日本內閣府研議「網路資訊安全判斷基準草案」並將作為未來機關處理共同標準

  日本內閣府網路安全戰略本部(サイバーセキュリティ戦略本部)於2017年7月13日第14次會議中提出對2020年後網路安全相關戰略案之回顧(2020年及びその後を見据えたサイバーセキュリティの在り方(案)-サイバーセキュリティ戦略中間レビュー-),針對網路攻擊嚴重程度,訂立網路安全判斷基準(下稱本基準)草案。對於現代網路攻擊造成之嚴重程度、資訊之重要程度、影響範圍等情狀,為使相關機關可以做出適當之處理,進而可以迅速採取相應之行動,特制訂強化處理網路攻擊判斷基準草案。其後將陸續與相關專家委員討論,將於2017年年底發布相關政策。

  本基準設置目的:為了於事故發生時,具有視覺上立即判斷標準,以有助於事故相關主體間溝通與理解,並可以做為政府在面對網路侵害時判斷之基準,成為相關事件資訊共享之體制與方法之基準。

  本基準以侵害程度由低至高,分為第0級至第5級。第0級(無)為無侵害,乃對國民生活無影響之可能性;第1級(低)為對國民生活影響之可能性低;第2級(中)為對國民生活有影響之可能性;第3級(高)為明顯的對國民生活影響,並具高可能性;第4級(重大)為顯著的對國民生活影響,並具高可能性;第5級(危機)為對國民生活廣泛顯著的影響,並具有急迫性。除了對國民及社會影響,另外在相關系統(システム)評估上,在緊急狀況時,判斷對重要關鍵基礎設施之安全性、持續性之影響時,基準在第0級至第4級;平常時期,判斷對關鍵基礎設施之影響,只利用第0級至第3級。

  本次報告及相關政策將陸續在一年內施行,日本透過內閣府網路安全戰略本部及總務省、經濟產業省與相關機構及單位之共同合作,按照統一之標準採取措施,並依據資訊系統所收集和管理之資料作出適當的監控及觀測,藉由構建之資訊共享系統,可以防止網絡攻擊造成重大的損失,並防止侵害持續蔓延及擴大,同時也將為2020年東京奧運會之資訊安全做準備。我國行政院國家資通安全會報目前公布了「國家資通安全通報應變作業綱要」,而日本以國民生活之影響程度標準列成0至5等級,其區分較為精細,且有區分平時基準及非常時期基準等,日本之相關標準可作為綱要修正時之參考。

相關連結
你可能會想參加
※ 日本內閣府研議「網路資訊安全判斷基準草案」並將作為未來機關處理共同標準, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7850 (最後瀏覽日:2024/05/23)
引註此篇文章
你可能還會想看
歐盟執委會發布無人機戰略2.0,創造大規模歐洲無人機市場

  歐盟執委會(European Commission, EC)於2022年11月29日發布「無人機戰略2.0」(Drone Strategy 2.0),以全球最先進的歐盟無人機操作與設置技術安全框架為基石,為歐洲無人機市場設定發展願景,並闡述歐洲在大規模擴展商用無人機的同時,將如何提供產業新契機。   歐盟除以無人機交通監管系統計畫(U-SPACE)進行政策推動外,為擴張歐洲無人機市場,歐盟執委會提出「創新空中移動」(Innovative Air Mobility, IAM)與「創新空中服務」(Innovative Aerial Services, IAS)等2項新概念。前者包括國際、地區與城市空中移動(Urban Air Mobility, UAM)概念,期待以定期載客服務實現最終全自動化、有效整合並補充既有運輸系統與服務,以及提出有助於改善交通運輸系統碳排放的去碳(decarbonisation)替代方案。此外,透過廣泛布建並整合地面與空中基礎設施,將使UAM成為未來城市複合式智慧移動生態系統(multimodal intelligent mobility ecosystem)之一部;而後者則涉及無人機多元應用,諸如緊急服務、測繪、巡檢、偵查與物流運輸,抑或最終實現全自動化空中計程車(Air Taxis)等創新應用型態,期待相關應用於2030年成為歐洲日常生活的一部份。   為實現上述願景,歐盟提出「建立聯盟無人機服務市場」與「加強歐洲民用、安全與國防產業能力與綜效(synergies)」等兩項目標,其中涵蓋十大領域(例如:改善空域能力、促進航空作業、發展IAM、提供資金與融資、確立關鍵技術模組化(critical technology building blocks)),並從中啟動十九項攸關操作、技術與財務的關鍵行動(例如:建立支持在地利害關係人與產業落實永續的IAM線上平台、推動通用標準、採用反制無人機系統(C-UAS)、協調共同方法以提供無人機操作所需之無線電頻譜等),為未來無人機空域與市場,建立妥適的監管與商業環境,並加強無人機營運商、無人機製造商、國防部門、反制(counter)無人機,以及U-SPACE等有關無人機價值鏈(value chain)就不同環節上之效率。

我國法制對於AR/VR發展之影響評估

我國法制對於AR/VR發展之影響評估 資策會科技法律研究所 法律研究員 王凱嵐 105年06月14日   隨著科技的進步,同時在大數據、物聯網及可穿戴式裝置發展下,未來AR/VR技術可運用之層面相當廣泛,諸如遊戲、視訊娛樂、醫療保建、教育、醫療保建等,具有成為繼智慧型手持裝置後另一重要軟硬體平台之潛力。   所謂AR即擴增實境,指將虛擬資訊擴增到現實空間中的技術。這並不是完全取代現實之空間,而是在現實生活中融合虛擬資訊,藉由攝影機的辨識技術與電腦程式的結合,使虛擬資訊得以正確的疊加或輔助式出現於現實空間中。另一方面,所謂VR即虛擬實境,指利用電腦技術模擬出一個立體、高擬真的3D空間。當使用者穿戴特殊顯示裝置,會產生身處不同於當下環境之空間,而在此虛擬的空間中,使用者得透過控制器(如搖桿)或鍵盤移動或互動。   根據Digi-Captial的預估,到2020年AR加上VR總市場規模可達1,500億美元[1]。由此可知此產業具有非常大的市場規模,未來無論在各個領域中,AR、VR技術將突破過往的模式,將所想像的事物或空間呈現於使用者/消費者眼前。除了提供新型態技術的服務體驗,同時業者也能在成本或資源有限的情況下,突破原有限制,提高產能。以下配合未來假設技術運用上之情境,進行我國法規範之盤點,標示可能涉及或衝突的現行規範,評估其影響並給予建議。 壹、應用領域   根據跨國投資銀行高盛集團針對AR、VR之發展趨勢、潛在應用領域進行分析和預測[2],其中包含遊戲、視訊娛樂、教育及醫療保健四項。 一、 遊戲:遊戲產業為當前在VR發展上最為成功的消費者市場。該技術運用在遊戲上,將給予遊戲玩家沉浸式的虛擬世界,提高遊戲體驗。而在未來VR結合網咖,提供不同的遊戲體驗。此種傳統的連線功能電腦遊戲附上VR虛擬實境的裝置,是否會出現全新的產業或遊戲類別,值得日後持續觀察。 二、 視訊娛樂:除遊戲產業外,視訊娛樂是另一個發展核心。使用者得穿戴VR眼鏡或頭盔,結合影音聲效觀看電影。未來若使用在電影院中,不同於傳統的3D眼鏡,VR給予使用者一全封閉式之虛擬環境,可不再被場地所侷限。惟拍攝此類電影或視訊畫面,須使用全景攝影機設備,造成製作成本較難以預測。 三、 教育:未來學校可運用此技術加強師生間之互動或提升學生學習意願。在遠距教學之運用,突破過去因距離或傳統教學的環境限制,提高整體教育品質。另一方面,在考證照(例如汽車駕訓)時也可透過虛擬實境完成,可不再被場地侷限(例如汽車教練場)。 四、 醫療保健:在醫療運用上,AR、VR的技術能幫助恐懼症或輔助醫學治療。而在遠距治療、診斷或照護行為上,得根據不同之情況提供不同的技術服務。在病患的身體狀況或居住環境,VR技術將給予相關醫護人員更好的判斷依據,增加正確及準確的治療、診斷及照護行為。 貳、涉及法規 一、 遊戲:當VR眼鏡運用在具連線功能之電腦遊戲上,則可能涉及「資訊休閒業管理自治條例」[3]提供場所及設備以連線或非連線方式結合資料儲存裝置,供不特定人從事遊戲娛樂之營利事業(例:網咖使用VR設備),在場所設置範圍上,將受到相關地方自治條例之限制規範。   而在個人或家用透過VR眼鏡與軟體遊結合,針對該遊戲內容,我國「遊戲軟體分級管理辦法」 之規定,對所有數位遊戲軟體發行上市皆須送審核並登錄分級等規範。除遊戲軟體業者須自律分級進行分級登錄,產品包裝與展示露出皆須標示分級。 二、 視訊娛樂:若未來將VR技術結合電影產業,在以營業為目的之電影播放場所使用VR眼鏡觀看電影。目前我國「電影法」[5]對於電影內容及相關行業有作出規範,惟透過穿戴式眼鏡或頭盔僅可視為電影放映之平台或載具。本法目前對於此技術之運用尚無限制。在非電影院之場地運用VR穿戴眼鏡播放電影,若符合電影法第三條電影片映演業定義,應遵守本法之規定。若僅附屬服務(例如民宿、飯店提供婦放映電影免費服務),若符合相關著作權[6]之規範,應無適用問題,仍得視為電影放映之平台或載具。 三、 教育:運用在遠距教學按現行法規之規定,應可視為符合互動方式之擴充服務,在取得學分問題上,並無疑慮。另一方面,若運用在汽車駕訓考試,目前我國「道路交通安全規則」第65條[7],駕駛執照考試應考科目為筆試及路考,單以駕駛訓練為目的則不會有影響。惟在取得駕駛執照的考試,並無法透過VR取得駕駛執照。 四、 醫療保健:在遠距醫療運用上,「醫師法」第十一條[8]中關於遠距診斷僅限於特定情況下方可行之,透過VR技術模擬實地效果之遠距治療或診斷,將受到法規上之限制。 參、結論建議   根據以上法規之彙整,首先在遊戲上與AR、VR技術的導入最具關聯性,不僅在內容上具備多元性且可獨立存取於顯示裝置外,與一般大型機台之儲存設備不同。其營業模式,可藉由出租顯示裝置及其周邊設備,供使用者連接各種平台上之各種內容或應用程式,類似資訊休閒業。   然而目前資訊休閒業者所提供或使用之遊戲軟體,必須依遊戲分級管理辦法規定,其內容須符合分級級別、登錄分級。未來建議可針對遊戲機類別可參考「遊戲軟體分級管理辦法」做出區分標準,將呈現內容由內容分級法令規範。同時藉此修法契機得釐清與「資訊休閒業」(目前無中央法規,僅各地方以自治條例形式進行規範)之認定關係(例如由中央增訂資訊休閒業專法)。   另在遠距治療、診斷、照護法規上,「醫師法」僅開放符合特定條件下(如偏遠地區或特殊急迫情形)以通訊方式詢問病情或診察。為避免日後認定上可能產生違法疑慮,得建議中央主管機宜用行政函釋之方式,釐清模糊空間利於相關產業之發展。未來AR/VR的技術運用層面上,是否排除在法規之特定條件下方可適用之規定?此點仍須考量該技術上發展能進展到何地步。   最後,在技術驗證上運用VR(例如汽機車駕駛訓練或考試),根據我國「道路交通安全規則」駕駛執照考試應考科目為筆試及路考。建議可透過行政函釋釐清路考得否透過虛擬實境為之,並可在訓練時加進虛擬實境項目,提升學員在考照前、通過後更好的準備。利用行政函釋得消除法規適用上之疑義。   透過分析未來新科技運用所產生出的法制障礙,預先設想可能對該產業造成之影響。AR/VR技術未來勢必會帶給人們新的社會生活型態,相關的技術廠商也不斷推層出新。而台灣不可在這個領域錯失先機,故在法規與運用上須取得平衡點,用以增進未來我國在虛擬實境產業上發展之實力。 [1] 鉅亨網,<VR產品迎密集上線潮 虛擬現實產業全球盛宴開啟>,2016/03/01,http://news.cnyes.com/Content/20160301/20160301160032997491410.shtml (最後瀏覽日期:2016/05/27) [2] VREYES,<vr來了,行業標準今年形成?>,2016/03/18,http://www.vreyes.cn/observation/topics/4341.html(最後瀏覽日期:2016/05/30) [3] 目前僅部分地方政府針對資訊休閒業制定專法。 [4] 遊戲軟體分級管理辦法第十條「發行或代理遊戲軟體之人於其遊戲軟體上市前,應依本辦法之規定標示分級資訊。但非由前述之人所供應之遊戲軟體,應由實際供應者依本辦法之規定負分級義務。前項之人應將遊戲軟體分級級別及情節登錄於中央目的事業主管機關之資料庫,供分級查詢。遊戲軟體產品包裝及遊戲軟體說明、下載或起始網頁之內容,不得逾越該遊戲軟體之分級級別。」 [5] 電影法第九條「申請電影片、電影片之廣告片審議分級者,應填具申請書,並檢附相關文件、資料,報中央主管機關核准。電影片、電影片之廣告片非經中央主管機關審議分級並核准者,不得映演。但教育行政機關主管之教學電影片,不在此限。電影審議分級不得逾越比例原則。為辦理電影片之審議分級業務,中央主管機關應組成電影片分級審議會,其成員應包括政府機關代表、各相關領域具有學術或實務經驗之學者、專家。前項電影片之審議分級業務,中央主管機關得委託民間專業團體辦理。電影片分級審議會之審議結論應予公開,並逐項具體敘明理由。」 [6] 著作權法第25條「著作人專有公開上映其視聽著作之權利。」 [7]道路交通安全規則第六十五條「申請汽車駕駛執照考驗者,其應考科目為筆試及路考。筆試不及格者,不得參加路考,但依第六十九條核准在原訓練機構辦理考驗者,其結業學員得先參加路考,及格後再行筆試。」(節錄) [8]醫師法第十一條「醫師非親自診察,不得施行治療、開給方劑或交付診斷書。但於山地、離島、偏僻地區或有特殊、急迫情形,為應醫療需要,得由直轄市、縣 (市) 主管機關指定之醫師,以通訊方式詢問病情,為之診察,開給方劑,並囑由衛生醫療機構護理人員、助產人員執行治療。前項但書所定之通訊診察、治療,其醫療項目、醫師之指定及通訊方式等,由中央主管機關定之。」

歐洲網路暨資訊安全局發布「重要資訊基礎設施下智慧聯網之安全基準建議」

  歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)於2017年11月20號發布了「重要資訊基礎設施下智慧聯網之安全基準建議」。該建議之主要目的乃為歐洲奠定物聯網安全基礎,並作為後續發展相關方案與措施之基準點。   由於廣泛應用於各個領域,智慧聯網設備所可能造成之威脅非常的廣泛且複雜。因此,了解該採取與落實何種措施以防範IOT系統所面臨之網路風險非常重要。ENISA運用其於各領域之研究成果,以橫向之方式確立不同垂直智慧聯網運用領域之特點與共通背景,並提出以下可以廣泛運用之智慧聯網安全措施與實作:   (一) 資訊系統安全治理與風險管理   包含了與資訊系統風險分析、相關政策、認證、指標與稽核以及人力資源相關之安全措施。   (二) 生態系管理    包含生態系繪製以及各生態系的關聯。   (三) IT安全建築    包含系統配置、資產管理、系統隔離、流量過濾與密碼學等資安措施。   (四) IT安全管理   帳戶管理與資訊系統管理之相關安全措施。   (五) 身分與存取管理   有關身分確認、授權以及存取權限之安全措施。   (六) IT安全維護   有關IT安全維護程序以及遠端存取之安全措施。   (七) 偵測   包含探測、紀錄日誌以及其間之關聯與分析之安全措施。   (八) 電腦安全事件管理   資訊系統安全事件分析與回應、報告之資安措施。

RFID電子式護照的應用與法律爭議

TOP