跳到主要內容
網站顏色切換 深色模式
進階搜尋
關閉搜尋
:::

智慧型手機系統內建軟體資安(ESS)認驗證體系介紹

鑒於國際、區域組織及歐美先進國家提出的行動裝置資安規範多屬指引或風險評估,並未要求經資安檢測合格始得販售。為避免形成技術性貿易障礙,所以我國之智慧型手機資安檢測機制亦比照國際作法推動,由手機製造商自主或委託送測。

為推動智慧型手機系統內建軟體資安檢測,國家通訊傳播委員會(NCC)參考國際、區域組織(如OWASP、ENISA)及歐美等國(如NIST、FCC、Ofcom等)對連網設備的資安防護建議,於106年3月3日公告「智慧型手機系統內建軟體資通安全檢測技術規範」,以作為我國資安檢測實驗室檢測之依據,並與中華民國資訊安全學會(CCISA)合作推動智慧型手機系統內建軟體資安(ESS)認驗證體系。本部成立後由本部接替國家通訊傳播委員會賡續辦理。

ESS認驗證體系包括認證機構財團法人全國認證基金會(TAF)、經TAF認可之資安檢測實驗室及擔任驗證機構之CCISA;在各界努力下,ESS檢測及驗證服務已於106年4月20日正式啟動。截至113年4月底,經TAF認可之資安檢測實驗室(詳ESS檢測網站)已有5家適用台灣資通產業標準協會公告之「智慧型手機系統內建軟體資安測試規範」。
為擴大推動成效及期手機資安防護落實於設計階段,NCC自108年起與台灣資通產業標準協會(TAICS)合作,由NCC提供草案予TAICS,TAICS再據以推動為產業標準,俾廠商及政府採購時有所依循。TAICS已於109年7月10日公告「智慧型手機系統內建軟體資安標準」,並於110年1月28日發布「智慧型手機系統內建軟體資安測試規範」,俾配合建立相關認驗證制度。又鑑於TAICS公告之「智慧型手機系統內建軟體資安測試規範」係以NCC「智慧型手機系統內建軟體資通安全檢測技術規範」為基底,並納入最新資安防護議題,爰TAICS認驗證制度建立後,智慧型手機系統內建軟體資安檢測即改以TAICS「智慧型手機系統內建軟體資安測試規範」為檢測標準。

嗣NCC考量TAICS在109年公告之資安測試規範較NCC 106年公布之檢測技術規範新增數個測項以為因應駭客攻擊變化之防護需要,NCC之規範屬指引性質不具強制性且不敷手機資安防護需要,審酌唯一適用NCC規範之財團法人台灣商品檢測驗證中心(ETC)業於110年10月14日起改為適用TAICS之資安測試規範,為使業界有統一檢測標準以資依循,NCC爰於111年2月23日公告106年檢測技術規範停止適用。

關鍵字
ESS
返回頁面頂端