資安等級說明
一、通過國家通訊傳播委員會(NCC)106年3月3日公告「智慧型手機系統內建軟體資通安全檢測技術規範」(111年2月23日停止適用)取得舊版本ESS認證標章者
為因應不同使用者購買智慧型手機之價位考量及資安防護需求,智慧型手機系統內建軟體資安認證依上揭NCC公告之技術規範分為初、中、高三個等級。取得初級認證之智慧型手機,表示已具備防護個人隱私等敏感性資料之能力;取得中級認證者,除敏感性資料外,對於其他資料之使用、儲存及傳輸,也提供了安全防護機制;取得高級認證者,則表示提供核心底層資訊不被竄改或被不正當擷取之能力。手機製造商等申請者可依手機的市場定位及資安防護強度等需求,自行規劃提出申請之智慧型手機系統內建軟體資安檢測及認證等級。
消費者則可由ESS認證標章上的星星數量,確認該款智慧型手機通過之資安認證等級。例如:3顆星表示該手機之資安防護等級已達高級。
惟各個廠牌不同智慧型手機之系統內建軟體數量均不同,且有版本更新情形,消費者除了檢視ESS認證標章外,尚須至「智慧型手機系統內建軟體資通安全檢測」網站審視該款手機取得ESS認證標章之證書內容,並下載軟體摘要表比對手機內顯示各個系統內建軟體之版本均相符,以確認其ESS認證標章有效性。
二、通過台灣資通產業標準協會(TAICS)公告之智慧型手機系統內建軟體資安測試規範取得新版本ESS認證標章者
NCC考量手機功能日新月異,為確保消費者智慧型手機出廠之安全性,因應不同使用者購買智慧型手機之價位考量及資安防護需求,已請TAICS制定產業標準,於110年1月公告「TAICS TS-0030 v1.1-智慧型手機系統內建軟體資安測試規範」。該規範之智慧型手機系統內建軟體資安認證,其安全等級依敏感性資料相關保護、惡意攻擊與核心底層不被竄改或不正當擷取資訊等要求,分成1級、2級、3級三個等級,安全等級越高代表安全性越佳。
取得1級認證之智慧型手機,表示已具備防護個人隱私等敏感性資料之保護儲存方式、通訊傳輸加密機制、手機系統功能與內建軟體權限檢查,確保使用者在安全環境下防止資料洩漏;取得2級認證者,除敏感性資料之保護外,亦防止內建軟體私下傳送資料,或被惡意攻擊導致無法使用或資料外洩;取得3級認證者,為確保智慧型手機之核心底層不被竄改或不正當地擷取資訊,除須符合1級與2級所有安全要求外,並增加手機設計相關安全文件審查之安全要求、檢測信任執行環境、應用程式具備手機完整性判斷機制與付費功能多因子或強驗證。手機製造商等申請者可依手機的市場定位及資安防護強度等需求,自行規劃提出申請之系統內建軟體資安檢測及認證等級。
消費者並可由ESS認證標章上的星星數量,確認該款智慧型手機通過之資安認證等級。例如:3顆星表示該手機之資安防護等級已達3級。
惟亦同上所述,消費者除了檢視ESS認證標章外,尚須至「智慧型手機系統內建軟體資通安全檢測」網站審視該款手機取得ESS認證標章之證書內容,並下載軟體摘要表比對手機內顯示各個系統內建軟體之版本均相符,以確認其ESS認證標章有效性。
三、通過CNS 16177「智慧型手機系統內建軟體資通安全測試法」國家標準者
經濟部標準檢驗局於111年9月26日制定公布CNS 16176「智慧型手機系統內建軟體資通安全要求事項」及CNS 16177「智慧型手機系統內建軟體資通安全測試法」2項國家標準,其安全等級與上揭台灣資通產業標準協會公布之產業標準相同,分為1級、2級、3級三個等級,安全等級越高代表安全性越佳。