國外參考資料
Reference: THE COMMON APPROACH TO FEDERAL ENTERPRISE ARCHITECTURE May 2, 2012 While House
Federal enterprise architecture
Structure of the U.S. "Federal Enterprise Architecture Framework" (FEAF) Components, presented in 2001. [1] A federal enterprise architecture (FEA) is the enterprise architecture of a federal government. It provides a common approach for the integration of strategic, business and technology management as part of organization design and performance improvement.[2]
第二章 政府資訊組織 第六條 (政府資訊與資安主管機關)參考:
Reference 1: 中華人民共和國「工業和信息化部」(簡稱工信部):是在原信息產業部、國防科工委的基礎上,於2008年3月根據第十一屆全國人民代表大會第一次會議的決議設立。為了推進信息化和工業化融合,推進高新技術與傳統工業改造結合;並改善對工業行業分散管理的狀態,加強整體規劃和統籌協調,國務院於2008年決定組建工業和信息化部。
Reference 2: 新加坡 IDA
新加坡資訊通信發展管理局(IDA),以在新加坡培育一個充滿活力和富有競爭力的資訊通信產業為其戰略目標,大力吸引外資,開發、部署和應用創新的資訊通信技術,以保持新加坡GDP長期穩定增長,增強新加坡的全球經濟競爭力。
為達到這一目標,IDA將自身定位為資訊通信產業的領航者、國家資訊通信總體規劃師和開發者,以及政府首席資訊官(CIO)。 IDA制定了一系列政策、標準、指導方針及實施法則,致力於為資訊通信產業創造既有利於民眾也有利於企業,創新、競爭的有益環境。IDA積極地尋求資訊通信產業國內國際市場的增長機會,通過與他國政府簽訂雙邊協定、建立合作夥伴關係、以及在中國、印度、美國和卡塔爾設立辦事處,IDA為新加坡資訊通信企業進入全球市場提供了機會和便利。
Reference3:韓國設置「科技、資訊與未來部」
The” Ministry of Science, ICT and Future Planning” will proceed with implementing policies to spur the leading Creative Economy founded on science & technology(S&T) and human-oriented vision.
第二章 政府資訊組織 第十二條 (政府資訊安全防護、研發及訓練機關)參考:
一、 本條參考美國政府對於國家資訊安全防護所訂之「聯邦資訊安全管理法(FISMA)」專法中對於美國國家技術與標準局(NIST)之任務規範,作為我國政府整體資訊安全研發、防護及訓練機關職掌設計之借鏡。
國外參考資料:
Reference1: FISMA 2002
FISMA assigns specific responsibilities to federal agencies, the National Institute of Standards and Technology (NIST) and the Office of Management and Budget (OMB) in order to strengthen information system security. In particular, FISMA requires the head of each agency to implement policies and procedures to cost-effectively reduce information technology security risks to an acceptable level.[2]
In accordance with FISMA, NIST is responsible for developing standards, guidelines, and associated methods and techniques for providing adequate information security for all agency operations and assets, excluding national security systems. NIST works closely with federal agencies to improve their understanding and implementation of FISMA to protect their information and information systems and publishes standards and guidelines which provide the foundation for strong information security programs at agencies. NIST performs its statutory responsibilities through the Computer Security Division of the Information Technology Laboratory.[4] NIST develops standards, metrics, tests, and validation programs to promote, measure, and validate the security in information systems and services. Reference 2: 新加坡 IDA
新加坡資訊通信發展管理局(IDA),以在新加坡培育一個充滿活力和富有競爭力的資訊通信產業為其戰略目標,大力吸引外資,開發、部署和應用創新的資訊通信技術,以保持新加坡GDP長期穩定增長,增強新加坡的全球經濟競爭力。
為達到這一目標,IDA將自身定位為資訊通信產業的領航者、國家資訊通信總體規劃師和開發者,以及政府首席資訊官(CIO)。
第二章 政府資訊組織 第十三條 (政府機關及民間企業資訊安全管理)參考:
一、 德國個資法第4f,4g兩條共十款詳細界定各個公務機關設置資料保護專人之職掌、訓練、任用與保障等,甚值我國參考。
二、 德國個資法第29條另於聯邦設「資訊保護官」由總理提名,經國會任命,相當我國政務委員,足見德國政府對於個資安全之重視。
三、 另依據英國BS10012個資保護之準國際(DE factor)標準,其在最主要的第四章第一節開宗明義即提到:個資保護之制度建立,機關首先須指派負責個資保護之資深主管及負責日常資安防護工作之人員。
國外參考資料:
Reference1: 德國個資法
第4f,4g兩條共十款詳細界定各個公務機關設置資料保護專人之職掌、訓練、任用與保障等(德國聯邦法律公報,2003):
德國個資法規定政府或民間機構若收集個資之人數達20人以上必須設置個資保護監察人。§4f.(1)
個資保護監察人之任命資格須依具備執行任務所需專業,併信用可靠為限。其專業程度依負責資料處理之範圍及資料應受保護程度決定之,並得設置輔佐人。
§4f.(2)
個資保護監察人直屬於公務或非公務機關首長,其於資料保護監察之範圍執行職務時,不受其他指揮監督。
§4f.(3) 德國個資法第29條另於聯邦設「資訊保護官」,由總理提名,經國會任命,相當我國政務委員
Reference2: BS10012
4.1:Key Appointment ( Senior manager, and day to day compliance worker)
4.2 Day to day responsibility for compliance with policy.
第二章 政府資訊組織 第十四條 (機關首長在資訊與資安的職責)參考:
一、 美國克林格-科恩法案(Clinger-Cohen Act 1996)第5112節,明定機關首長在機關資訊發展上的責任,我國基本法應參考美國此項做法,將機關首長在資訊推動與資安防護的職責納入條文。
二、 我國個人資料保護法第50條規定非公務機關之代表人,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。但對於公務機關首長則無此相對嚴格之規定,首長可能輕忽此項職責,有必要參考個人資料保護法第50條之作法,將機關首長在資訊推動資訊與資安防護的職責納入條文。
國外參考資料
Reference1: Clinger-Cohen Act 1996
SEC. 5112. CAPITAL PLANNING AND INVESTMENT CONTROL. (a) FEDERAL INFORMATION TECHNOLOGY.—The Director shall perform the responsibilities set forth in this section in fulfilling the responsibilities under section 3504(h) of title 44, United States Code.
Reference 2: 我國個人資料保護法第50條:
非公務機關之代表人,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。