標準檢驗局各期電子報訂閱電子報小安心粉絲團 小安心
 

期別:第 154 期  出版日期:109年11月13日

標準新訊

標準保障資訊安全、網路安全和隱私保護

Online privacy

(圖片來源:Pixabay)

  近幾十年來,資訊科技的長足發展,其應用遍及世人生活的每個層面,隨著網際網路的普及,各種資訊在彈指間即可便利取得,為資訊爆炸的時代做了最實質的體現。網路世界巨幅改變了我們的食、衣、住、行、育、樂的生活模式,它為我們帶來人類科技文明的昌盛與前所未有的繁榮,我們不可一日或缺。數位世界帶給我們諸多便利與歡樂,但卻往往讓人們疏於注意隨之而來的資訊安全、網路安全和隱私保護的潛藏風險。

 

  尤其值得注意的是,今年因COVID-19疫情,迫使許多人利用雲端或視訊通訊軟體在家工作、上課、進行社交活動,應運而生的各種新興宅經濟亦隨之蓬勃發展,估計全球網路使用人口已超過40億。此一現象給各地的駭客和網路犯罪分子帶來了機會,新的資安漏洞正方興未艾,也給企業和個人帶來了挑戰,因此,資訊安全、網路安全和隱私保護已成為大眾應予正視的課題。

 

  ISO/IEC JTC 1/SC 27係ISO國際標準化組織「ISO/IEC JTC 1 資訊技術委員會」下負責制修訂「資訊安全、網路安全及隱私保護(Information security, cybersecurity and privacy protection)」相關標準或工具之附屬委員會,在過去三十年中,已經制定了許多標準,幫助世界各國政府、公司企業和大眾保護其資訊資產不受損害。此外,SC 27還制定支援線上交易的安全技術、測試和評估安全技術以及資通信技術等標準。除了2013年修訂公布的ISO/IEC 27001(資訊安全管理系統)和ISO/IEC 27002(資訊安全控制措施)之2份較為大家熟悉的資訊安全標準外,SC 27近期也公布了與隱私權保護相關的資訊安全標準,以下舉2個國際標準分別簡述之:

 

一、ISO/IEC 27701:2019「安全技術-擴展ISO/IEC 27001和ISO/IEC 27002的隱私資訊管理-要求和指導原則(Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines)」


  ISO於2019年8月公布了ISO/IEC 27701,為世界上第一個用以幫助組織管理隱私資訊並滿足相關法規要求的國際標準,根據IBM於2020年發表的全球資料外洩成本研究報告(2020 Cost of a Data Breach Report),報告內容重點為面談了超過500家曾經在2019到2020年遭遇資料外洩的全球企業。研究報告中指出,平均每次資料外洩事件會對企業造成386萬美金的成本損失,企業從找出資料外洩的根本原因到將外洩問題獲得妥善控制平均需要花費280天,資安問題對經濟活動之影響可見一斑。

 

  由上述報告可知,保護大眾的隱私資訊是一項極為重要的事務,相關法律義務也越來越嚴格,各國政府都在積極導入各種相關法規,例如歐盟於2017年發布各會員國必須遵守的「歐盟一般資料保護規則(the European Union's General Data Protection Regulation , GDPR)」,就是影響歐盟甚至全世界至為深遠的法規,而新公告的ISO/IEC 27701:2019標準將能幫助各組織滿足這些要求。

 

  ISO/IEC 27701:2019為ISO/IEC 27001和ISO/IEC 27002的擴展,為保護個人隱私資訊的作法提供指引,藉由補充額外的管控要求,以建立、實施、維護和持續改善在資訊安全管理系統(Information security management systems, ISMS)範圍內的隱私資訊管理(Privacy Information Management, PIM),妥適處理個人可識別身份資訊(personally identifiable information, PII),以降低隱私資訊所面臨的風險。簡而言之,就是一種用於保護個人資料的管理系統。

 

  ISO/IEC 27701:2019標準主要的內容分為8個節次,以下分述4點簡單說明之:

 

1. 第1節至第3節,主要是說明適用範圍、引用標準、用語定義,ISO/IEC 27701適用於任何類型的組織。第4節是針對標準的整體性說明,包括隱私資訊管理系統(Privacy Information Management System, PIMS)的要求如何對應到ISO/IEC 27001的第4至10節管理系統,以及PIMS的增項指引如何對應到ISO/IEC 27002的第5至18節的控制措施。

2. 第5節至第6節
  進一步敘述在第4節提到的PIMS對應ISO/IEC 27001管理系統要求和ISO/IEC 27002控制措施實施指引,其內容方面,第5節結合了ISO/IEC 27001管理系統中PDCA(Plan, Do, Check, Action)的精神;第6節則結合了ISO/IEC 27002的14個控制領域和114個控制措施,並且額外補充強化了32個控制措施。

3. 第7節和第8節
  分別從PII控制者和PII處理者的角度,分別針對「蒐集和處理個人資料的條件」、「對PII當事人的責任」、「隱私設計和隱私預設」以及「PII分享、傳輸和揭露」等四個領域,作出相關的要求。

4. 最後,在標準的附錄A~F中,還補充了PII控制者和PII處理者可參考的控制目標和控制措施,以及對應到ISO/IEC 29100(註1)、GDPR、ISO/IEC 27018(註2)和ISO/IEC 29151(註3)的章節編號,並且加上如何應用此標準的說明,對於想要整合多項標準和遵循GDPR的組織而言,該部分是非常清楚的參考資訊。

 

二、ISO/IEC 29184:2020「資訊技術-線上隱私權聲明和同意(Information technology — Online privacy notices and consent)」


  現今,智慧手機使人與人之間的聯繫比以往更加便捷,隨著大家愈來愈重視養生,具備健康監測功能之可穿戴式設備(例如:智慧手錶、智慧手環等)之市場亦迅速成長。這些設備蒐集並處理相關位置資訊、生物識別資訊以及該等設備之使用頻率和時間等個人資料,例如:手機定位今天從甲地到乙地的路線、從穿戴式設備所傳來之每日運動數據紀錄、行走步數、距離及熱量消耗、運動睡眠數據、自動心率監測等,這對想要客觀瞭解個人運動、睡眠習慣或健康等情況的人非常有用,在此等範圍內之運用都是合法的;但也造就那些利用此等資料銷售產品和提供衍生服務的公司在未經我們知情及同意的情況下,取得有利可圖的機會。

 

  因此,許多人愈來愈擔心透過該等服務被蒐集和使用之個人可識別資訊(PII)之安全性。在許多情況下,就是因為該等服務沒有明確說明如何處理、儲存、維護和管理PII,我們會有種被監視的感覺,甚至有時發現自己的個人資料被出售給第三方。鑑於網路的個人隱私問題值得大家關注與重視,ISO於2020年6月公布之ISO/IEC 29184,有助於解決以上這些問題。

 

  ISO/IEC 29184:2020提供了ISO/IEC 29100中隱私權原則的實施細則,尤其關注ISO/IEC 29100表3所列隱私權原則之第一點「同意及選擇」和第七點「公開、透明及告知」。ISO/IEC 29184除了提供有關蒐集哪種PII以及如何使用PII之更為清晰的資訊外,還將幫助大眾更加瞭解在使用網路連結的服務時所簽署的內容,以及如何撤回他們原先所同意提供之個人資訊。ISO/IEC 29184規定了控制線上隱私權聲明內容和架構的控制措施,以及要求同意蒐集和處理來自當事人的PII之過程。

 

  關於ISO/IEC 29184:2020的內容,除了前言、簡介、適用範圍、引用標準、用語及定義、符號及縮寫外,還包括如下的內容(對應ISO/IEC 29184的節次):

 

第5節 一般要求和建議
5.1 總體目標
5.2 聲明
5.3 聲明內容
5.4 同意
5.5 條件變更
附錄A 用於在電腦和智慧手機上取得PII當事人同意之使用者介面範例(User interface example for obtaining the consent of a PII principal on PCs and smartphones)
A.1 一般要求
A.2 用於在電腦和智慧手機上取得初步同意之使用者介面範例(User interface examples for obtaining initial consent for PCs and smartphones)
附錄B 同意書或同意紀錄的範例
B.1 同意書的一般資訊和目的
B.2 同意書的內容和格式
參考資料

 

  在國內相關標準方面,經濟部標準檢驗局(以下簡稱本局)目前亦已參考ISO國際標準制定與隱私資訊相關的標準如:CNS 20889(對應ISO/IEC 20889(註4))、CNS 29100(對應ISO/IEC 29100)、CNS 29134(對應ISO/IEC 29134(註5))等,期與國際接軌,對參與設計或實作專案者,包括操作PII之資料處理系統及服務之各利害相關者而言實屬重要之參據。

 

  上述國家標準相關資訊(料)皆置放於本局「國家標準(CNS)網路服務系統」,歡迎各界上網查詢閱覽,至於ISO國際標準相關資訊可參考ISO官網。此外,本局已和ISO簽有授權合約,民眾只需支付權利金,即可合法取得最即時並已制定公布的標準資料,歡迎各界多加利用。如需查詢本局外國標準館藏狀況、價格及購買方式,請至本局「標準資料查詢系統 」查詢或撥打服務專線02-23431980洽詢。

 

註1: ISO/IEC 29100「資訊技術-安全技術-隱私權框架(Information technology — Security techniques — Privacy framework)」
註2: ISO/IEC 27018「資訊技術-安全技術-公用雲PII 處理者保護個人可識別資訊(PII)之作業規範(Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)」
註3: ISO/IEC 29151:2017「資訊技術-安全技術-個人可識別資訊保護之作業規範(Information technology — Security techniques — Code of practice for personally identifiable information protection)」
註4: ISO/IEC 20889:2018「隱私增強資料去識別化術語與技術分類(Privacy enhancing data de-identification terminology and classification of techniques)」
註5: ISO/IEC 29134:2017「資訊技術-安全技術-隱私衝擊評鑑之指導綱要(Information technology — Security techniques — Guidelines for privacy impact assessment)」

 

參考資料來源:ISO News (ISO/IEC 27701)IBM 2020年資料外洩成本報告ISO/IEC 27701:2019BSI文章ISO News (ISO/IEC 29184)ISO/IEC 29184:2020CNS國家標準

 

 

標準化活動

活動訊息

經濟部標準檢驗局於109年10月14日至16日在台北南港展覽館舉辦之台灣國際智慧能源週展覽會,設置「憑證+綠能,永續護台灣」專區,向各界展示本局在創能、儲能、系統整合及綠能憑證相關成果。[詳細內容]
  台灣國際智慧能源週 
  2020台灣國際智慧能源週開幕合影
第一排貴賓合影
中華民國蔡英文總統(中)、
(由中至左)
經濟部王美花部長(中左1)、
SEMI(國際半導體產業協會)曹世綸總裁(中左2)、
經濟部能源局游振偉局長(中左3)、
工業局楊志清副局長(中左4)、
SEMI太陽光電委員會/元晶太陽能廖國榮主席(中左5)、
工研院綠能所王子謙所長(中左6)、
太陽光電發電系統公會/開陽公司蔡宗融理事長(中左7)、

(由中至右)
國家發展委員會龔明鑫主任委員(中右1)、
中華民國對外貿易發展協會黃志芳董事長(中右2)、
經濟部國際貿易局江文若局長(中右3)、
外交部國際合作及經濟事務司蔡允中司長(中右4)、
經濟部標準檢驗局陳玲慧副局長(中右5)
 
台灣國際智慧能源週 
  2020台灣國際智慧能源週「再生能源憑證應用國際研討會倡議儀式」
標準檢驗局連錦漳局長(中左1)、
台灣證券交易所陳麗卿副總經理(中左2)、
遠見雜誌林珮萱副主編(中左3)、
標準檢驗局謝翰璋主任秘書(中左4)、
行政院能源及減碳辦公室 林子倫副執行長(中右1)、
標準檢驗局黃志文組長(中右2)、
台灣金融研訓院陳鴻達院務委員(中右3)、
天下雜誌熊毅晰總監(中右4)

 

生活小教室

消費者小幫手:「織襪」選購及使用注意事項

  織襪為日常生活中不可缺少的服飾配件,可吸收汗水保持腳的乾燥,及保護腳不受鞋子磨擦起水泡。標準檢驗局呼籲廠商應落實商品之安全性與標示正確性,以維護消費者權益,並提醒消費者選購時應注意下列事項:

一、 請選購商品標示清楚、詳細的產品,標示內容需包含:
  (一)國內產製者,應標示製造廠商或委製商名稱、電話及地址;其為進口者、應
 

示進口廠商名稱、電話及地址。

  (二)尺寸或尺碼。
  (三)生產國別(製品主要製程地之生產國別)。
  (四)纖維成分。
  (五)洗燙處理方法:洗標圖案應包含「水洗」、「漂白」、「乾燥」、「熨燙及
 

壓燙」、「紡織品專業維護」。

二、 嬰幼兒襪及服飾類商品自100年7月1日起實施強制檢驗,於進口或運出廠場前完成檢驗程序並貼附「商品檢驗標識」後,始得於市面上販售,消費者選購時應注意是否貼有「商品檢驗標識」 (圖例)。
三、 一般織襪(非嬰幼兒襪)自101年10月1日起實施強制檢驗,惟不須貼附「商品檢驗標識」。
四、 除以手觸摸檢視織襪質感外,可以嗅覺檢查,如有刺鼻異味請勿購買。
五、 應詳細閱讀洗燙處理方法或注意事項,以避免錯誤的洗滌方式造成受損,在使用前最好先以清水洗滌過,以減少吸附在其表面之化學物質含量。

 

  標準檢驗局提醒,消費者對於所購買之商品多一些瞭解,商品使用時就有多一分安全保障,消費者可至該局網站「商品安全資訊網(https://safety.bsmi.gov.tw/)」項下查閱或撥打免付費電話0800-007-123洽詢。

織襪

 

資料及圖片來源:標準檢驗局新聞稿

 

外國標準通報

109年10月份新到館外國標準(數量如有變動請以標準資料查詢系統公告為主)
ASTM BS DIN(英) GB IEC IEEE ISO JIS NF SAE UL 中國大陸行業標準
30 14 2 17 32 2 21 22 11 2 2 333

外國標準借閱排行榜前10名 (109年10月底)
第1名 第2名 第3名 第4名 第5名 第6名 第7名 第8名

第9名

第10名
ISO IEC ASTM JIS BS DIN NF GB IEEE AASHTO

 

CNS最新動態

推行現況 (109年截至10月底)

公布數 18,380種 推行現況 制定
修訂
廢止 提供量
止數 6,235種 10月份異動 +19 +14 +7 +8,218
有數 12,145 109年累計 制定66種 修訂59種 廢止136種 101,396

制定
(109年10月份 共制定 19 種)
總號

類號

名稱

定日期
CNS 3564-1 K6355-1

硫化或熱塑性橡膠-低溫性質之測定-第1部:一般事項及指引

109.10.19
CNS 3564-2 K6355-2

硫化或熱塑性橡膠-低溫性質之測定-第2部:低溫脆性測定法

109.10.19
CNS 3564-3 K6355-3

硫化或熱塑性橡膠-低溫性質之測定-第3部:低溫剛度測定法(吉門試驗)

109.10.19
CNS 3564-4 K6355-4

硫化或熱塑性橡膠-低溫性質之測定-第4部:低溫回縮測定法(TR試驗)

109.10.19
CNS 16132-2 X2029-2

影像監控系統安全測試方法-第2部:網路攝影機

109.10.19
CNS 16137 T5070

白手杖

109.10.19
CNS 16138 T5071

假髮及配件-一般規定

109.10.19
CNS 19637 X6138

資訊技術-感測器網路測試框架

109.10.19
CNS 61850-90-10 X2020-90-10

電力公用事業自動化之通訊網路及系統-第90-10部:排程模型

109.10.19
CNS 2779-1 Z4006-1

計數值檢驗抽樣程序-第1部:依允收品質界限(AQL)檢索之逐批檢驗抽樣方案

109.10.29
CNS 9445-1 Z4023-1

計量值檢驗抽樣程序-第1部:單一品質特性與單一允收品質界限(AQL)逐批檢驗依AQL檢索之單次抽樣計畫

109.10.29
CNS 11251-1 S1182-1

潛水服-第1部:濕式潛水服-要求事項及試驗法

109.10.29
CNS 11251-2 S1182-2

潛水服-第2部:乾式潛水服-要求事項及試驗法

109.10.29
CNS 16136-1 B1414-1

手持式非電氣動力工具-安全要求-第1部:非螺紋式機械結件用裝配動力工具

109.10.29
CNS 16139-1 Z4102-1

統計學-詞彙與符號-第1部:一般統計用語及機率用語

109.10.29
CNS 16139-2 Z4102-2

統計學-詞彙與符號-第2部:應用統計學

109.10.29
CNS 60335-2-85 C4547-2-85

家用和類似用途電器-安全性-第2-85部:織物蒸汽機之個別規定

109.10.29
CNS 60335-2-90 C4547-2-90

家用和類似用途電器-安全性-第2-90部:商用微波爐之個別規定

109.10.29
CNS 62040-3 C6469-3

不斷電系統(UPS)-第3部:性能規定法及試驗要求

109.10.29

 
修訂 (109年10月份 共修訂 14 種)

總號

類號

名稱

修訂日期

CNS 1490 G1011

熱軋型鋼之形狀、尺度、質量及其許可差

109.10.19
CNS 2456-1 K3012-1

壓力下給水、排水及排污用塑膠配管系統-聚乙烯(PE)-第1部:通則

109.10.19
CNS 2456-2 K3012-2

壓力下給水、排水及排污用塑膠配管系統-聚乙烯(PE)-第2部:管

109.10.19
CNS 2456-3 K3012-3

壓力下給水、排水及排污用塑膠配管系統-聚乙烯(PE)-第3部:管件

109.10.19
CNS 2456-5 K3012-5

壓力下給水、排水及排污用塑膠配管系統-聚乙烯(PE)-第5部:系統適合度

109.10.19
CNS 2512 P3016

紙之上膠度試驗法-史托克法

109.10.19
CNS 3553 K6344

硫化或熱塑性橡膠-拉伸應力-應變性質之測定

109.10.19
CNS 7298 P3048

紙及紙板吸水度試驗法-Cobb

109.10.19
CNS 14795 A3395

混凝土抗氯離子穿透能力試驗法-通過電荷量表示法

109.10.19
CNS 15443 N7002

海水濃縮礦物質液

109.10.19
CNS 60335-2-2 C4547-2-2

家用和類似用途電器-安全性-第2-2部:真空吸塵器及吸水清潔機之個別規定

109.10.29
CNS 60335-2-6 C4547-2-6

家用和類似用途電器-安全性-第2-6部:放置型爐灶、爐架、烤箱及類似電器之個別規定

109.10.29
CNS 60335-2-21 C4547-2-21

家用和類似用途電器-安全性-第2-21部:貯備型熱水器之個別規定

109.10.29
CNS 60335-2-23 C4547-2-23

家用和類似用途電器-安全性-第2-23部:護膚或整髮電器之個別規定

109.10.29

廢止 (109年10月份 共廢止 CNS 3564 等 7 種)

 

詳見109/10/19公告

詳見109/10/29公告

 

勘誤 (109年10月份 共勘誤 11 種)

 

詳見109/10/28公告

 


 




 

發行人:連錦漳

主編:蘇憶琪

編輯小組:林傳偉、陳秀女、鄭乃元、駱美玲

發送服務:中華電信、正燁科技

創刊號 :97215
發刊頻率:月刊  (每月15
)
GPN4810002742

本電子報未經標準檢驗局許可,請勿轉載。

如對本報有任何意見,請與我們聯繫
臺北市中正區濟南路1段4號

服務專線:02-23431980