美國國防部發布《國防部資訊技術發展戰略》,以促進IT變革並為未來奠定基礎
美國國防部(Department of Defense, DoD)於2024年6月25日發布「關鍵點:國防部資訊技術發展戰略」(Fulcrum:DoD Information Technology (IT) Advancement Strategy),將持續促進DoD之IT變革,並為未來奠定基礎。
本戰略描述作戰人員在推動IT方面應達成之目標與重要性,並列出提供聯合作戰IT能力、資訊網路與運算現代化、最佳化IT治理、栽培第一數位人力等四大目標(Line of Effort, LOE),簡述如下:
(1)提供聯合作戰IT能力(Provide Joint Warfighting IT Capabilities):在現今不斷變化且充滿競爭的全球環境中,該目標以使用者為中心,提供具功能性、可擴增、永續且安全之IT功能。並以改善作戰人員可用資訊為重點,以利在快節奏、多領域(multi-domain)作戰中獲得決策與競爭優勢。
(2)資訊網路與運算現代化(Modernize Information Networks and Compute):該目標著重於迅速滿足任務與商務需求,利用卓越技術與以資料為中心的零信任(Zero Trust)資通安全方法,提供安全且具更快資料傳輸速度、更低延遲與高度彈性的現代化網路。
(3)最佳化IT治理(Optimize IT Governance):該目標將提高傳送效率、節省成本,且透過從治理到資料獲取系統的簡化政策,以轉變治理制定更好的決策,包括使用強大資料功能。
(4)栽培頂尖的數位人才(Cultivate a Premier Digital Workforce):該目標將確保作戰人員為新興技術之布署做好準備,並持續致力於識別、招募、發展並留住最佳數位人才。其擴展DoD網路人力框架(DoD Cyber Workforce Framework, DCWF),著重於更廣義的數位人力,包括資料、人工智慧、軟體工程的工作角色。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
江敔菲
副法律研究員 編譯整理
Department of Defense [DoD], Fulcrum:DoD Information Technology (IT) Advancement Strategy, https://dodcio.defense.gov/Portals/0/Documents/Library/FulcrumAdvStrat.pdf(last visited Sep. 3, 2024)
周晨蕙,〈日本立法保護及促進重要經濟安全資訊之利用〉,資策會科技法律研究所,2024年8月,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9233(最後瀏覽日:2024/09/03)。
柯郁萱,〈歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性〉,2024年5月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9170&no=64(最後瀏覽日:2024/09/03)。
劉心妍,〈美國國土安全部發布「2024人工智慧路線圖」,確保AI安全開發與部署〉,資策會科技法律研究所,2024年6月,https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9184(最後瀏覽日:2024/09/03)。
羅文妗,〈德國聯邦內政部提出2025年數位政策計畫,加強推動國家行政數位化〉,資策會科技法律研究所,2022年8月,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8856(最後瀏覽日:2024/09/03)。
2019年7月24日歐盟執行委員會公布保障歐洲安全之措施,其中針對網路安全部分,將以2017年宣布之網路安全措施為基礎,建立網路安全相關之研究與協調單位,以投資培植歐盟更強大和更具開拓性的網路安全能力。該研究與協調單位預計於歐盟範圍內,以成員國內660多個網路安全專家中心的專業知識基礎,建立一個相互聯繫的網路安全產業和研究系統。此舉有助歐盟及成員國積極推行網路安全產業政策,並為產業和公共部門面臨的網路安全挑戰提出突破性解決方案。建立的相關研究與協調單位分別為: 一、歐盟網路安全產業科技研究能力中心(The European Cybersecurity Industrial, Technology and Research Competence Centre):此中心旨在培植網路安全能力社群,推動網路安全技術進程。並藉由分配補助金及執行採購來實踐數位歐洲及歐洲地平線計劃。 二、國家網路協調中心(Network of National Coordination Centres):每個會員國提名一個國家協調中心,為國家級聯絡點,負責聯絡網路安全能力社群及歐盟網路安全產業科技研究能力中心。國家網路協調中心是受國家支持採取行動的守門人(gatekeeper),同時可以向國家、地方系統提供資金。 三、網路安全能力社群(The Cybersecurity Competence Community):該社群為涉及網路安全技術的大型、開放及多樣化的組織。參與者有研究機構、供需產業雙方及國營部門。並為歐盟網路安全產業科技研究能力中心提供活動及工作計劃。
日本智財戰略本部成立兩專案小組並公布2015年度本部成員日本依據2013年6月發布之「智慧財產政策願景」,目前正由智慧財產戰略本部所屬之「檢證/評價/企畫委員會」,著手制定2015年度之智慧財產推進計畫。 此外,委員會並針對產業財產權領域下的「地方智財活用促進」和「智財紛爭處理」兩項課題設置專案小組,將分別就促進地方中小企業的智財活用、管理工作,以及創造有利於妥善設定、保護、活用專利權之專利紛爭處理機制等議題進行集中的檢討,作為智財戰略本部制定2015年度智財推進計畫之參考和依據。 而依日本智慧財產基本法第29條之規定,組成智財戰略本部之本部員,除包括總理大臣在內之內閣全體均為當然成員外,還將另由總理大臣任命對智財創造、保護和活用有優秀見識之民間專門人士擔任成員。就此,日本於2015年3月19日已公布2015年度之智財戰略本部成員名單,十位民間專門人士當中除了前日本專利師會會長奧山尚一、東京大學理事長五神真等人外,同時納入身兼京都精華大學校長身份的漫畫家竹宮惠子、總合科學技術創新會議議員原山優子、專精於智財及競爭法的律師宮川美津子以及東北電子產業股份有限公司總經理山田理惠等四位女性部員,成員背景囊括產業財產權和內容著作權之產業、學研、實務界專門人士。
英國資訊委員辦公室表示個人資料之處理應遵循GDPR,公務機關也不例外自西元2017年1月以來,英國稅務海關總署(Her Majesty's Revenue and Customs, HMRC)開始要求英國民眾使用線上語音方式進行身分認證,而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室(Information Commissioner's Office, ICO)深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形: 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。 蒐集民眾的生物識別資料時,未能給予民眾自由行使同意或拒絕權利的機會。 英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則(General Data Protection Regulation, GDPR),根據歐盟一般資料保護規則,英國稅務海關總署在蒐集、處理或利用民眾個人資料時,必須合法、公正及透明,並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。 本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法(The Data Protection Act 2018),英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆,但絕不能以犧牲民眾的隱私為代價,同時也隱約透露著:「沒有一個組織(包含政府機關)能夠凌駕於法律之上。」。
日本發布《IoT產品資安符合性評鑑制度建構方針》順應國際IoT產品資安政策趨勢日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》(IoT製品に対するセキュリティ適合性評価制度構築方針),以順應國際IoT產品資安政策趨勢,因應日益嚴重的資安威脅。 本制度為自願性認證制度,由情報處理推進機構(情報処理推進機構,簡稱IPA)擔任認證機構進行監督。以IoT產品為適用對象,制定共通因應資安威脅之最低標準,再依不同產品特性需求,制定不同符合性評鑑等級,依評鑑結果進行認證,授予認證標章。不同評鑑等級差異如下: 1.等級一:為共通因應資安威脅之最低標準,可由供應商進行自我評鑑,並以評鑑結果檢查清單申請認證標章,IPA僅會針對檢查清單進行形式確認。 2.等級二:係考量產品特性後,以等級一為基礎,制定應加強之標準,與等級一相同係由供應商評鑑,自我聲明符合標準,IPA僅會針對檢查清單進行形式確認。 3.等級三:係以政府機關或關鍵基礎設施業者為主要適用對象,須經過獨立第三方機構評鑑,並以IPA為認證機構進行認證,確保產品值得信賴。 本制度可協助採購者及使用者依資安需求,選用合適的IoT產品,亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作,達成相互承認,減輕IoT產品供應商輸出海外之負擔。