歐盟2019電子政府基準報告

2023年6月來自美國法院的兩份營業秘密意見，強調了獨立經濟價值的重要性，並打破過往學者認為該要件沒有判斷實益的擔憂。所謂的獨立經濟價值，是指任何資訊若要成為營業秘密，所需具備源自其保密狀態的經濟價值。由於兩份意見都不允許原告透過薄弱之推論與假設，來證明其營業秘密具有獨立之經濟價值，顯示出法院對獨立經濟價值之認定趨勢的變化。 其中一份意見來自美國第四巡迴上訴法院，該法院認為原告未能提供充分的證據證明其營業秘密之價值，並駁回原告以該公司被收購之價格或授權其專有資料庫VulnDB所得收入，作為其75項涉案營業秘密經濟價值的論點。美國第四巡迴上訴法院強調，原告不僅需證明所主張之營業秘密具有經濟價值，尚需證明該經濟價值源自所主張之營業秘密的保密狀態。 另一份意見來自美國俄亥俄州北區地方法院，該法院駁回了原告透過其執行長的宣誓書來證明所主張之營業秘密具有獨立經濟價值的作法。儘管該宣誓書討論了法院經常認定為營業秘密的資訊，比如交易的形式、未經審計的財務報表等，但美國俄亥俄州北區地方法院仍拒絕主觀證詞，要求原告提供所主張之營業秘密具有獨立經濟價值的客觀指標或理由。 企業該如何證明其營業秘密具有獨立之經濟價值？ 企業可透過下列方式來證明其營業秘密具有獨立之經濟價值，包括： 1.開發成本：開發營業秘密的時間與材料成本，但過去的研發成本未必等於現在的經濟價值； 2.授權、租賃費：他人付費使用其營業秘密的事實； 3.內部通訊紀錄：他人承認該營業秘密所帶來的好處或前僱員、承包商與其競爭對手分享營業秘密的事實； 4.展現出優勢：透過營業秘密資訊獲得一份有價值的合約或滿足某些標準、條件之要求； 5.降低成本／提高效率：透過營業秘密減少原物料之投入及所需時間或提高生產之效率。 隨著美國法院對獨立經濟價值之認定趨勢的變化，營業秘密案件之原告所負的舉證責任將逐漸提高。據此，當企業欲提出不當使用營業秘密之損害賠償時，應盡早開始收集相關證據，以滿足法院對於營業秘密之獨立經濟價值的認定標準。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。

　　歐盟網路與資訊安全局於2016年11月（ENISA）提出醫院導入智慧聯網技術因應資訊安全之研究建議，此研究說明智慧醫院之ICT應用乃以風險評估為基礎，聚焦於相關威脅與弱點、分析網路攻擊情節，同時建立使用準則供醫院遵守。由於遠端病患照護之需求，將使醫院轉型，運用智慧解決機制之際，仍須考量安全防護問題，且醫院可能成為下一階段網路攻擊之目標，醫院導入智慧聯元件的同時，將增加攻擊媒介使醫院面對網路攻擊更加脆弱，因此，報告建議如下： 1.醫療照護機構應提供特定資訊安全防護，要求智慧聯網元件符合最佳安全措施。 2.智慧醫院應確認醫院內之物件及其如何進行網路連結，並根據所得資料採取相應措施。 3.設備製造商應將安全防護納入現有資安系統，並在設計系統與服務之初邀請健康照護機構參與。 　　在我國部分，2016年9月行政院生技產業策略諮議委員會議中即提到，強調將建立智慧健康生活創新服務模式，提供民眾必要健康資訊及更友善支持環境，同時結合ICT與精密機械及材料，發展智慧健康服務的模式。2016年11月，行政院推動「生醫產業創新推動方案」，藉由調適法規等方式統整醫療體系與運用ICT技術及異業整合，其中在智慧聯網應用下之資訊安全防護議題實屬重要。

韓國科學及資通訊部公布〈國家戰略技術培育計劃〉並選定12個國家戰略技術 資訊工業策進會科技法律研究所 2022年12月10日 　　韓國科學及資通訊部（Ministry of Science and ICT, MSIT）於2022年10月28日發布了[1]「國家戰略技術培育計劃」（National Strategic Technology Nurture Plan），同時選定12個國家戰略技術（national strategic technology）做為重點投資培育對象，其中包含半導體和顯示器、蓄電池（secondary cells）[2]、尖端移動技術（leading-edge mobility）、下世代核能、尖端生物科技、航太科技與海洋科技、氫能、網路安全、人工智慧、下世代通訊技術、尖端機器人技術與製造以及量子技術。 壹、韓國國家技術 　　除本文將提及以投資導向為主之國家戰略技術外，韓國尚有以技術保護導向為主之國家核心技術（national core technology）與國家高科技戰略技術（national high-tech strategic technology）。 　　韓國國家核心技術係規範於《防止產業技術外流及保護產業技術法》（The Act on Prevention of Divulgence and Protection of Industrial Technology）（以下簡稱產業技術保護法）；國家高科技戰略技術則規範於《加強保護國家高科技戰略產業競爭力特別措施法》（The Act on Special Measures for Reinforcement and Protection of Competitiveness of National Advanced Strategic Industries）（以下簡稱戰略產業法）。 　　韓國國家核心技術為國家高科技戰略技術的上位概念，亦即，國家高科技戰略技術係基於國家核心技術之基礎，再就對國家經濟與安全至關重要之技術進行篩選，故國家高科技戰略技術之保護措施較國家核心技術更為嚴格。此外，《戰略產業法》屬《產業技術保護法》之特別法[3]，因此，於涉及國家高科技戰略技術、產業時，《戰略產業法》之規定原則上優於其他法律，應優先適用《戰略產業法》。同時，因國家核心技術為國家高科技戰略技術之上位概念，且《產業技術保護法》為《戰略產業法》之普通法，除《戰略產業法》另有規定外，國家高科技戰略技術應適用《產業技術保護法》中關於國家核心技術之規定[4]。由上可知，韓國對涉及國家安全之技術給予全面且層級化之保護。以下再就兩項技術之規定簡要說明。 　　一、國家核心技術 　　如前所述，韓國國家核心技術係規範於《產業技術保護法》中，其旨在保護指定的產業技術，例如研發或生產所需的高科技資訊，以及防止具有高技術和經濟價值的國家核心技術洩露到國外[5]。並且，韓國將營業秘密與國家核心技術脫鉤，使技術持有人於洩漏國家核心技術時無法利用技術資訊是否符合營業秘密之要件等理由卸責。 　　國家核心技術依《產業技術保護法》第9條第1項[6]等條項規定，係由韓國產業通商資源部（Ministry of Trade, Industry and Energy）與各技術的主管機關和業界討論後選定。按韓國產業通商資源部2022年7月26日第2022-557號公告[7]，目前韓國預計將國家核心技術新增至75項，包含半導體及顯示器等韓國具有領先地位之產業技術。 　　《產業技術保護法》要求國家核心技術之持有人於利用受管制的技術進行境外投資時，應先通知韓國產業通商資源部，且該技術如受國家補助，應先取得許可。該法於2019年修訂後，新增第36條第1項[8]之規定，明定任何向其他國家洩露國家核心技術之人得處3年以上的有期徒刑，且得併科15億韓元以下之罰金[9]。 　　二、國家高科技戰略技術（national high-tech strategic technology） 　　韓國國家高科技戰略技術係規範於《戰略產業法》[10]，其於2022年2月3日頒布並於同年8月實施[11]。《戰略產業法》專門適用於國家高科技戰略技術，其依該法第2條[12]被定義為對國家經濟安全、出口和就業有重大影響的技術。目前韓國就國家高科技戰略技術之項目仍在研議中，預計至少將包含半導體、蓄電池與顯示器[13]。 　　此外，相比於《產業技術保護法》，《戰略產業法》加強了國家高科技戰略技術的保護措施。例如在《產業技術保護法》中，如持有人欲出口國家核心技術，僅有獲得政府研發補貼的技術持有人始須取得韓國產業通商資源部之許可。然而在《戰略產業法》中，任何國家高科技戰略技術的出口皆必須獲得許可。尤有甚者，國家高科技戰略技術的持有主體還必須配備專職人員負責保密與競業條款之簽屬，以防止其技術洩漏至他國[14]。 　　綜上所述，國家核心技術與國家高科技戰略技術皆係為達成技術保護之目的而受選定，與本次以投資導向所討論之國家戰略技術有別。 貳、國家戰略技術（national strategic technology）[15] 　　一、目的[16] 　　有鑑於各國皆增列與加強對於戰略技術的補助，韓國為維持其科技領域的領先地位，預計將於2027年將原有的3項領先於90％先進國家之技術（半導體、顯示器與通訊技術）提升至8個，因而訂立此國家戰略技術培育計劃。是故，本次所選定之國家戰略技術係以投資發展並提升國家競爭力為導向的國家政策。 　　二、國家戰略技術選定過程[17] 　　國家科學技術諮詢委員會（The National Science Technology Advisory Board）於2022年邀請19名私人企業代表與政府的各組織部門進行討論，在2021年選定之10項關鍵與新興技術（critical and emerging technology）之基礎上選定12個國家戰略技術。 　　三、策略實施 　　（一）強調政策與投資支援[18] 　　韓國預計對通訊技術與量子計算投入2650億韓元以加強研發能量與跨國合作之機會。且為達到投資資源的有效利用，政府將對每個被選定的戰略技術制訂戰略藍圖（strategy roadmap）。 　　（二）任務導向的研發投資[19] 　　韓國政府認為目前的預算分配系統（system of budget allocation and arrangement）阻礙了跨部會的合作，因此韓國將規劃一個整合性的泛政府預算分配系統（integrated pan-government budget allocation method）以協助達成任務導向的研發投資。且為了順應科技瞬息萬變的演進，韓國將導入初期研發可行性測試（R&D preliminary feasibility test）與快速追蹤系統（fast-track system）以確保時間與金錢投資在正確的技術上。 　　（三）加強核心人才保障[20] 　　為制定系統化的人才培養政策，政府將詳細分析人力資源狀況，如國內外研究人員的數量、研究機構與其能力，並將推動客製化的人才保障措施（customized talent securement measures），如法規改進、課程與系統建立。 　　（四）加強產學研合作[21] 　　韓國政府將根據各技術之特性（1）指定並培育產學研合作中心；（2）支持在研究機構或校園內建立企業合作研究實驗室；（3）資助研究機構；（4）加強各研究所間之合作；（5）成立技術創新特區以利研究機構和大學合作。以上措施將特別針對缺乏基礎，但迫切需要長期穩定發展的研究領域。 　　（五）建立以私人企業為中心的戰略技術治理體系[22] 　　將擴大戰略技術政策中心（Strategic Technology Policy Centers）和國家技術戰略中心（National Technology Strategy Centers），以支持政策設計，並作為技術分析和戰略建立的智囊團。 　　（六）立法制定《國家戰略技術特別法》（Special Act on the National Strategic Technology）[23] 　　該法將為國家戰略技術的指定和管理提供法律基礎。藉由制定該法，韓國將提供更加全面的支援措施，如優先研發投資（priority R&D investment）、具挑戰性的研發推廣（challenging R&D promotion）、優秀人才培養、產學合作和國際合作。 參、結論 　　韓國透過《產業技術保護法》和《戰略產業法》，分別規範國家核心技術與國家高科技戰略技術，並在上述基礎上，另選定以投資導向為主的國家戰略技術，對於韓國國家高科技技術給予全面性的保護。與韓國作法不同，我國有關國家核心關鍵技術之保護，散見於不同規範，包括《國家安全法》（以下簡稱國安法）、《營業祕密法》、《貿易法》有關戰略性高科技貨品之管制、《臺灣地區與大陸地區人民關係條例》（以下簡稱兩岸條例）及經濟部投審會針對赴陸投資或企業技術合作之管制，以及國家科學及技術委員會「政府資助國家核心科技研究計畫安全管制作業手冊」要求科技研究計畫提報國家核心科技項目等。 　　我國與韓國在立法模式雖有不同，但保護手段和效果相似。韓國《產業技術保護法》和《戰略產業法》就國家核心技術與國家高科技戰略技術設有處罰規範；我國於今年修正《國安法》時，亦增列經濟間諜罪，加強對於關鍵技術之保護；並修正《兩岸條例》，加強對涉及國家核心關鍵技術人才赴陸之管制。 　　惟韓國為維持科技領先國家之地位，另選定以投資導向為主的國家戰略技術給予補助，並以「國家戰略技術培育計劃」完整規劃投資方向，以確保有限的資金運用在正確的項目。我國除加強對於國家核心關鍵技術及人才之保護，避免技術和人才外流外，未來亦可參考韓國，擬定整體且全面性之計畫，擴大對於關鍵技術之投資和人才培育，始能全面性地保護關鍵技術。 [1]MINISTRY OF SCIENCE AND ICT [MSIT], Korea to announce national strategy to become a technology hegemon (Oct. 28, 2022), https://www.msit.go.kr/bbs/view.do?sCode=eng&mId=4&mPid=2&bbsSeqNo=42&nttSeqNo=746 (last visited Dec. 10, 2022) [2]〈國家戰略技術培育計劃〉之原文並未提及蓄電池之種類，惟根據韓國產業通商資源部之公告，應係指電動車用之高能量密度電池與高鎳電池，可參見：MINISTRY OF TRADE, INDUSTRY AND ENERGY [MOTIE], 산업통상자원부 공고 제2022-577호 (July 26, 2022), https://www.motie.go.kr/motie/ms/ll/adminiStration/bbs/bbsView.do?bbs_seq_n=202&bbs_cd_n=138¤tPage=1&search_key_n=&cate_n=&dept_v=&search_val_v (last visited Dec. 07, 2022). [3]LEE & KO, LEGAL 500, KOREA IMPLEMENTS NEW ACT ON SPECIAL MEASURES FOR STRENGTHENING AND PROTECTING COMPETITIVENESS OF NATIONAL HIGH-TECH STRATEGIC INDUSTRIES (Oct. 5, 2022), https://www.legal500.com/developments/thought-leadership/korea-implements-new-act-on-special-measures-for-strengthening-and-protecting-competitiveness-of-national-high-tech-strategic-industries/ (last visited Dec. 15, 2022). [4]KIM & CHANG LAW FIRM, Korea Announces Comprehensive "Technology Protection Strategy" for Core Technologies and Infrastructure (Mar. 10, 2022), https://www.ip.kimchang.com/en/insights/detail.kc?sch_section=4&idx=24577 (last visited Dec. 20, 2022). [5]LEE & KO, LEGAL 500, KOREA STRENGTHENS PROTECTION OF NATIONAL CORE TECHNOLOGY AND INDUSTRIAL TECHNOLOGY (AMENDMENT OF THE PREVENTION OF DIVULGENCE AND PROTECTION OF INDUSTRIAL TECHNOLOGY ACT) (Oct. 2, 2019), https://www.legal500.com/developments/thought-leadership/korea-strengthens-protection-of-national-core-technology-and-industrial-technology-amendment-of-the-prevention-of-divulgence-and-protection-of-industrial-technology-act/ (last visited Dec. 07, 2022). [6]The Act on Prevention of Divulgence and Protection of Industrial Technology, Art. 9 (1), (R.O.Korea), “Where the Minister of Trade, Industry and Energy selects a technology to be designated (hereafter in this Article referred to as "technology subject to designation") as national core technology, or he or she has been notified that technology subject to designation has been selected under the jurisdiction of the head of a relevant central governmental administrative agency; he or she may designate it as national core technology after deliberation by the Committee. In such cases, where technology subject to designation which has been selected by the Minister of Trade, Industry and Energy is under the jurisdiction of the head of any other central governmental administrative agency, he or she shall undergo consultation with the head of the relevant central governmental administrative agency prior to deliberation by the Committee.” . [7]MOTIE, supra note 2. [8]The Act on Prevention of Divulgence and Protection of Industrial Technology, Art. 36 (1), (R.O.Korea), “Any person who commits an offense under any of subparagraphs 1 through 3 of Article 14 with intent to use national core technology in a foreign country or to cause national core technology to be used in a foreign country shall be punished by imprisonment with labor for a limited term of not less than three years. In such cases, a fine not exceeding 1.5 billion won shall be concurrently imposed.” . [9]2019年修正前之刑度為15年以下有期徒刑，得併科15億韓元以下之罰金。 [10]MOTIE, Cabinet passes National High-Tech Strategic Industries Special Act (Jan. 25, 2022), https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_seq_n=911&bbs_cd_n=2 (last visited Dec. 07, 2022). [11]Kim & Chang Law Firm, LEGAL 500, Korea Enacts Special Act to Protect and Foster National High-Tech Strategic Industry (Apr. 13, 2022), https://www.kimchang.com/en/insights/detail.kc?sch_section=4&idx=24744 (last visited Dec. 07, 2022). [12]LEE & KO, supra note 3. [13]MOTIE, Government holds 1st National High-Tech Strategic Industries Committee Meeting (Nov. 07, 2022), https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=1117 (last visited Dec. 07, 2022). [14]KIM & CHANG LAW FIRM, supra note 4. [15]MSIT, National Strategic Technology Nurture Plan (Oct. 28, 2022), https://doc.msit.go.kr/SynapDocViewServer/viewer/doc.html?key=314287c5ec1740fc9a325c27bbb55b92&convType=img&convLocale=ko_KR&contextPath=/SynapDocViewServer (last visited Dec. 16, 2022). [16]Id. at 1-2. [17]Id. at 2-3. [18]Id. at 3. [19]Id. at 4. [20]Id. [21]Id. [22]Id. at 5. [23]Id. at 5-6.

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).