鑒於國際、區域組織及歐美先進國家提出的行動裝置資安規範多屬指引或風險評估,並未要求經資安檢測合格始得販售,為避免形成技術性貿易障礙,爰我國之智慧型手機資安檢測機制亦比照國際作法非屬強制性,而是由手機製造商自主或委託送測。
為推動智慧型手機系統內建軟體資安檢測,本會參考國際、區域組織(如OWASP、ENISA)及歐美等國(如NIST、FCC、Ofcom等)對連網設備的資安防護建議,於106年3月3日公告「智慧型手機系統內建軟體資通安全檢測技術規範」,以作為我國資安檢測實驗室檢測之依據。
ESS認驗證體系包括認證機構財團法人全國認證基金會(TAF)、經TAF認可之資安檢測實驗室及擔任驗證機構之中華民國資訊安全學會;在各界努力下,ESS檢測及驗證服務已於106年4月20日正式啟動。截至111年4月底,經TAF認可之資安檢測實驗室(詳ESS檢測網站:https://ccisa.org.tw/ess/esslab_cert_list.html)已有5家。
為擴大推動成效及期手機資安防護落實於設計階段,本會自108年起與台灣資通產業標準協會(TAICS)合作,由本會提供草案予TAICS,TAICS再據以推動為產業標準、國家標準,俾廠商及政府採購時有所依循。TAICS已於109年7月10日公告「智慧型手機系統內建軟體資安標準」(詳網站:https://ess.org.tw/pdf/20200714_TAICS%20TS-0029%20v1.0-%e6%99%ba%e6%85%a7%e5%9e%8b%e6%89%8b%e6%a9%9f%e7%b3%bb%e7%b5%b1%e5%85%a7%e5%bb%ba%e8%bb%9f%e9%ab%94%e8%b3%87%e5%ae%89%e6%a8%99%e6%ba%96.pdf),並於110年1月28日發布「智慧型手機系統內建軟體資安測試規範」(詳網站:https://ess.org.tw/pdf/20210129_TAICS%20TS-0030%20v1.1-%E6%99%BA%E6%85%A7%E5%9E%8B%E6%89%8B%E6%A9%9F%E7%B3%BB%E7%B5%B1%E5%85%A7%E5%BB%BA%E8%BB%9F%E9%AB%94%E8%B3%87%E5%AE%89%E6%B8%AC%E8%A9%A6%E8%A6%8F%E7%AF%84.pdf),俾配合建立相關認驗證制度。又鑑於TAICS公告之「智慧型手機系統內建軟體資安測試規範」係以本會「智慧型手機系統內建軟體資通安全檢測技術規範」為基底,並納入最新資安防護議題,爰TAICS認驗證制度建立後,智慧型手機系統內建軟體資安檢測即以TAICS「智慧型手機系統內建軟體資安測試規範」為檢測標準。
為因應駭客攻擊變化之防護需要,TAICS在109年公告之資安測試規範較本會106年公布之檢測技術規範新增數個測項以為因應,審酌本會規範業不敷手機資安防護需要,且唯一適用本會規範之財團法人台灣商品檢測驗證中心(ETC)業於110年10月14日起改為適用TAICS之資安測試規範,因本會規範屬指引性質不具強制性,為使業界有統一檢測標準以資依循,爰於111年2月23日公告本會106年檢測技術規範停止適用。