「經濟部工業局」基於民眾關切使用行動應用App軟體個人及敏感性資料保護等資訊安全議題需要,並兼顧產業發展,於民國103年開始推動行動應用App基本資安檢測制度。民國107年「經濟部工業局」委託「財團法人資訊工業策進會」並協同「中華民國資訊安全學會」為執行單位,修訂「行動應用App基本資安檢測基準」、「行動應用App基本資安規範」及「行動應用App基本資安自主檢測推動制度」。於民國107年5月16日(星期三) 舉辦「行動應用App基本資安說明會」公開此計畫之初步執行成果,並邀請產官學研資安專家、公協會團體、App開發者,與對主題有興趣之一般民眾參與,共同為更安全的行動應用App使用環境把關。
此次改版編修由清華大學孫宏民教授與其資訊安全專業團隊協助主導。改版的重點將原來的分類分級制度,改以行動應用程式之性質分類不分級,依照各分類的性質來進行相對應的檢測項目,各分類分別為:無需使用者身分鑑別之行動應用程式,檢測項共16項;需使用者身分鑑別之行動應用程式,檢測項共26項;含有交易行為之行動應用程式,檢測項共31項。如此改善原有初級、中級、高級的安全等級之缺點,消除了等級比較之疑慮,也避免了低級高測與高級低測的情況。另外對有使用webview開發的行動應用程式,也定義了明確的檢測標準。
中華民國資安學會官大智理事長表示,臺灣在行動應用App 基本資安檢測制度的推動上算是走在世界的前端,目前難以找到一個完善的制度移植過來使用,因此我們必須自己發展檢測制度以及檢測技術。這是一個很大的挑戰,希望大家也可以一起來探討這個議題,以便找到更好的做法,讓檢測技術更加完善,並使檢測制度的推動更為順利。
財團法人資訊工業策進會資安科技研究所丁綺萍副所長表示,「行政院國家資通安全會報」於103年就認知行動App在資安防護上的重要性。在這件事情上臺灣走得比較快,不管在標章或規範上,並沒有太多完整的規範可以去遵循,這也是臺灣很好的一個機會。除了參考國際標準,我們也與很多的廠商、專家以及使用者商會研討。現在越來越多交易的行為在手機上發生的,這些資訊安全的規範就變得非常重要。也非常感謝TAF,從105年第一家認證資安檢測實驗室,到現在有九家實驗室。相信隨著工業局持續的推動下,在行動應用App安全上會越來越成熟。
行動應用資安聯盟陳振楠副會長表示,「資通安全管理法」在今年5月11號通過了,將八大關鍵基礎設施提供者優先納管,因為行動裝置的方便性,可以預想很多功能會在App上使用。我們特別強調是自主檢測,若是App公開讓大家使用,開發者就應該要保障使用者的安全。
工業局強調,工業局從103年開始推動基本資安檢測制度,透過資策會與資安學會的幫助,希望能促進民眾使用App的安全,也促進相關產業發展。
「行動應用App基本資安檢測基準V3.0」、「行動應用App基本資安規範V1.2」及「行動應用App基本資安自主檢測推動制度V4.0」預計於工業局發佈後正式上路。
.jpg)
圖1. 行動應用APP基本資安說明會 活動現場合影