學術產出-學位論文

文章檢視/開啟

書目匯出

Google ScholarTM

政大圖書館

引文資訊

TAIR相關學術產出

題名 資訊安全法制趨勢研析– 論建立國家層級資通訊安全標準與認驗證制度
A Study of The Development Trend of Information Security Legal Framework – with Analysis of Establishing National-Level Information Security Standards and Certification Systems
作者 鄭祺耀
Cheng, Chih-Yao
貢獻者 楊雲驊
鄭祺耀
Cheng, Chih-Yao
關鍵詞 資訊安全
信息安全
資訊安全認證
信息安全認證
資訊安全評估
網路安全
網絡安全
Information security
Cybersecurity
Network security
Information security Certification
Information security evaluation
Information security Accreditation
日期 2021
上傳時間 1-十一月-2021 12:05:37 (UTC+8)
摘要 由於資訊科技快速發展,國家社會制度與人民生活型態皆隨之產生變化。隨著網際網路的普及,政府資訊系統及網路服務業者提供之網路服務也快速增加,民眾的日常已經難以離開網路資訊系統,如網路資訊系統遭駭客惡意破壞、癱瘓而無法正常運作,或因此導致個人資料外洩,將對民眾與社會產生巨大的影響。為了因應時局的改變,各國政府開始研提各種資訊安全法律制度,以促進資安發展,並加強對資訊資產的保護。本文將探討對世界有較大影響力的美國、日本、中國及歐盟在資訊安全法制上的發展,以了解資訊安全法制在世界上之發展趨勢。
在資訊安全領域中,本文認為資訊安全標準與認驗證制度為其中最重要之基石,因此,除了探討美國、日本、中國及歐盟之資訊安全法制基本架構外,更將深入了解其於資訊安全標準與認驗證制度上之發展與規畫。
綜合上述各國在資訊安全法制之規劃,多是成立國家層級專責監管機關,訂定資訊安全管理專法,要求政府機關與關鍵基礎設施業者應做好資訊系統之資安風險分級與資安防護計畫、評估與改善、緊急通報與分享、資安事件演練等。而在資訊安全標準與認驗證制度上,則多透過法律授權成立國家層級之專責機構,負責訂定資安標準並執行相關認驗證。
我國蔡英文總統於2016年8月在國安會提出「資安就是國安」政策,並於2018年6月通過「資通安全管理法」專法,我國開始進入資訊安全專法時代。然而比較我國與他國之資訊安全標準與認驗證制度,我國在資通安全管理法中,並未以法律授權成立國家層級之資訊安全標準機關,資通訊產品安全標準仍維持由各目的事業主管機構各自負責,導致我國資通訊相關產品及服務之資安標準與認驗證制度,缺少一個整體的框架,而無法制定出更全面的制度規畫。
本文嘗試透過探討美國、日本、中國及歐盟在資訊安全法制上之發展,反思我國現行制度上之不足,並建議應設立國家層級之資訊安全與認證標準專責機構,以完善我國資訊安全標準與認驗證制度,並以此為基礎,強化我國資訊安全法制之發展。
Due to the rapid development of information technology, the society and people’s lifestyles have changed. With the popularization of the internet, there are more and more internet services provided by government and internet service providers. It is difficult for people to go without the internet in their daily life. It will be a huge impact if the internet is damaged by hackers and cannot operate normally, or the personal information is exposed in a data breach. In response to changes in this situation, many countries start to establish a legal framework for information security. Their purposes is not only to promote the development of information security, but also to protect the information assets. This thesis will discuss the development of information security legal framework in the United States, Japan, China, and the European Union, which have a greater influence on the world, to understand the trend of information security legal framework in the world.
For the opinion of this thesis, information security standards and its certification systems are the most important parts in the field of information security. Therefore, in addition to the basic information legal framework, it will discuss the development and the plans of information security standards and certification systems in the United States, Japan, China, and the European Union.
Most countries choose to establish national-level dedicated supervisory agencies and formulate special laws on information security management in their information security legal framework. Moreover, they require that government agencies and critical infrastructure companies should confirm the risk classification, protection plans, assessment, improvement, emergency notification and incident drills of their information security systems. As for their information security standards and its certification systems, most countries choose to establish a national-level specialized agency which is authorized by law. The agency will responsible for set standards and implement related certification and verification.
In August 2016, our President Tsai Ing-wen put forward the “Cyber Security is National Security” policy at the National Security Council. After that, The Cyber Security Management Act was passed in June 2018. It shows that we have entered an era of Cyber Security. However, comparing our information security standards and its certification systems with other countries, instead of establishing a national-level specialized agency, our security standards are in charge of diffrerent agencies according to different types. Owing to the decentralized management, our information security standards and its certification systems lack an overall framework and a comprehensive plan.
The thesis aims to reflect on our shortcomings through discussing the development of information security legal framework in the United States, Japan, China, and the European Union. Also, the thesis suggests that we should establish a national-level specialized agency to promote the development of our information security legal framework.
參考文獻 一、 中文文獻
(一) 書籍
1. 中國信息安全產品測評認證中心編著,2004年7月,信息安全標準與法律法規,中國人民由電出版社
2. 北京郵電大學互聯網治理與法律研究中心編,2015年,中國網絡信息法律彙編,中國法制出版社
3. 李惠宗,2016年9月,行政法要義,七版,元照出版有限公司。
4. 周世杰,2015年12月,信息安全標準與法律法規,中國科學出版社
5. 黃波,2017年9月,信息安全法規彙編與案例分析,中國清華大學出版社
6. 楊智傑,2017年1月,資訊法,增訂第5版,五南圖書出版有限公司
7. 謝銘洋,2016年9月,智慧財產權法,修正七版,元照出版有限公司
8. 羅昌發,2014年4月,國際貿易法,二版,元照出版有限公司
9. 騰訊研究院著,2018年,網絡法論集,中國政法大學出版社

(二) 期刊論文
1. 王自雄,2015年8月,資通訊安全下之訊息分享與隱私權保障-簡析美國2015年網路保護法,科技法律透析,第27卷第8期,第15~20頁。
2. 王康慶,2015年6月,日本網絡信息安全保護的政策研究及啟示,福建警察學院學報,總第148期,
3. 王舒毅,2015年1月,日本網絡安全戰略發展、特點及借鑑,中國行政管理,總第355期,頁152
4. 王慶升、王曙光,2017年5月,物聯網信息安全認證體系研究,中國知網
5. 佟林杰、元佳杭,2018年4月,日本政府信息安全問責制度體系及借鏡,信息資源管理學報季刊,2018年第4期,頁63
6. 呂正華,2019年12月,我國物聯網資安產業標準與檢測認驗證推動策略與發展,國土及公共治理季刊,第七卷第四期。
7. 宋揚,2015年7月,美國信息安全保障立法體系介紹及思考,中國知網
8. 李永熙,2010年12月,日本信息安全政策概述,中國知網,
9. 沈怡伶,2014年 9月,美國國家標準技術局發布「改善關鍵基礎建設網路安全框架」文件,科技法律透析,第26卷第9期,第14頁。
10. 林娴嵐、李哲,2016年10月,美國國家標準與技術研究院的立法特點及啟示,中國知網
11. 柏 慧,2009年8月,美國國家信息安全立法及政策體系研究,海外視點月刊,2009年8期
12. 洪德欽, 2014年5月歐洲聯盟法的法源,華岡法萃第57期。
13. 翁耀南,認識美國國土安全部成立運作,台灣法律網,http://www.lawtw.com
14. 郝文江、張樂,2010年1月,美國信息安全戰略發展研究,北京人民警察學院學報,2010年1期
15. 馬曉旭,2014年3月,歐盟信息保護立法與美國域外取證得衝突和啟示
16. 張濤、王敏、黃道麗,2016年8月,信息系統安全治理框架:歐盟的經驗與啟示,中國知網
17. 許玉娜、羅豐盈,2014年1月,我國信息安全標準體系解析,保密科學技術。
18. 郭春濤,2009年8月,歐盟信息網絡安全法律規制借鑑,海外視點月刊,2009年8期
19. 劉靜怡、徐彪豪,2018年1月,行政院版資通安全管理法草案評析,月旦法學雜誌 272期
20. 劉金芳,2018年2月,歐美工控信息安全標準建設現狀及啟示,中國知網
21. 鄭蕾、江智茹,2012年10月,中國信息安全產品認證認可體系的法律問題研究,信息安全與通信保密,2012年10期
22. 樊國楨、林惠芳、黃健誠,2012年1月資訊安全法制化初探之一:根基於美國聯邦資訊安全管理法,資訊安全通訊,18卷1期。
23. 藩國禎、林數國,2017年1月,中華人民共和國資訊安全等級保護初探,資訊安全通訊,13卷1期。

(三) 博碩士學位論文
1. 王美靜,2016年7月,數位社會資訊安全密碼政策初探,國立交通大學碩士學位論文
2. 宋 淇,2015年4月,我國政府信息資源共享法律制度研究,重慶大學碩士學位論文
3. 宋文龍,2017年5月,歐盟網路安全治理研究,中國外交學院博士學位論文
4. 李小林,2016年4月,美國網絡安全立法研究及啟示,重慶大學碩士學位論文
5. 李小霞,2006年6月,中外信息安全法制建設比較研究,山西大學管理學院碩士論文
6. 李美良,2017年5月,歐巴馬政府網路安全戰略研究,北京外國語大學碩士學位論文
7. 李營輝,2016年6月,我國關鍵基礎設施立法保護研究,北京交通大學碩士學位論文
8. 常又天,2017年6月,美國網絡空間安全戰略研究,上海外國語大學碩士學位論文
9. 陳唅曉,2015年5月,美歐信息安全戰略互動及其趨勢研究,廣東外語外貿大學碩士學位論文
10. 陶國銀,2018年7月,全球治理視野下網路空間治理的問題研究,中共中央黨校碩士學位論文
11. 凱 特,2017年,國際信息安全立法比較研究-以俄羅斯、中國、美國為例,北京郵電大學碩士學位論文
12. 趙 武,2014年4月,雲計算與信息安全法律的思考,上海交通大學碩士學位論文
13. 趙栩冉,2017年6月,我國網絡安全審查立法研究,北京交通大學碩士學位論文
14. 顧 意,2014年5月,網路信息安全的法制研究,南京師範大學碩士學位論文

(四) 網際網路資源
1. GB 17859-1999計算機信息系統安全保護等級劃分準則,https://baike.baidu.com/item,最後瀏覽日2021年06月24日。
2. 互联网信息服务管理办法,https://baike.baidu.com/item/互聯網信息服務管理辦法,最後瀏覽日2021年06月24日。
3. 公共戶連網網路安全圖發事件分級預警、應急,http://www.cac.gov.cn/2017-11/25/c_1122007444.htm,最後瀏覽日2021年06月24日。
4. 公告晶片金融卡銀行安全準則之合格實驗室名單,中華民國銀行商業同業公會全國聯合會,2005年12月9日,https://www.ba.org.tw/VerifyArea/Details/721,最後瀏覽日2021年06月24日。
5. 计算机信息系统国际联网保密管理规定,https://baike.baidu.com/item/计算机信息系统国际联网保密管理规定,最後瀏覽日2021年06月24日。
6. 全国信息安全标准化技术委员会秘书处,信息安全国家标准目录(2018版),https://www.tc260.org.cn/file/xxaqgjbzml1.pdf,最後瀏覽日2021年06月24日。
7. 行政院及所屬各機關資訊安全管理要點,資通安全處,1999年9月15日,https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/d8877e64-ea4f-449e-ba68-97ad5621dbdf),最後瀏覽日2021年06月24日。
8. 行政院及所屬各機關資訊安全管理規範,資通安全處,1999年11月16日,https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/3ec00459-0f2f-43f7-9426-4ce3ab350184,最後瀏覽日2020年10月05日。
9. 行政院國家資通安全會報,https://nicst.ey.gov.tw/,最後瀏覽日2021年06月24日。
10. 行政院國家資通安全會報組織架構圖,行政院國家資通安全會報,https://nicst.ey.gov.tw/Page/1AD9DA2B470FD4C0,最後瀏覽日2021年06月24日。
11. 行政院國家資通安全會報設置要點,資通安全處,2019年2月14日, https://nicst.ey.gov.tw/Page/1308C3D16D271378,最後瀏覽日2021年06月24日。
12. 行動應用資安聯盟章程,行動應用資安聯盟,2016年11月29日,https://www.mas.org.tw/web_doc.php?cid=about-7,最後瀏覽日2021年06月24日。
13. 我國電腦機房異地備援機制參考指引,資通安全處,https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/bbd64c60-8141-4c5b-bbed-80ec453e948a,最後瀏覽日2020年10月05日。
14. 李福懿,出席2015年第16屆國際共同準則(ICCC)研討會,公務出國報告資訊網, https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C10404877,最後瀏覽日2021年06月24日。
15. 金融機構提供行動裝置應用程式作業規範,銀行公會,https://member.ba.org.tw/PublicInformation/Detail,最後瀏覽日2021年06月24日。
16. 信息安全等級保護管理辦法,http://www.djbh.net/webdev/web/HomeWebAction.do?p=getZcbz&id=2c9090942a0d4f31012a1c15302b003b&classification=ZCBZ_GLGF
17. 美國總統簽署《安全可信通訊網路法》, 資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8523,最後瀏覽日2020年10月30日。
18. 范晏儒,美國國家標準與技術研究院「隱私框架1.0版」, 資訊工業策進會科技法律研究所,2020年3月,https://stli.iii.org.tw/article-detail.aspx?no=57&tp=5&d=8405,最後瀏覽日2020年04月15日。
19. 赴德國參訪資訊安全機構,科技部公務出國報告資訊網,https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C10400627,最後瀏覽日2021年06月24日。
20. 修訂晶片金融卡安全評估作業之銀行安全準則相關辦法,中華民國銀行商業同業公會全國聯合會,https://www.ba.org.tw/VerifyArea/Details/1852,最後瀏覽日2021年06月24日。
21. 翁耀南,認識美國國土安全部成立與運作,台灣法律網,http://www.lawtw.com/template/blue/article_print.php,最後瀏覽日2021年06月24日。
22. 符合ISO/IEC 27001、CNS 27001及電信事業資通安全管理作業要點要求之驗證機構,國家通訊傳播委員會,https://www.ncc.gov.tw/chinese/content.aspx?site_content_sn=2252&is_history=0,最後瀏覽日2019年12月31日。
23. 組織與職掌 > 資通安全處,行政院, https://www.ey.gov.tw/Page/16445341FD049D38,最後瀏覽日2021年06月24日。
24. 智慧型手機系統內建軟體資安(ESS)認驗證體系介紹,國家通訊傳播委員會, https://www.ncc.gov.tw/chinese/content.aspx?site_content_sn=5089,最後瀏覽日2019年12月24日。
25. 智慧型手機系統內建軟體資通安全(ESS)檢測,中華民國資訊安全學會, http://www.ess.org.tw/index.html,最後瀏覽日2021年06月24日。
26. 無線網路攝影機資通安全檢測技術指引總說明,行政院研究發展考核委員會, https://www.ncc.gov.tw/chinese/files/18082/566_40370_180921_2.pdf,最後瀏覽日2021年06月24日。
27. 資訊技術安全測試檢測實驗室認證服務計畫,財團法人全國認證基金會, http://www.ess.org.tw/pdf/TAF資訊技術安全測試檢測實驗室認證服務計畫20170601.pdf,最後瀏覽日2021年06月24日。
28. 資通安全產品及保護剖繪審驗作業要點, http://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040410001001200-0960613,最後瀏覽日2021年06月24日。
29. 資通安全處,我國重大資安政策進程,2014年2月25日,https://nicst.ey.gov.tw/Page/296DE03FA832459B/38cce861-6713-4b4c-bd2f-3c1900af4756,最後瀏覽日2021年06月24日。
30. 實驗室認證通過名錄,中華民國資訊安全學會, https://ccisa.org.tw/ess/esslab_cert_list.html,最後瀏覽日2021年06月24日。
31. 實驗室認證通過名錄,行動應用資安聯盟, https://www.mas.org.tw/web_doc.php?cid=lab-2,最後瀏覽日2021年06月24日。
32. 管理系統驗證機構認證名錄,財團法人全國認證基金會, https://www.taftw.org.tw/wSite/sp?xdUrl=/wSite/taf/cbalab.jsp&ACCID=CBA_MS_ID&mp=1 ,最後瀏覽日2019年12月31日。
33. 認可實驗室名錄,台灣資通產業標準協會,https://www.taics.org.tw/Validation02.aspx?validateType_id=11,最後瀏覽日2021年06月20日。
34. 認證認可條例,http://www.cnca.gov.cn/bsdt/ywzl/flyzcyj/zcfg/200809/t20080925_36655.shtml,最後瀏覽日2021年06月24日。
35. 緣起背景,行政院國家資通安全會報, https://nicst.ey.gov.tw/Page/C008464A6C38F57C,最後瀏覽日2019年10月22日。
36. 關於加強網絡信息保護的決定, http://www.gov.cn/jrzg/2012-12/28/content_2301231.htm,最後瀏覽日2020年4月28日。
37. 關鍵資訊基礎設施資安防護建議,資通安全處, https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/9d5d35a2-d8b2-44ce-9bf1-562ddafe33db,最後瀏覽日2020年10月5日。
38. 蘇思漢、陳坤中,出席2019歐盟網路安全法國際會議(2019 International Conference on the EU Cybersecurity Act),公務出國報告資訊網, https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C10803289,最後瀏覽日2021年06月24日。
39. 行動應用App基本資安自主檢測推動制度V4.1,經濟部工業局,https://www.mas.org.tw/spaw2/uploads/files/20190916/AppV4.1.pdf,最後瀏覽日2019年12月24日。


二、 日文文獻
(一)網際網路資源
1. 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部),首相官邸,https://www.kantei.go.jp/jp/singi/it2/index.html (last visited Jun. 23, 2021)
2. 世界最先端 IT 国家創造宣言,首相官邸,https://www.kantei.go.jp/jp/singi/it2/dai62/siryou02_2.pdf
3. 重要インフラの情報セキュリティ対策に係る行動計画,2005年12月13日,NISC,https://www.nisc.go.jp/active/infra/pdf/infra_rt.pdf
4. 重要インフラの情報セキュリティ対策に係る第2次行動計画,2009年2月3日,NISC,https://www.nisc.go.jp/active/infra/pdf/infra_rt2-2-220203.pdf
5. 重要インフラの情報セキュリティ対策に係る第3次行動計画,2014年5月19日,NISC,https://www.nisc.go.jp/active/infra/pdf/infra_rt3.pdf
6. 施策① 安全基準等の整備及び浸透,NISC,https://www.nisc.go.jp/active/infra/shisaku1.html
7. 重要インフラにおける安全基準等の継続的改善状況等の調査について(2019年度),2019年7月13日,NISC,https://www.nisc.go.jp/active/infra/pdf/keizoku19.pdf
8. 重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版),2018年4月4日,NISC,https://www.nisc.go.jp/active/infra/pdf/shishin5rev.pdf
9. 「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づく情報共有の手引書,2020年3月,NISC,https://www.nisc.go.jp/active/infra/pdf/tebikisho.pdf
10. 重要インフラ 14 分野を対象にサービス障害対応のためのサイバー演習を実施~2020 年度「分野横断的演習」~,2020年12月8日,NISC, https://www.nisc.go.jp/active/infra/pdf/bunya_enshu20201208.pdf
11. 関係法令一覧,経済産業省,https://www.meti.go.jp/intro/law/ichiran.html (last visited Jun. 23, 2021)
12. 情報通信(ICT政策),総務省,https://www.soumu.go.jp/menu_seisaku/ictseisaku/index.html (last visited Jun. 23, 2021)
13. 国民のための情報セキュリティサイト,https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html (last visited Jun. 23, 2021)
14. 所管法令一覧ICT社会構築,総務省,https://www.soumu.go.jp/menu_hourei/itshakai.html (last visited Jun. 23, 2021)
15. Japan’s Security / Peace & Stability of the International Community, Ministry of Foreign Affairs of Japan, https://www.mofa.go.jp/policy/political_and_security.html (last visited Jun. 23, 2021)
16. 日本サイバー犯罪対策センター,https://www.jc3.or.jp/index.html (last visited Jun. 23, 2021)
17. サイバーレスキュー隊J-CRAT(ジェイ・クラート),IPA,https://www.ipa.go.jp/security/J-CRAT/index.html (last visited Jun. 23, 2021)
18. サイバーセキュリティ戦略本部,政府機関等の情報セキュリティ対策のための統一基準,2018年7月25日,NISC,https://www.nisc.go.jp/active/general/pdf/kijyun30.pdf
19. 内閣官房 内閣サイバーセキュリティセンター,政府機関等の対策基準策定のためのガイドライン,2018年7月25日,NISC,https://www.nisc.go.jp/active/general/pdf/guide30.pdf
20. 内閣官房 内閣サイバーセキュリティセンター,情報セキュリティ監査実施手順の策定手引書,2017年4月,NISC,https://www.nisc.go.jp/active/general/pdf/SecurityAuditManual.pdf
21. 政府情報システムのためのセキュリティ評価制度(ISMAP)について,NISC,https://www.nisc.go.jp/active/general/ismap.html (last visited Jun. 23, 2021)
22. 政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて,2020年1月30日,NISC,https://www.nisc.go.jp/active/general/pdf/wakugumi2020.pdf
23. 評価機関リスト,IPA,https://www.ipa.go.jp/security/jisec/eval-list.html (last visited Jun. 23, 2021)
24. 認証製品リスト,IPA,https://www.ipa.go.jp/security/jisec/certified_products/cert_list.html (last visited Jun. 23, 2021)
25. 評価認証制度(JISEC)概要,IPA,https://www.ipa.go.jp/security/jisec/scheme/index.html (last visited Jun. 23, 2021)
26. 暗号モジュール認証製品リスト,IPA,https://www.ipa.go.jp/security/jcmvp/val.html (last visited Jun. 23, 2021)
27. 本制度に関連するISO/IEC規格,IPA,https://www.ipa.go.jp/security/jcmvp/topics.html#iso (last visited Jun. 23, 2021)


三、 英文文獻
(一)書籍
1. HEDLEY & APLIN, IT AND E-COMMERRCE (4TH ED. 2012)
2. IAN WALDEN, COMPUTER CRIMES AND DIGITAL INVESTIGATIONS (2ND ED. 2016)
3. LLOYD, INFORMATION TECHNOLOGY LAW (8TH ED. 2014)

(二)網際網路資源
1. ISO27000, ISO, https://www.iso.org/search.html?q=27000&hPP=10&idx=all_en&p=1&hFR%5Bcategory%5D%5B0%5D=standard (last visited Jun. 12, 2021)
2. Common Criteria Website, https://www.commoncriteriaportal.org/
3. Product Compliant List, NIAP, https://www.niap-ccevs.org/Product/index.cfm (last visited Jun. 12, 2021)
4. CC Publications, Common Criteria, https://www.commoncriteriaportal.org/cc/ (last visited Jun. 12, 2021)
5. FACT SHEET: Cybersecurity National Action Plan, The White House, 2016, https://obamawhitehouse.archives.gov/the-press-office/2016/02/09/fact-sheet-cybersecurity-national-action-plan (last visited Jun. 12, 2021)
6. Framework for Improving Critical Infrastructure Cybersecurity, National Institute of Standards and Technology, April 16, 2018, https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
7. Kate Charlet, Understanding Federal Cybersecurity: Roles and Responsibilities, 2018, https://www.belfercenter.org/sites/default/files/files/publication/Understanding%20Federal%20Cybersecurity%2004-2018_0.pdf
8. Federal Information Security Modernization Act of 2014. Public Law 113-283, https://www.gpo.gov/fdsys/pkg/PLAW-107publ347/pdf/PLAW-107publ347.pdf
9. Office of Management and Budget, The White House, https://www.whitehouse.gov/omb/ (last visited Jul. 21, 2019)
10. Key DHS Laws, Homeland Security, https://www.dhs.gov/key-dhs-laws (last visited 20/7/2019)
11. Operational and Support Components, Homeland Security, https://www.dhs.gov/operational-and-support-components (last visited Jul. 20, 2019)
12. DOD Websites, U.S. DEPT OF DEFENSE, https://www.defense.gov/Resources/Military-Departments/DOD-Websites/ (last visited Jun. 12, 2021)
13. NSA Website, https://www.nsa.gov/ (last visited Jun. 12, 2021)
14. NIST General Information, NIST, https://www.nist.gov/director/pao/nist-general-information (last visited Jul. 25, 2019)
15. PUBLIC LAW 107–347—DEC. 17 2002, AUTHENTICATED U.S. GOVERNMENT INFORMATION GPO, https://www.govinfo.gov/content/pkg/PLAW-107publ347/pdf/PLAW-107publ347.pdf
16. NIST Risk Management Framework, NIST, https://csrc.nist.gov/Projects/risk-management/rmf-quick-start-guides (last visited Jun. 12, 2021)
17. New to Framework, NIST, https://www.nist.gov/cyberframework/new-framework (last visited Jun. 12, 2021)
18. PRIVACY FRAMEWORK, NIST, https://www.nist.gov/privacy-framework/new-framework (last visited Jun. 12, 2021)
19. NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT Version 1.0, NIST, January 16, 2020, https://www.nist.gov/system/files/documents/2020/01/16/NIST%20Privacy%20Framework_V1.0.pdf
20. COMPUTER SECURITY RESOURCE CENTER: Laws and Regulations, NIST, https://csrc.nist.gov/Topics/Laws-and-Regulations (last visited Jun. 12, 2021)
21. Cryptographic Module Validation Program, NIST, https://csrc.nist.gov/projects/cryptographic-module-validation-program (last visited Jun. 12, 2021)
22. Cryptographic and Security Testing LAP, NIST, https://www.nist.gov/nvlap/cryptographic-and-security-testing-lap (last visited Jun. 12, 2021)
23. National Voluntary Laboratory Accreditation Program: Procedures and
24. General Requirements, 2016 Edition, NIST, https://nvlpubs.nist.gov/nistpubs/hb/2016/NIST.HB.150-2016.pdf
25. Cryptographic Algorithm Validation Program Management Manual, DRAFT (Version 1.0), June 24, 2009, National Institute of Standards and Technology and Communications Security Establishment Canada, https://csrc.nist.gov/CSRC/media/Projects/Cryptographic-Algorithm-Validation-Program/documents/CAVPMM.pdf
26. Cryptographic Algorithm Validation Program, NIST, https://csrc.nist.gov/projects/cryptographic-algorithm-validation-program (last visited Jun. 12, 2021)
27. NIST Personal Identity Verification Program, NIST, https://csrc.nist.gov/projects/nist-s-personal-identity-verification-program (last visited Jun. 12, 2021)
28. Security Content Automation Protocol Validation Program, NIST, https://csrc.nist.gov/projects/scap-validation-program (last visited Jun. 12, 2021)
29. Information Technology, Prime Minister of Japan and His Cabinet, https://japan.kantei.go.jp/it_o_e.html
30. Outline of the Declaration to Be the World’s Most Advanced IT Nation / Basic Plan for the Advancement of Public and Private Sector Data Utilization , Prime Minister of Japan and His Cabinet, https://japan.kantei.go.jp/policy/it/2017/20170530_summary.pdf
31. Special Action Plan on Countermeasures to Cyber-terrorism of Critical Infrastructure (Summary), Prime Minister of Japan and His Cabinet, https://japan.kantei.go.jp/it/security/2001/cyber_terror_sum.html
32. NISC Website,https://www.nisc.go.jp/eng/index.html
33. Information Economy, METI, https://www.meti.go.jp/english/policy/mono_info_service/information_economy/index.html (last visited Jun. 12, 2021)
34. IoT Security Safety Framework, Nov. 5, 2020, METI, https://www.meti.go.jp/english/press/2020/pdf/1105_002a.pdf
35. NICT Website, https://www.nict.go.jp/ last visited 2021.06.12About IPA, IPA, https://www.ipa.go.jp/english/about/outline.html (last visited Aug. 18, 2019)
36. JPCERT Website,https://www.jpcert.or.jp/ (last visited Jun. 12, 2021)
37. Guidelines for the Forrmulation of Information Security,15 September, 2005, Information Security Policy Council, https://www.nisc.go.jp/eng/pdf/guidelines_sism_g_eng.pdf
38. Standards for Information Security Measures for the Central Government Computer Systems, Dec 2005, Information Security Policy Council, https://www.nisc.go.jp/eng/pdf/full1_sism_g_eng.pdf
39. History of Governmental Framework of Cybersecurity, NISC, https://www.nisc.go.jp/eng/pdf/history.pdf
40. About ENISA - The European Union Agency for Cybersecurity, ENISA, https://www.enisa.europa.eu/about-enisa (last visited Aug. 19, 2019)
41. About Us, CERT-EU, https://cert.europa.eu/cert/plainedition/en/cert_about.html (last visited Jun. 12, 2021)
42. New EU Cybersecurity Strategy, European Commission, https://ec.europa.eu/commission/presscorner/detail/en/IP_20_2391 (last visited Jun. 12, 2021)
43. NIS Directive, ENISA, https://www.enisa.europa.eu/topics/nis-directive (last visited Jun. 12, 2021)
44. Technical Guidelines for the implementation of minimum security measures for Digital Service Providers, ENISA, https://www.enisa.europa.eu/topics/publications/minimum-security-measures-for-digital-service-providers (last visited Jun. 12, 2021)
45. Guidelines on assessing DSP security and OES compliance with the NISD security requirements, ENISA, https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements (last visited Jun. 12, 2021)
46. CSIRTs and communities, ENISA, https://www.enisa.europa.eu/topics/cross-cooperation-for-csirts (last visited Jun. 12, 2021)
47. CSIRTS NETWORK Website, https://csirtsnetwork.eu/ (last visited Jun. 23, 2021)
48. Cybersecurity Incident Report and Analysis System – Visual Analysis Tool, ENISA, https://www.enisa.europa.eu/topics/incident-reporting/cybersecurity-incident-report-and-analysis-system-visual-analysis/visual-tool (last visited Jun. 23, 2021)
49. NCSS Good Practice Guide, ENISA, https://www.enisa.europa.eu/publications/ncss-good-practice-guide (last visited Jun. 23, 2021)
50. An evaluation framework for Cyber Security Strategies, ENISA, https://www.enisa.europa.eu/publications/an-evaluation-framework-for-cyber-security-strategies (last visited Jun. 23, 2021)
51. National Cyber Security Strategies - Interactive Map, ENISA, https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/national-cyber-security-strategies-interactive-map (last visited Jun. 23, 2021)
52. Public Private Partnerships (PPP) - Cooperative models, ENSA, https://www.enisa.europa.eu/publications/public-private-partnerships-ppp-cooperative-models (last visited Jun. 23, 2021)
53. EP3R 2009-2013 Future of NIS Public Private Cooperation, ENISA, https://www.enisa.europa.eu/publications/ep3r-2009-2013 (last visited Jun. 23, 2021)
54. Good Practice Guide on Cooperatve Models for Effective PPPs, ENISA, https://www.enisa.europa.eu/publications/good-practice-guide-on-cooperatve-models-for-effective-ppps (last visited Jun. 23, 2021)
55. Desktop Reserach on Public Private Partnerships, ENISA, https://www.enisa.europa.eu/publications/copy_of_desktop-reserach-on-public-private-partnerships (last visited Jun. 23, 2021)
56. ETSI Website, https://www.etsi.org/ (last visited Jun. 23, 2021)
57. CEN Website https://www.cen.eu/about/Pages/default.aspx (last visited Jun. 23, 2021)
58. CENELEC Website, https://www.cenelec.eu/ (last visited Jun. 23, 2021)
描述 碩士
國立政治大學
法學院碩士在職專班
105961005
資料來源 http://thesis.lib.nccu.edu.tw/record/#G0105961005
資料類型 thesis
dc.contributor.advisor 楊雲驊zh_TW
dc.contributor.author (作者) 鄭祺耀zh_TW
dc.contributor.author (作者) Cheng, Chih-Yaoen_US
dc.creator (作者) 鄭祺耀zh_TW
dc.creator (作者) Cheng, Chih-Yaoen_US
dc.date (日期) 2021en_US
dc.date.accessioned 1-十一月-2021 12:05:37 (UTC+8)-
dc.date.available 1-十一月-2021 12:05:37 (UTC+8)-
dc.date.issued (上傳時間) 1-十一月-2021 12:05:37 (UTC+8)-
dc.identifier (其他 識別碼) G0105961005en_US
dc.identifier.uri (URI) http://nccur.lib.nccu.edu.tw/handle/140.119/137693-
dc.description (描述) 碩士zh_TW
dc.description (描述) 國立政治大學zh_TW
dc.description (描述) 法學院碩士在職專班zh_TW
dc.description (描述) 105961005zh_TW
dc.description.abstract (摘要) 由於資訊科技快速發展,國家社會制度與人民生活型態皆隨之產生變化。隨著網際網路的普及,政府資訊系統及網路服務業者提供之網路服務也快速增加,民眾的日常已經難以離開網路資訊系統,如網路資訊系統遭駭客惡意破壞、癱瘓而無法正常運作,或因此導致個人資料外洩,將對民眾與社會產生巨大的影響。為了因應時局的改變,各國政府開始研提各種資訊安全法律制度,以促進資安發展,並加強對資訊資產的保護。本文將探討對世界有較大影響力的美國、日本、中國及歐盟在資訊安全法制上的發展,以了解資訊安全法制在世界上之發展趨勢。
在資訊安全領域中,本文認為資訊安全標準與認驗證制度為其中最重要之基石,因此,除了探討美國、日本、中國及歐盟之資訊安全法制基本架構外,更將深入了解其於資訊安全標準與認驗證制度上之發展與規畫。
綜合上述各國在資訊安全法制之規劃,多是成立國家層級專責監管機關,訂定資訊安全管理專法,要求政府機關與關鍵基礎設施業者應做好資訊系統之資安風險分級與資安防護計畫、評估與改善、緊急通報與分享、資安事件演練等。而在資訊安全標準與認驗證制度上,則多透過法律授權成立國家層級之專責機構,負責訂定資安標準並執行相關認驗證。
我國蔡英文總統於2016年8月在國安會提出「資安就是國安」政策,並於2018年6月通過「資通安全管理法」專法,我國開始進入資訊安全專法時代。然而比較我國與他國之資訊安全標準與認驗證制度,我國在資通安全管理法中,並未以法律授權成立國家層級之資訊安全標準機關,資通訊產品安全標準仍維持由各目的事業主管機構各自負責,導致我國資通訊相關產品及服務之資安標準與認驗證制度,缺少一個整體的框架,而無法制定出更全面的制度規畫。
本文嘗試透過探討美國、日本、中國及歐盟在資訊安全法制上之發展,反思我國現行制度上之不足,並建議應設立國家層級之資訊安全與認證標準專責機構,以完善我國資訊安全標準與認驗證制度,並以此為基礎,強化我國資訊安全法制之發展。
zh_TW
dc.description.abstract (摘要) Due to the rapid development of information technology, the society and people’s lifestyles have changed. With the popularization of the internet, there are more and more internet services provided by government and internet service providers. It is difficult for people to go without the internet in their daily life. It will be a huge impact if the internet is damaged by hackers and cannot operate normally, or the personal information is exposed in a data breach. In response to changes in this situation, many countries start to establish a legal framework for information security. Their purposes is not only to promote the development of information security, but also to protect the information assets. This thesis will discuss the development of information security legal framework in the United States, Japan, China, and the European Union, which have a greater influence on the world, to understand the trend of information security legal framework in the world.
For the opinion of this thesis, information security standards and its certification systems are the most important parts in the field of information security. Therefore, in addition to the basic information legal framework, it will discuss the development and the plans of information security standards and certification systems in the United States, Japan, China, and the European Union.
Most countries choose to establish national-level dedicated supervisory agencies and formulate special laws on information security management in their information security legal framework. Moreover, they require that government agencies and critical infrastructure companies should confirm the risk classification, protection plans, assessment, improvement, emergency notification and incident drills of their information security systems. As for their information security standards and its certification systems, most countries choose to establish a national-level specialized agency which is authorized by law. The agency will responsible for set standards and implement related certification and verification.
In August 2016, our President Tsai Ing-wen put forward the “Cyber Security is National Security” policy at the National Security Council. After that, The Cyber Security Management Act was passed in June 2018. It shows that we have entered an era of Cyber Security. However, comparing our information security standards and its certification systems with other countries, instead of establishing a national-level specialized agency, our security standards are in charge of diffrerent agencies according to different types. Owing to the decentralized management, our information security standards and its certification systems lack an overall framework and a comprehensive plan.
The thesis aims to reflect on our shortcomings through discussing the development of information security legal framework in the United States, Japan, China, and the European Union. Also, the thesis suggests that we should establish a national-level specialized agency to promote the development of our information security legal framework.
en_US
dc.description.tableofcontents 第一章 緒論 1
第一節 研究動機 1
第二節 研究方法 4
第三節 本文架構 4
第二章 我國資訊安全法制發展 7
第一節 我國資訊安全法制概覽 7
第一項 行政院國家資通安全會報資通安全計畫 7
第二項 配合資訊化社會與電子化政府相關法規 9
第三項 資通安全管理專法 11
第二節 我國資通訊安全相關機關、組織與職責 12
第一項 立法院 12
第二項 國家安全會議 12
第三項 行政院國家資通安全會報 12
第四項 行政院資通安全處 13
第五項 技術服務中心 14
第六項 中央目的主管機關 14
第三節 資訊安全監管運作 15
第一項 資通安全責任等級 15
第二項 資通安全維護計畫實施 16
第三項 資通安全事件通報及應變 17
第四項 資通安全情資分享 18
第五項 我國資安聯防體系架構 18
第四節 標準機關與產品安全標準 19
第一項 國際標準 19
第二項 國家標準 23
第三項 中央目的事業機關標準 24
第四項 公協會自律規約標準 25
第五節 認驗制度與國際互通 26
第一項 資訊安全管理系統 27
第二項 智慧型手機應用程式 28
第三項 共通準則評估標準 30
第四項 物聯網設備資訊安全驗證 31
第五項 重要資通訊產品標準與認驗證機關彙整表 32
第六項 國際合作部分 34
第六節 小結 35
第三章 美國資訊安全法制發展 39
第一節 美國資訊安全法制概覽 39
第一項 資訊化社會策略 39
第二項 資料保護及隱私 39
第三項 聯邦政府資訊安全管理 40
第四項 關鍵基礎設施保護 41
第五項 資訊安全情資分享 43
第六項 標準與認證機關 43
第七項 網路空間安全 43
第二節 美國資訊安全主管機關組織與職責 45
第一項 國會 45
第二項 白宮 45
第三項 聯邦機構 46
第三節 美國資訊安全監管運作 48
第一項 聯邦資訊安全管理法之監管運作 48
第二項 網路事件響應 51
第三項 網路安全評估 51
第四項 信息共享 51
第五項 風險管理框架 52
第六項 網絡安全框架 53
第七項 隱私框架 56
第四節 資訊安全標準機關與資訊安全產品系統服務標準 57
第一項 聯邦資訊處理標準系列 58
第二項 特別出版品系列 58
第三項 風險管理框架相關標準文件 59
第四項 雲計算 59
第五節 國家認驗證機制 59
第一項 法律授權之國家層級認證(可)機關 59
第二項 加密模塊驗證程序 60
第三項 密碼算法驗證程序 60
第四項 個人身份驗證程序 60
第五項 國家資訊安全保障合作組織 61
第六項 安全內容自動化協議驗證程序 62
第六節 小結 62
第四章 日本資訊安全法制發展 65
第一節 日本資訊與安全法制發展概述 65
第一項 資訊與安全戰略發展 65
第二項 資訊安全法律 69
第二節 日本資訊安全機關組織 70
第一項 內閣 70
第二項 各省廳 72
第三項 行政法人 73
第三節 日本政府資訊安全管理系統運作 76
第一項 資訊安全政策機關 77
第二項 政府機關與相關機構資訊安全措施執行單位 77
第三項 監督與稽核機構 77
第四項 第三方評估機關 77
第四節 日本資訊安全標準與制定機關 78
第一項 政府機構信息安全措施通用標準 78
第二項 政府機關等製定對策標準的指南 78
第三項 資訊安全審計實施程序指南 78
第四項 政府信息系統安全評估系統標準 79
第五項 日本加密模塊安全標準 79
第五節 日本資訊安全認驗證制度之發展 79
第一項 資訊科技安全評估和認證系統 79
第二項 加密模組的安全測試要求 80
第三項 工業控制系統資安認驗證系統 80
第四項 關於政府資訊系統安全評估制度 81
第六節 小結 81
第五章 中國資訊安全法制發展 83
第一節 中國資訊安全制度發展概覽 83
第一項 人民大會通過之法律 83
第二項 人民代表大會常務委員會通過之法律 83
第三項 國務院制定之行政法規 86
第四項 國務院各部門制定法規 89
第五項 國務院直屬機關或事業單位之規章 95
第二節 資訊安全機關組織與職責 95
第一項 國家網信辦 95
第二項 工業和信息化部 96
第三項 公安部 96
第四項 全國信息安全標準化技術委員會 96
第五項 國家密碼管理局 97
第六項 國家保密局 97
第七項 國家市場監督管理總局 97
第八項 中國網路安全審查技術與認證中心 97
第九項 國家計算機網路應急技術處理中心 98
第三節 中國資訊安全監管制度 98
第四節 安全標準機關與產品安全標準 105
第五節 認可認證制度 113
第六節 小結 114
第六章 歐盟資訊安全法制發展 117
第一節 歐盟資訊安全制度概覽 117
第二節 歐盟重要之資訊安全機關 119
第一項 歐盟執委會 120
第二項 歐盟網絡安全局 120
第三項 歐洲打擊網路犯罪中心 120
第四項 歐盟電腦緊急應變小組 120
第五項 歐洲網路資通安全組織 120
第三節 歐盟重要資訊安全策略與法規 121
第一項 歐盟網絡安全戰略 121
第二項 網路和信息系統安全性指令 122
第三項 網路安全法 123
第四節 歐盟網路資訊安全局資訊安全措施 123
第一項 基本服務的運營者與數字服務提供商資訊安全規範 124
第二項 電腦安全事件反應小組CSIRT服務 124
第三項 關鍵基礎設施和服務 125
第四項 事故報告 126
第五項 國家網絡安全策略 126
第六項 標準與認證 126
第五節 小結 128
第七章 結論 131
第一節 本文建議 131
第一項 「數位發展部」為資通訊產品安全標準及認驗證專責機構 131
第二項 建立階層式資訊安全標準制度與認驗證制度 132
第三項 資訊安全標準建議事項 132
第四項 建立良善資訊安全人才培養環境 133
第五項 對未來的科技發展預為準備 134
第二節 結語 134
參考文獻 137
zh_TW
dc.format.extent 6180443 bytes-
dc.format.mimetype application/pdf-
dc.source.uri (資料來源) http://thesis.lib.nccu.edu.tw/record/#G0105961005en_US
dc.subject (關鍵詞) 資訊安全zh_TW
dc.subject (關鍵詞) 信息安全zh_TW
dc.subject (關鍵詞) 資訊安全認證zh_TW
dc.subject (關鍵詞) 信息安全認證zh_TW
dc.subject (關鍵詞) 資訊安全評估zh_TW
dc.subject (關鍵詞) 網路安全zh_TW
dc.subject (關鍵詞) 網絡安全zh_TW
dc.subject (關鍵詞) Information securityen_US
dc.subject (關鍵詞) Cybersecurityen_US
dc.subject (關鍵詞) Network securityen_US
dc.subject (關鍵詞) Information security Certificationen_US
dc.subject (關鍵詞) Information security evaluationen_US
dc.subject (關鍵詞) Information security Accreditationen_US
dc.title (題名) 資訊安全法制趨勢研析– 論建立國家層級資通訊安全標準與認驗證制度zh_TW
dc.title (題名) A Study of The Development Trend of Information Security Legal Framework – with Analysis of Establishing National-Level Information Security Standards and Certification Systemsen_US
dc.type (資料類型) thesisen_US
dc.relation.reference (參考文獻) 一、 中文文獻
(一) 書籍
1. 中國信息安全產品測評認證中心編著,2004年7月,信息安全標準與法律法規,中國人民由電出版社
2. 北京郵電大學互聯網治理與法律研究中心編,2015年,中國網絡信息法律彙編,中國法制出版社
3. 李惠宗,2016年9月,行政法要義,七版,元照出版有限公司。
4. 周世杰,2015年12月,信息安全標準與法律法規,中國科學出版社
5. 黃波,2017年9月,信息安全法規彙編與案例分析,中國清華大學出版社
6. 楊智傑,2017年1月,資訊法,增訂第5版,五南圖書出版有限公司
7. 謝銘洋,2016年9月,智慧財產權法,修正七版,元照出版有限公司
8. 羅昌發,2014年4月,國際貿易法,二版,元照出版有限公司
9. 騰訊研究院著,2018年,網絡法論集,中國政法大學出版社

(二) 期刊論文
1. 王自雄,2015年8月,資通訊安全下之訊息分享與隱私權保障-簡析美國2015年網路保護法,科技法律透析,第27卷第8期,第15~20頁。
2. 王康慶,2015年6月,日本網絡信息安全保護的政策研究及啟示,福建警察學院學報,總第148期,
3. 王舒毅,2015年1月,日本網絡安全戰略發展、特點及借鑑,中國行政管理,總第355期,頁152
4. 王慶升、王曙光,2017年5月,物聯網信息安全認證體系研究,中國知網
5. 佟林杰、元佳杭,2018年4月,日本政府信息安全問責制度體系及借鏡,信息資源管理學報季刊,2018年第4期,頁63
6. 呂正華,2019年12月,我國物聯網資安產業標準與檢測認驗證推動策略與發展,國土及公共治理季刊,第七卷第四期。
7. 宋揚,2015年7月,美國信息安全保障立法體系介紹及思考,中國知網
8. 李永熙,2010年12月,日本信息安全政策概述,中國知網,
9. 沈怡伶,2014年 9月,美國國家標準技術局發布「改善關鍵基礎建設網路安全框架」文件,科技法律透析,第26卷第9期,第14頁。
10. 林娴嵐、李哲,2016年10月,美國國家標準與技術研究院的立法特點及啟示,中國知網
11. 柏 慧,2009年8月,美國國家信息安全立法及政策體系研究,海外視點月刊,2009年8期
12. 洪德欽, 2014年5月歐洲聯盟法的法源,華岡法萃第57期。
13. 翁耀南,認識美國國土安全部成立運作,台灣法律網,http://www.lawtw.com
14. 郝文江、張樂,2010年1月,美國信息安全戰略發展研究,北京人民警察學院學報,2010年1期
15. 馬曉旭,2014年3月,歐盟信息保護立法與美國域外取證得衝突和啟示
16. 張濤、王敏、黃道麗,2016年8月,信息系統安全治理框架:歐盟的經驗與啟示,中國知網
17. 許玉娜、羅豐盈,2014年1月,我國信息安全標準體系解析,保密科學技術。
18. 郭春濤,2009年8月,歐盟信息網絡安全法律規制借鑑,海外視點月刊,2009年8期
19. 劉靜怡、徐彪豪,2018年1月,行政院版資通安全管理法草案評析,月旦法學雜誌 272期
20. 劉金芳,2018年2月,歐美工控信息安全標準建設現狀及啟示,中國知網
21. 鄭蕾、江智茹,2012年10月,中國信息安全產品認證認可體系的法律問題研究,信息安全與通信保密,2012年10期
22. 樊國楨、林惠芳、黃健誠,2012年1月資訊安全法制化初探之一:根基於美國聯邦資訊安全管理法,資訊安全通訊,18卷1期。
23. 藩國禎、林數國,2017年1月,中華人民共和國資訊安全等級保護初探,資訊安全通訊,13卷1期。

(三) 博碩士學位論文
1. 王美靜,2016年7月,數位社會資訊安全密碼政策初探,國立交通大學碩士學位論文
2. 宋 淇,2015年4月,我國政府信息資源共享法律制度研究,重慶大學碩士學位論文
3. 宋文龍,2017年5月,歐盟網路安全治理研究,中國外交學院博士學位論文
4. 李小林,2016年4月,美國網絡安全立法研究及啟示,重慶大學碩士學位論文
5. 李小霞,2006年6月,中外信息安全法制建設比較研究,山西大學管理學院碩士論文
6. 李美良,2017年5月,歐巴馬政府網路安全戰略研究,北京外國語大學碩士學位論文
7. 李營輝,2016年6月,我國關鍵基礎設施立法保護研究,北京交通大學碩士學位論文
8. 常又天,2017年6月,美國網絡空間安全戰略研究,上海外國語大學碩士學位論文
9. 陳唅曉,2015年5月,美歐信息安全戰略互動及其趨勢研究,廣東外語外貿大學碩士學位論文
10. 陶國銀,2018年7月,全球治理視野下網路空間治理的問題研究,中共中央黨校碩士學位論文
11. 凱 特,2017年,國際信息安全立法比較研究-以俄羅斯、中國、美國為例,北京郵電大學碩士學位論文
12. 趙 武,2014年4月,雲計算與信息安全法律的思考,上海交通大學碩士學位論文
13. 趙栩冉,2017年6月,我國網絡安全審查立法研究,北京交通大學碩士學位論文
14. 顧 意,2014年5月,網路信息安全的法制研究,南京師範大學碩士學位論文

(四) 網際網路資源
1. GB 17859-1999計算機信息系統安全保護等級劃分準則,https://baike.baidu.com/item,最後瀏覽日2021年06月24日。
2. 互联网信息服务管理办法,https://baike.baidu.com/item/互聯網信息服務管理辦法,最後瀏覽日2021年06月24日。
3. 公共戶連網網路安全圖發事件分級預警、應急,http://www.cac.gov.cn/2017-11/25/c_1122007444.htm,最後瀏覽日2021年06月24日。
4. 公告晶片金融卡銀行安全準則之合格實驗室名單,中華民國銀行商業同業公會全國聯合會,2005年12月9日,https://www.ba.org.tw/VerifyArea/Details/721,最後瀏覽日2021年06月24日。
5. 计算机信息系统国际联网保密管理规定,https://baike.baidu.com/item/计算机信息系统国际联网保密管理规定,最後瀏覽日2021年06月24日。
6. 全国信息安全标准化技术委员会秘书处,信息安全国家标准目录(2018版),https://www.tc260.org.cn/file/xxaqgjbzml1.pdf,最後瀏覽日2021年06月24日。
7. 行政院及所屬各機關資訊安全管理要點,資通安全處,1999年9月15日,https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/d8877e64-ea4f-449e-ba68-97ad5621dbdf),最後瀏覽日2021年06月24日。
8. 行政院及所屬各機關資訊安全管理規範,資通安全處,1999年11月16日,https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/3ec00459-0f2f-43f7-9426-4ce3ab350184,最後瀏覽日2020年10月05日。
9. 行政院國家資通安全會報,https://nicst.ey.gov.tw/,最後瀏覽日2021年06月24日。
10. 行政院國家資通安全會報組織架構圖,行政院國家資通安全會報,https://nicst.ey.gov.tw/Page/1AD9DA2B470FD4C0,最後瀏覽日2021年06月24日。
11. 行政院國家資通安全會報設置要點,資通安全處,2019年2月14日, https://nicst.ey.gov.tw/Page/1308C3D16D271378,最後瀏覽日2021年06月24日。
12. 行動應用資安聯盟章程,行動應用資安聯盟,2016年11月29日,https://www.mas.org.tw/web_doc.php?cid=about-7,最後瀏覽日2021年06月24日。
13. 我國電腦機房異地備援機制參考指引,資通安全處,https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/bbd64c60-8141-4c5b-bbed-80ec453e948a,最後瀏覽日2020年10月05日。
14. 李福懿,出席2015年第16屆國際共同準則(ICCC)研討會,公務出國報告資訊網, https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C10404877,最後瀏覽日2021年06月24日。
15. 金融機構提供行動裝置應用程式作業規範,銀行公會,https://member.ba.org.tw/PublicInformation/Detail,最後瀏覽日2021年06月24日。
16. 信息安全等級保護管理辦法,http://www.djbh.net/webdev/web/HomeWebAction.do?p=getZcbz&id=2c9090942a0d4f31012a1c15302b003b&classification=ZCBZ_GLGF
17. 美國總統簽署《安全可信通訊網路法》, 資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8523,最後瀏覽日2020年10月30日。
18. 范晏儒,美國國家標準與技術研究院「隱私框架1.0版」, 資訊工業策進會科技法律研究所,2020年3月,https://stli.iii.org.tw/article-detail.aspx?no=57&tp=5&d=8405,最後瀏覽日2020年04月15日。
19. 赴德國參訪資訊安全機構,科技部公務出國報告資訊網,https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C10400627,最後瀏覽日2021年06月24日。
20. 修訂晶片金融卡安全評估作業之銀行安全準則相關辦法,中華民國銀行商業同業公會全國聯合會,https://www.ba.org.tw/VerifyArea/Details/1852,最後瀏覽日2021年06月24日。
21. 翁耀南,認識美國國土安全部成立與運作,台灣法律網,http://www.lawtw.com/template/blue/article_print.php,最後瀏覽日2021年06月24日。
22. 符合ISO/IEC 27001、CNS 27001及電信事業資通安全管理作業要點要求之驗證機構,國家通訊傳播委員會,https://www.ncc.gov.tw/chinese/content.aspx?site_content_sn=2252&is_history=0,最後瀏覽日2019年12月31日。
23. 組織與職掌 > 資通安全處,行政院, https://www.ey.gov.tw/Page/16445341FD049D38,最後瀏覽日2021年06月24日。
24. 智慧型手機系統內建軟體資安(ESS)認驗證體系介紹,國家通訊傳播委員會, https://www.ncc.gov.tw/chinese/content.aspx?site_content_sn=5089,最後瀏覽日2019年12月24日。
25. 智慧型手機系統內建軟體資通安全(ESS)檢測,中華民國資訊安全學會, http://www.ess.org.tw/index.html,最後瀏覽日2021年06月24日。
26. 無線網路攝影機資通安全檢測技術指引總說明,行政院研究發展考核委員會, https://www.ncc.gov.tw/chinese/files/18082/566_40370_180921_2.pdf,最後瀏覽日2021年06月24日。
27. 資訊技術安全測試檢測實驗室認證服務計畫,財團法人全國認證基金會, http://www.ess.org.tw/pdf/TAF資訊技術安全測試檢測實驗室認證服務計畫20170601.pdf,最後瀏覽日2021年06月24日。
28. 資通安全產品及保護剖繪審驗作業要點, http://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040410001001200-0960613,最後瀏覽日2021年06月24日。
29. 資通安全處,我國重大資安政策進程,2014年2月25日,https://nicst.ey.gov.tw/Page/296DE03FA832459B/38cce861-6713-4b4c-bd2f-3c1900af4756,最後瀏覽日2021年06月24日。
30. 實驗室認證通過名錄,中華民國資訊安全學會, https://ccisa.org.tw/ess/esslab_cert_list.html,最後瀏覽日2021年06月24日。
31. 實驗室認證通過名錄,行動應用資安聯盟, https://www.mas.org.tw/web_doc.php?cid=lab-2,最後瀏覽日2021年06月24日。
32. 管理系統驗證機構認證名錄,財團法人全國認證基金會, https://www.taftw.org.tw/wSite/sp?xdUrl=/wSite/taf/cbalab.jsp&ACCID=CBA_MS_ID&mp=1 ,最後瀏覽日2019年12月31日。
33. 認可實驗室名錄,台灣資通產業標準協會,https://www.taics.org.tw/Validation02.aspx?validateType_id=11,最後瀏覽日2021年06月20日。
34. 認證認可條例,http://www.cnca.gov.cn/bsdt/ywzl/flyzcyj/zcfg/200809/t20080925_36655.shtml,最後瀏覽日2021年06月24日。
35. 緣起背景,行政院國家資通安全會報, https://nicst.ey.gov.tw/Page/C008464A6C38F57C,最後瀏覽日2019年10月22日。
36. 關於加強網絡信息保護的決定, http://www.gov.cn/jrzg/2012-12/28/content_2301231.htm,最後瀏覽日2020年4月28日。
37. 關鍵資訊基礎設施資安防護建議,資通安全處, https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/9d5d35a2-d8b2-44ce-9bf1-562ddafe33db,最後瀏覽日2020年10月5日。
38. 蘇思漢、陳坤中,出席2019歐盟網路安全法國際會議(2019 International Conference on the EU Cybersecurity Act),公務出國報告資訊網, https://report.nat.gov.tw/ReportFront/ReportDetail/detail?sysId=C10803289,最後瀏覽日2021年06月24日。
39. 行動應用App基本資安自主檢測推動制度V4.1,經濟部工業局,https://www.mas.org.tw/spaw2/uploads/files/20190916/AppV4.1.pdf,最後瀏覽日2019年12月24日。


二、 日文文獻
(一)網際網路資源
1. 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部),首相官邸,https://www.kantei.go.jp/jp/singi/it2/index.html (last visited Jun. 23, 2021)
2. 世界最先端 IT 国家創造宣言,首相官邸,https://www.kantei.go.jp/jp/singi/it2/dai62/siryou02_2.pdf
3. 重要インフラの情報セキュリティ対策に係る行動計画,2005年12月13日,NISC,https://www.nisc.go.jp/active/infra/pdf/infra_rt.pdf
4. 重要インフラの情報セキュリティ対策に係る第2次行動計画,2009年2月3日,NISC,https://www.nisc.go.jp/active/infra/pdf/infra_rt2-2-220203.pdf
5. 重要インフラの情報セキュリティ対策に係る第3次行動計画,2014年5月19日,NISC,https://www.nisc.go.jp/active/infra/pdf/infra_rt3.pdf
6. 施策① 安全基準等の整備及び浸透,NISC,https://www.nisc.go.jp/active/infra/shisaku1.html
7. 重要インフラにおける安全基準等の継続的改善状況等の調査について(2019年度),2019年7月13日,NISC,https://www.nisc.go.jp/active/infra/pdf/keizoku19.pdf
8. 重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版),2018年4月4日,NISC,https://www.nisc.go.jp/active/infra/pdf/shishin5rev.pdf
9. 「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づく情報共有の手引書,2020年3月,NISC,https://www.nisc.go.jp/active/infra/pdf/tebikisho.pdf
10. 重要インフラ 14 分野を対象にサービス障害対応のためのサイバー演習を実施~2020 年度「分野横断的演習」~,2020年12月8日,NISC, https://www.nisc.go.jp/active/infra/pdf/bunya_enshu20201208.pdf
11. 関係法令一覧,経済産業省,https://www.meti.go.jp/intro/law/ichiran.html (last visited Jun. 23, 2021)
12. 情報通信(ICT政策),総務省,https://www.soumu.go.jp/menu_seisaku/ictseisaku/index.html (last visited Jun. 23, 2021)
13. 国民のための情報セキュリティサイト,https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html (last visited Jun. 23, 2021)
14. 所管法令一覧ICT社会構築,総務省,https://www.soumu.go.jp/menu_hourei/itshakai.html (last visited Jun. 23, 2021)
15. Japan’s Security / Peace & Stability of the International Community, Ministry of Foreign Affairs of Japan, https://www.mofa.go.jp/policy/political_and_security.html (last visited Jun. 23, 2021)
16. 日本サイバー犯罪対策センター,https://www.jc3.or.jp/index.html (last visited Jun. 23, 2021)
17. サイバーレスキュー隊J-CRAT(ジェイ・クラート),IPA,https://www.ipa.go.jp/security/J-CRAT/index.html (last visited Jun. 23, 2021)
18. サイバーセキュリティ戦略本部,政府機関等の情報セキュリティ対策のための統一基準,2018年7月25日,NISC,https://www.nisc.go.jp/active/general/pdf/kijyun30.pdf
19. 内閣官房 内閣サイバーセキュリティセンター,政府機関等の対策基準策定のためのガイドライン,2018年7月25日,NISC,https://www.nisc.go.jp/active/general/pdf/guide30.pdf
20. 内閣官房 内閣サイバーセキュリティセンター,情報セキュリティ監査実施手順の策定手引書,2017年4月,NISC,https://www.nisc.go.jp/active/general/pdf/SecurityAuditManual.pdf
21. 政府情報システムのためのセキュリティ評価制度(ISMAP)について,NISC,https://www.nisc.go.jp/active/general/ismap.html (last visited Jun. 23, 2021)
22. 政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて,2020年1月30日,NISC,https://www.nisc.go.jp/active/general/pdf/wakugumi2020.pdf
23. 評価機関リスト,IPA,https://www.ipa.go.jp/security/jisec/eval-list.html (last visited Jun. 23, 2021)
24. 認証製品リスト,IPA,https://www.ipa.go.jp/security/jisec/certified_products/cert_list.html (last visited Jun. 23, 2021)
25. 評価認証制度(JISEC)概要,IPA,https://www.ipa.go.jp/security/jisec/scheme/index.html (last visited Jun. 23, 2021)
26. 暗号モジュール認証製品リスト,IPA,https://www.ipa.go.jp/security/jcmvp/val.html (last visited Jun. 23, 2021)
27. 本制度に関連するISO/IEC規格,IPA,https://www.ipa.go.jp/security/jcmvp/topics.html#iso (last visited Jun. 23, 2021)


三、 英文文獻
(一)書籍
1. HEDLEY & APLIN, IT AND E-COMMERRCE (4TH ED. 2012)
2. IAN WALDEN, COMPUTER CRIMES AND DIGITAL INVESTIGATIONS (2ND ED. 2016)
3. LLOYD, INFORMATION TECHNOLOGY LAW (8TH ED. 2014)

(二)網際網路資源
1. ISO27000, ISO, https://www.iso.org/search.html?q=27000&hPP=10&idx=all_en&p=1&hFR%5Bcategory%5D%5B0%5D=standard (last visited Jun. 12, 2021)
2. Common Criteria Website, https://www.commoncriteriaportal.org/
3. Product Compliant List, NIAP, https://www.niap-ccevs.org/Product/index.cfm (last visited Jun. 12, 2021)
4. CC Publications, Common Criteria, https://www.commoncriteriaportal.org/cc/ (last visited Jun. 12, 2021)
5. FACT SHEET: Cybersecurity National Action Plan, The White House, 2016, https://obamawhitehouse.archives.gov/the-press-office/2016/02/09/fact-sheet-cybersecurity-national-action-plan (last visited Jun. 12, 2021)
6. Framework for Improving Critical Infrastructure Cybersecurity, National Institute of Standards and Technology, April 16, 2018, https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
7. Kate Charlet, Understanding Federal Cybersecurity: Roles and Responsibilities, 2018, https://www.belfercenter.org/sites/default/files/files/publication/Understanding%20Federal%20Cybersecurity%2004-2018_0.pdf
8. Federal Information Security Modernization Act of 2014. Public Law 113-283, https://www.gpo.gov/fdsys/pkg/PLAW-107publ347/pdf/PLAW-107publ347.pdf
9. Office of Management and Budget, The White House, https://www.whitehouse.gov/omb/ (last visited Jul. 21, 2019)
10. Key DHS Laws, Homeland Security, https://www.dhs.gov/key-dhs-laws (last visited 20/7/2019)
11. Operational and Support Components, Homeland Security, https://www.dhs.gov/operational-and-support-components (last visited Jul. 20, 2019)
12. DOD Websites, U.S. DEPT OF DEFENSE, https://www.defense.gov/Resources/Military-Departments/DOD-Websites/ (last visited Jun. 12, 2021)
13. NSA Website, https://www.nsa.gov/ (last visited Jun. 12, 2021)
14. NIST General Information, NIST, https://www.nist.gov/director/pao/nist-general-information (last visited Jul. 25, 2019)
15. PUBLIC LAW 107–347—DEC. 17 2002, AUTHENTICATED U.S. GOVERNMENT INFORMATION GPO, https://www.govinfo.gov/content/pkg/PLAW-107publ347/pdf/PLAW-107publ347.pdf
16. NIST Risk Management Framework, NIST, https://csrc.nist.gov/Projects/risk-management/rmf-quick-start-guides (last visited Jun. 12, 2021)
17. New to Framework, NIST, https://www.nist.gov/cyberframework/new-framework (last visited Jun. 12, 2021)
18. PRIVACY FRAMEWORK, NIST, https://www.nist.gov/privacy-framework/new-framework (last visited Jun. 12, 2021)
19. NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT Version 1.0, NIST, January 16, 2020, https://www.nist.gov/system/files/documents/2020/01/16/NIST%20Privacy%20Framework_V1.0.pdf
20. COMPUTER SECURITY RESOURCE CENTER: Laws and Regulations, NIST, https://csrc.nist.gov/Topics/Laws-and-Regulations (last visited Jun. 12, 2021)
21. Cryptographic Module Validation Program, NIST, https://csrc.nist.gov/projects/cryptographic-module-validation-program (last visited Jun. 12, 2021)
22. Cryptographic and Security Testing LAP, NIST, https://www.nist.gov/nvlap/cryptographic-and-security-testing-lap (last visited Jun. 12, 2021)
23. National Voluntary Laboratory Accreditation Program: Procedures and
24. General Requirements, 2016 Edition, NIST, https://nvlpubs.nist.gov/nistpubs/hb/2016/NIST.HB.150-2016.pdf
25. Cryptographic Algorithm Validation Program Management Manual, DRAFT (Version 1.0), June 24, 2009, National Institute of Standards and Technology and Communications Security Establishment Canada, https://csrc.nist.gov/CSRC/media/Projects/Cryptographic-Algorithm-Validation-Program/documents/CAVPMM.pdf
26. Cryptographic Algorithm Validation Program, NIST, https://csrc.nist.gov/projects/cryptographic-algorithm-validation-program (last visited Jun. 12, 2021)
27. NIST Personal Identity Verification Program, NIST, https://csrc.nist.gov/projects/nist-s-personal-identity-verification-program (last visited Jun. 12, 2021)
28. Security Content Automation Protocol Validation Program, NIST, https://csrc.nist.gov/projects/scap-validation-program (last visited Jun. 12, 2021)
29. Information Technology, Prime Minister of Japan and His Cabinet, https://japan.kantei.go.jp/it_o_e.html
30. Outline of the Declaration to Be the World’s Most Advanced IT Nation / Basic Plan for the Advancement of Public and Private Sector Data Utilization , Prime Minister of Japan and His Cabinet, https://japan.kantei.go.jp/policy/it/2017/20170530_summary.pdf
31. Special Action Plan on Countermeasures to Cyber-terrorism of Critical Infrastructure (Summary), Prime Minister of Japan and His Cabinet, https://japan.kantei.go.jp/it/security/2001/cyber_terror_sum.html
32. NISC Website,https://www.nisc.go.jp/eng/index.html
33. Information Economy, METI, https://www.meti.go.jp/english/policy/mono_info_service/information_economy/index.html (last visited Jun. 12, 2021)
34. IoT Security Safety Framework, Nov. 5, 2020, METI, https://www.meti.go.jp/english/press/2020/pdf/1105_002a.pdf
35. NICT Website, https://www.nict.go.jp/ last visited 2021.06.12About IPA, IPA, https://www.ipa.go.jp/english/about/outline.html (last visited Aug. 18, 2019)
36. JPCERT Website,https://www.jpcert.or.jp/ (last visited Jun. 12, 2021)
37. Guidelines for the Forrmulation of Information Security,15 September, 2005, Information Security Policy Council, https://www.nisc.go.jp/eng/pdf/guidelines_sism_g_eng.pdf
38. Standards for Information Security Measures for the Central Government Computer Systems, Dec 2005, Information Security Policy Council, https://www.nisc.go.jp/eng/pdf/full1_sism_g_eng.pdf
39. History of Governmental Framework of Cybersecurity, NISC, https://www.nisc.go.jp/eng/pdf/history.pdf
40. About ENISA - The European Union Agency for Cybersecurity, ENISA, https://www.enisa.europa.eu/about-enisa (last visited Aug. 19, 2019)
41. About Us, CERT-EU, https://cert.europa.eu/cert/plainedition/en/cert_about.html (last visited Jun. 12, 2021)
42. New EU Cybersecurity Strategy, European Commission, https://ec.europa.eu/commission/presscorner/detail/en/IP_20_2391 (last visited Jun. 12, 2021)
43. NIS Directive, ENISA, https://www.enisa.europa.eu/topics/nis-directive (last visited Jun. 12, 2021)
44. Technical Guidelines for the implementation of minimum security measures for Digital Service Providers, ENISA, https://www.enisa.europa.eu/topics/publications/minimum-security-measures-for-digital-service-providers (last visited Jun. 12, 2021)
45. Guidelines on assessing DSP security and OES compliance with the NISD security requirements, ENISA, https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements (last visited Jun. 12, 2021)
46. CSIRTs and communities, ENISA, https://www.enisa.europa.eu/topics/cross-cooperation-for-csirts (last visited Jun. 12, 2021)
47. CSIRTS NETWORK Website, https://csirtsnetwork.eu/ (last visited Jun. 23, 2021)
48. Cybersecurity Incident Report and Analysis System – Visual Analysis Tool, ENISA, https://www.enisa.europa.eu/topics/incident-reporting/cybersecurity-incident-report-and-analysis-system-visual-analysis/visual-tool (last visited Jun. 23, 2021)
49. NCSS Good Practice Guide, ENISA, https://www.enisa.europa.eu/publications/ncss-good-practice-guide (last visited Jun. 23, 2021)
50. An evaluation framework for Cyber Security Strategies, ENISA, https://www.enisa.europa.eu/publications/an-evaluation-framework-for-cyber-security-strategies (last visited Jun. 23, 2021)
51. National Cyber Security Strategies - Interactive Map, ENISA, https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/national-cyber-security-strategies-interactive-map (last visited Jun. 23, 2021)
52. Public Private Partnerships (PPP) - Cooperative models, ENSA, https://www.enisa.europa.eu/publications/public-private-partnerships-ppp-cooperative-models (last visited Jun. 23, 2021)
53. EP3R 2009-2013 Future of NIS Public Private Cooperation, ENISA, https://www.enisa.europa.eu/publications/ep3r-2009-2013 (last visited Jun. 23, 2021)
54. Good Practice Guide on Cooperatve Models for Effective PPPs, ENISA, https://www.enisa.europa.eu/publications/good-practice-guide-on-cooperatve-models-for-effective-ppps (last visited Jun. 23, 2021)
55. Desktop Reserach on Public Private Partnerships, ENISA, https://www.enisa.europa.eu/publications/copy_of_desktop-reserach-on-public-private-partnerships (last visited Jun. 23, 2021)
56. ETSI Website, https://www.etsi.org/ (last visited Jun. 23, 2021)
57. CEN Website https://www.cen.eu/about/Pages/default.aspx (last visited Jun. 23, 2021)
58. CENELEC Website, https://www.cenelec.eu/ (last visited Jun. 23, 2021)
zh_TW
dc.identifier.doi (DOI) 10.6814/NCCU202101654en_US