ESS認證標章申請程序
手機製造商等申請者可依其對智慧型手機之定位,規劃所欲申請之ESS認證等級,並依下列程序申請ESS認證標章(詳下圖):
- 申請者向資安檢測實驗室申請檢測:申請者應檢具智慧型手機及檢測申請書、廠商自我宣告表、安全功能規格表、設計安全性表、安全架構表等文件,向經財團法人全國認證基金會(TAF)認可之資安檢測實驗室申請檢測。
- 資安檢測實驗室產出測試報告:資安檢測實驗室依申請者提出之認證範圍及安全等級,並依據台灣資通產業標準協會(TAICS)公告之「TS-0030 v1.1-智慧型手機系統內建軟體資安測試規範」,進行書面資料審查及實機測試,以產出該款智慧型手機之測試報告。(國家通訊傳播委員會106年3月公布之「智慧型手機系統內建軟體資通安全檢測技術規範」已於111年2月23日停止適用)
- 驗證機構核發ESS認證標章:申請者檢具前述測試報告,向驗證機構中華民國資訊安全學會(CCISA)申請驗證。CCISA依據其訂定之智慧型手機系統內建軟體資通安全驗證作業規定及TAICS公告之「TS-0030 v1.1-智慧型手機系統內建軟體資安測試規範」,對測試報告進行書面審查,審查合格後,即核發審定證明及ESS認證標章。
為利民眾識別,同時達到激勵手機設計商、手機製造商及電信業者更重視資通安全防護需求,申請者除取得智慧型手機資安審定證明外,亦可獲得智慧型手機系統內建軟體資安測試認證標章(ESS認證標章,如下圖)。標章上的星星數量表示該款手機通過的資安檢測等級,例如,3顆星表示該產品的資安防護等級已達3級/高級,其中資安防護等級為低、中、高級者為依停止適用之「智慧型手機系統內建軟體資通安全檢測技術規範」取得標章者。至113年4月底,已有23款手機取得審定證明(1款為中級,10款為初級,10款為1級,2款為2級;詳見ESS檢測網站)。
智慧型手機系統內建軟體資安測試認證,係資安檢測實驗室於檢測申請者自我宣告及提供特定版本手機系統內建軟體之當下,符合技術規範對該等級之檢測要求。然而,因為資通安全本質為風險控管及相對安全之概念,取得資安認證之智慧型手機,雖有該等級之資通安全保障,但鑒於資安事件層出不窮及駭客攻擊手法日新月異,某些資安漏洞可能陸續被發現。因此,經認證合格的手機,如事後被發現其系統內建軟體有資安漏洞或風險時,申請者仍應進行修補,並就異動部分再次申請檢測,系統內建軟體增加或版本異動也需重新申請檢測,始能維持其通過之資安等級。
關鍵字
相關連結
發布單位:韌性建設司
建立日期:2022-08-27
更新日期:2024-11-08