標準檢驗局各期電子報訂閱電子報小安心粉絲團 小安心
 

期別:第 125 期  出版日期:107年6月15日

專題報導

資訊大爆炸時代,標準保障使用者的資訊安全

  今(2018)年對於資訊安全議題是個不平凡的一年,隨著年初,電腦安全專家針對電腦都裝有的微處理器,發現了兩個被命名為「Meltdown」跟「Spectre」的重大安全漏洞,影響層面擴及個人電腦、智慧型手機、雲端服務,可能導致受保護的核心記憶體資料外洩;3月中,臉書(Facebook)爆出逾上千萬筆個資遭外洩濫用;525日歐盟正式實施歐盟通用資料保護規則(EU General Data Protection RegulationGDPR)等重大個資保護措施。為維護組織及個人使用者資訊安全,國內外皆陸續制修訂一系列資訊安全或個資保護相關標準,如:國際標準ISO/IEC 27000系列標準、英國標準協會BS 10012CNS 27000系列標準等,以下就近期修訂公布的新版標準ISO/IEC 27000:2018BS 10012:2017以及國內常用的CNS 27001分別簡介之:

 

一、ISO/IEC 27000:2018資訊技術-安全技術-資訊安全管理系統-概觀及詞彙」

  資訊安全管理系統(ISMS)包含政策、程序、指導綱要及相關聯之資源與活動,由組織於追求保護其資訊資產時統合管理。ISMS係建立、實作、運作、監視、審查、維護及改進組織資訊安全之系統化作法,以達成營運目標。其依據風險評鑑及組織所設計之風險接受等級,以有效地處理及管理風險。必要時,分析保護資訊資產要求事項並應用適切的控制措施,以確保此等資訊資產之保護,有助於ISMS之成功實作。組織能使用ISMS系列標準發展及實作框架,用以管理其資訊資產(含財務資訊、智慧財產、員工個資、客戶或第三方所託管資訊等)之安全。

 

  ISO/IEC 27000系列標準共有十幾種標準,下圖說明ISMS系列標準之關係:

ISMS系列標準之關係圖(摘譯自ISO/IEC 27000:2018)

 

  ISO/IEC 27000「資訊技術-安全技術-資訊安全管理系統-概觀及詞彙(Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary)」提供資訊安全管理系統(ISMS)之概觀,以及ISMS系列標準中,共同使用之用語及定義。並介紹這些標準如何組合在一起:它們的適用範圍、角色、功能和彼此之間的關係。該標準適用於所有型式及規模之組織(例:商業企業、政府機關及非營利組織)ISO/IEC 27001的使用者將會發現ISO/IEC 27000很有用,因為它匯集了ISO/IEC 27000系列中其他所有標準常用的基本術語。

 

  ISO國際標準組織於今(2018)2月修訂公布ISO/IEC 27000最新版(5),與前一版本相比主要變化如下:

-介紹(Introduction)已被重寫;

-一些術語(terms)和定義(definitions)已被刪除;

-該標準第3(Clause 3)ISO管理系統標準(management systems standardMSS)的高階架構(High Level Structure, HLS)保持一致;

-該標準第5(Clause 5)已更新,以反映相關標準的變化;

-附錄A (Annexes A)和附錄B (Annexes B)已被刪除。

 

二、BS 10012:2017「資料保護-個人資訊管理系統規範」

  BS 10012「資料保護-個人資訊管理系統規範 (Data protectionSpecification for a personal information management system)」是英國標準協會(British Standards Institution, BSI)2009年公布的一個國際認可的個人資訊管理標準,適用於任何規模和行業的組織,而許多對個資管理與保護要求較高的組織,例如:公家機關、學校、金融、電信、醫療與電子商務等,也都以通過BS 10012為目標,以確認組織能在尊重當事人隱私的前提下,充分保障個人資訊的合理運用,並確保客戶所提供之個人資訊是在符合法令規定下,受到最適當的保護。

 

  新版BS 10012:20172017331日正式公布,此次修訂的主要目的是為調和歐盟於2016414日所通過的「一般資料保護規範(the European Union General Data Protection Regulation , GDPR)」,該法令已於2018525日正式實施(取代在1998年所通過的歐盟個人資料保護指令European Directive (95/46/EC)),不僅規範在歐盟境內設立的企業組織及其海外分支機構、關係企業,還將適用範圍擴大至傳輸、蒐集及處理歐盟民眾個資的境外組織,因此更加突顯了新版BS 10012:2017標準在全球的重要性。

 

  舊版BS 10012:2009標準是為因應英國於1998年所公布的Data Protection Act資料保護法(簡稱DPA)所制定發行,新版BS 10012:2017很多變化都是以歐盟於2016年頒訂之GDPR為個人資料保護法規的依據,並參考其他通用的管理系統方法,和ISO 9001:2015ISO 14001:2015同樣採用ISO的高階架構(High Level Structure, HLS)

 

  除此之外,BS 10012:2017標準主要修訂內容還有:

-重新定義個人和敏感資料(New definition of personal and sensitive data)

-限制對個人資料的分析側寫(Restrictions on profiling using personal data)

-資料保護官新的管理要求(New administrative requirements for data privacy officers)

-廢止DPA之通知/註冊要求(Abolishing of notification/registration requirement) (註:DPA:英國於1998年所公布的Data Protection Act資料保護法)

-更嚴格資料處理同意權要求(New stricter require for consent for processing)

-當事人存取資訊及其可行使權利的改變(Changes to subject access and other rights for data subjects)

-強化當事人的資料刪除權和可攜權(Enhanced right to erasure and new right to portability)

-安全事故的通知要求(Security breach notification requirement)

-從設計著手隱私保護和隱私衝擊評估要求(Privacy by design and privacy impact assessment requirements)

-適法性遵循範圍延伸至資料處理者(Extension of the law to cover data processors)

-刪除符合安全港協議條件者可將資料傳輸至美國(Removal of the safe Harbour ground for data transfers to the U.S.)(註:安全港協議(safe Harbour):歐盟執委會在2000年與美國簽訂的安全港協議,是基於美國隱私法規對用戶個資保護程度媲美歐盟的前提。該協議能讓美國4,500家科技業者順利在歐盟與美國之間合法傳輸網路資料,而忽略歐盟各國法規之間的細微差異。)

 

三、國內資訊安全管理系統(ISMS)系列標準

  隨著經濟全球化的發展,各組織間的資訊交流日益增多,而資訊安全與企業的營運、服務及發展皆已密不可分,而引進國際認同的資訊安全管理標準,則是確認政府機關、民間機構、營利或非營利組織之資訊安全是否具備一定水準的重要參考指標。

 

  為與國際接軌,我國目前主要的資訊安全管理系統(ISMS)系列國家標準也多係參考ISO國際標準所制定,其中CNS 27001「資訊技術-安全技術-資訊安全管理系統-要求事項」便是參考ISO/IEC 27001:2013,該標準係資訊安全管理系統(ISMS)的驗證標準,亦是資訊安全管理系統(ISMS)當中使用最頻繁的標準。

 

  CNS 27001規定於組織全景內建立、實作、維持及持續改善資訊安全管理系統之要求事項。該標準亦包括依組織需要而裁適之安全風險評鑑及處理的要求事項。CNS 27001敘述之要求事項為通用的,旨在適用於所有組織,不論其型式、規模或性質。

 

  此外,CNS 27001CNS 27002的關係密不可分,如果管理人員想要協助組織建立資訊安全管理制度,卻不知應該要如何著手時,可以參照CNS 27002的內容來進行。

 

  CNS 27002「資訊技術-安全技術-資訊安全控制措施之作業規範」係參考ISO/IEC 27002:2013制定,該標準是企業在發展資訊安全管理系統(ISMS)中所需之作業規範(Code of Practice),也是企業在導入資訊安全計畫中廣泛使用的標準,基於這個標準的實施計劃,讓組織可以在複雜的經營環境下滿足所需之資訊安全要求;此外,對該標準的深入了解,也對個人在資訊科技與資訊安全上的發展有很大的助益。

 

  CNS 27002提供組織資訊安全標準之指導綱要,以及資訊安全管理之實務作法,包括將組織資訊安全風險環境納入考量後之控制措施的選擇、實作及管理。CNS 27002係設計供具下列目的之組織使用。

(a)於依據CNS 27001實作資訊安全管理系統之過程中,選擇控制措施。

(b)實作被普遍接受之資訊安全控制措施。

(c)發展自有之資訊安全管理指導綱要。

 

  除了上述已公布的現行標準外,ISO國際標準組織為因應歐盟GDPR的實施以及近期大規模個資外洩事件,於今(2018)年成立一個新的專案委員會ISO/PC 317「消費者保護:消費者產品和服務的隱私保護設計(Consumer protection: privacy by design for consumer goods and services)」,來制定第一套預防性國際準則,以確保將消費者隱私納入到產品或服務中,從而在整個個資管理生命週期中提供保護,相關資訊可參考ISO官網了解。

 

  國內資訊安全相關標準資訊(料)皆置放於標準局「國家標準(CNS)網路服務系統」(網址為http://www.cnsonline.com.tw/),歡迎各界上網查詢閱覽。

 

參考資料來源:ISO News(ISO/IEC 27000:2018)BSIBSI NewsBS 10012:2017

CNS 27001ISO News(ISO/PC 317)

 

經濟部標準檢驗局增修高強度鋼筋標準,強化建築物耐震性能

  為降低地震造成建築結構損壞及人員傷亡,經濟部標準檢驗局蒐集比較先進國家國際標準後,參採美國材料試驗協會(ASTM)標準,修訂CNS 560「鋼筋混凝土用鋼筋」國家標準,增列SD 550W(W指可銲接、耐震構材使用)及SD 690高強度鋼筋,分別可承受550 MPa及690 MPa之應力,大幅增加災變時抗震能力,預期將廣泛應用於高樓層建築、縮小構件斷面尺寸、增加建築抗震能力等。

 

  標準檢驗局表示,本次修訂公布CNS 560「鋼筋混凝土用鋼筋」國家標準重點如下:

(1)增列高強度鋼筋:以往因鋼筋強度限制,鋼筋混凝土(RC)構造主要用於20樓層以下建築物,但隨著高強度鋼筋產製技術提升,逐漸可應用於高樓層建築,例如國外即有59層RC大樓案例。

(2)提高鋼筋伸長率:使鋼筋更具韌性,更能吸收地震能量而不易斷裂。

(3)提高鋼筋可銲接性:可避免鋼筋因銲接高溫於冷卻後脆化,可銲接鋼筋主要應用在鋼骨鋼筋混凝土(SRC)結構中鋼筋與 鋼構的銲接接合等。

(4)判別熱處理鋼筋(又稱水淬鋼筋):熱處理鋼筋品質不穩定,無法確保耐震性,CNS 560於103年已廢除熱處理鋼筋,為避免劣質鋼筋流入市場,可依「熱處理鋼筋判定方法」判別。

 

  該局表示,臺灣地處地震帶,每年有感地震可達數百次,而國內建築物9成為RC構造,鋼筋品質悠關建築物耐震性能;此次修訂CNS 560「鋼筋混凝土用鋼筋」國家標準,供各界參考依循。

 

  CNS 560相關標準資訊(料)已置放於該局「國家標準(CNS)網路服務系統」(網址為http://www.cnsonline.com.tw/),歡迎各界上網查詢閱覽。

 

資料來源:標準檢驗局新聞稿

 
 

標準化活動

活動預告

「建築用耐震鋼材國家標準及工程應用說明會」分別於107年6月25日台大醫院國際會議中心、6月27日臺中分局、6月29日高雄分局舉辦,歡迎踴躍報名。[詳細內容]
自107年5月21日至12月16日止,小安心臉書粉絲團舉辦「正字我最愛,安心來購買」推廣活動。[詳細內容][小安心粉絲團]
 

 

活動紀要

小安心抽獎活動「翻牌記憶-認清標誌最安心」網路活動得獎名單已經公布囉。[詳細內容]
國際單位制(SI)定義即將出現重大變革! 經濟部標準檢驗局於107年5月21日假臺北國際會議中心舉辦國際計量發展趨勢研討會。[詳細內容]
 
  國內外貴賓合影留念(由左而右)
前排
財團法人工業技術研究院量測技術發展中心 彭副主任國勝
中華民國國家標準審查會 莊委員素琴
財團法人全國認證基金會 林資深顧問能中
國際半導體產業協會台灣區 曹總裁世綸(講師)
經濟部標準檢驗局 劉局長明忠
美國國家標準與技術研究院 吳博士文立(講師)
經濟部標準檢驗局 陳副局長玲慧
台中市度量衡商業同業公會 鄭理事長國雄
桃園市度量衡商業同業公會 葉理事長時達
彰化縣度量衡商業同業公會 陳理事長幸源
後排
行政院原子能委員會核能研究所 袁研究員明程
中華民國計量工程學會 章理事長明
財團法人全國認證基金會 許執行長景行
財團法人台灣大電力研究試驗中心 蘇總經理正我
財團法人工業技術研究院量測技術發展中心 林主任增耀

 

生活小教室

消費者小幫手:「奶瓶消毒器」選購及使用注意事項

  標準檢驗局呼籲業者應落實商品之安全性及標示之正確性,以維護消費者權益,並提醒消費者選購及使用「奶瓶消毒器」時,應注意下列事項:

 

一、應購買有貼附「商品檢驗標識」之「奶瓶消毒器」商品(商品檢驗標識查詢網址:https://civil.bsmi.gov.tw/bsmi_pqn/)。

 

二、選購時檢視負責廠商名稱及地址、電氣規格(如:電壓、消耗功率或電流)及型號等各項標示是否清楚。

 

三、檢視是否附有中文使用說明書、包裝上之產品使用說明或所附產品使用方法、注意事項等標示,使用前詳細閱讀該說明,並確實依照說明內容使用及注意警語與使用注意事項等。

 

四、使用前請確實將電源線插頭與插座緊密貼合,不可有鬆動或插入不完全。將插頭拔離電源插座時,應以手握插頭拔除,避免以拉扯電線之方式拔除,致造成內部銅線斷裂。

 

五、隨時注意奶瓶消毒器使用狀況,若有故障現象發生,應立即停止使用並聯絡廠商指定之維修站辦理檢修,切勿自行更換零件或拆解修理,並應注意定期保養,以確保使用安全。

 

  標準檢驗局提醒,消費者對於所購買之商品多一些瞭解,商品使用時就有多一分安全保障,消費者可至該局網站「商品安全資訊網」(https://safety.bsmi.gov.tw/)項下查閱或撥打免付費電話0800-007123洽詢。

資料來源:標準檢驗局新聞稿

外國標準通報

107年5月份新到館外國標準(數量)
IEC JIS GB
21 125 371

外國標準借閱排行榜前10名 (107年1-5月底)
第1名 第2名 第3名 第4名 第5名 第6名 第7名 第8名

第9名

第10名
ISO IEC JIS ASTM BS DIN GB AATCC AWWA NF

 

CNS最新動態

推行現況 (至107年5月底)

公布數 18,060種 推行現況 制定
修訂
廢止 提供量
止數 4,908種 5月份異動 +12 +19 +45 +15,210
有數 13,152 107年累計 制定34種 修訂40種 廢止272種 57,793

制定
(107年5月份 共制定 12 種)
總號 類號
名稱
制定日期
CNS 16037 S1294 鞋類-鞋類組件性能要求-外底 1070515
CNS 16038 S1295 鞋類-鞋類組件性能要求-鞋面 1070515
CNS 16039 S1296 鞋類-鞋類組件性能要求-鞋跟及天皮 1070515
CNS 16040 S1297 鞋類-鞋類組件性能要求-配件 1070515
CNS 21505 Z4095 專案、專案集及專案組合管理-治理指引 1070515
CNS 21003-1 K3140-1 建築物內冷熱水裝置用多層管配管系統-第1部:通則 1070530
CNS 21003-2 K3140-2 建築物內冷熱水裝置用多層管配管系統-第2部:管 1070530
CNS 21003-3 K3140-3 建築物內冷熱水裝置用多層管配管系統-第3部:管件 1070530
CNS 21003-5 K3140-5 建築物內冷熱水裝置用多層管配管系統-第5部:系統適合度 1070530
CNS 21003-7 K3140-7 建築物內冷熱水裝置用多層管配管系統-第7部:符合性評鑑指引 1070530
CNS 60715 C4583 低電壓開關裝置及控制裝置之尺度-為開關裝置、控制裝置及配件提供機械性支撐並達成標準化安裝之導軌 1070530
CNS 61980-1 C4582-1 電動車輛無線電力傳輸(WPT)系統-第1部:一般要求 1070530

修訂 (107年5月份 共修訂 19 種)

總號

類號

名稱

修訂日期

CNS 1474 K1066 工業級甲苯 1070515
CNS 2263 K1083 工業級二甲苯 1070515
CNS 2362 K1092 硝化級二甲苯 1070515
CNS 2363 K1093 十度級二甲苯 1070515
CNS 3013 G1015 熱軋鋼板、鋼片及鋼帶之形狀、尺度、質量及其許可差 1070515
CNS 3229 G3063 機械構造用低合金鋼鋼料 1070515
CNS 4271 G3100 中溫壓力容器用鋼板、鋼片 1070515
CNS 4622 G3109 熱軋軟鋼鋼板、鋼片及鋼帶 1070515
CNS 5461 K1241 精製苯-535 1070515
CNS 5600 K1243 硝化級甲苯 1070515
CNS 5601 K1244 五度級二甲苯 1070515
CNS 8905 A2137 建築用混凝土空心磚 1070515
CNS 9274 G3193 汽車結構用熱軋鋼板、鋼片及鋼帶 1070515
CNS 9278 G3195 冷軋碳鋼鋼板、鋼片及鋼帶 1070515
CNS 12963 A2250 裝飾混凝土磚 1070515
CNS 13295 A2255 高壓混凝土地磚 1070515
CNS 3288 R2063 金屬網 (或線)入板玻璃 1070530
CNS 14816-2 C4489-2 低電壓開關裝置及控制裝置-第2部:斷路器 1070530
CNS 14985-1 C4499-1 電器配件-家用或類似裝置用過電流保護斷路器-第1部:交流操作用斷路器 1070530

廢止 (107年5月份 共廢止 45 種)
總號

類號

名稱

廢止日期

CNS 92 K5004 油漆用生亞麻仁油 1070515
CNS 118 K5006 篦麻油(工業用) 1070515
CNS 192 K5007 豆油(工業用) 1070515

詳見107/5/15公告

 

詳見107/5/30公告


勘誤 (107年5月份 共勘誤 0 種)

 


 
商品檢驗標識
 



 

發行人:劉局長明忠

主編:蘇憶琪

編輯小組:陳秀女、鄭乃元、駱美玲

技術服務:中華電信、正燁科技

創刊號 :97215
發刊頻率:月刊  (每月15
)
GPN4810002742

本電子報所有文字、圖片版權為標準檢驗局所有,

未經許可請勿轉載。

如對本報有任何意見,請與我們聯繫
臺北市中正區濟南路1段4號

服務專線:02-23431980