個人資料保護委員會之做法亦值參酌。
內政部、經濟部發佈「新建建築物節約能源設計標準」,自七月一日施行