# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
進入內容區塊

NCC國家通訊傳播委員會

智慧型手機系統內建軟體資安(ESS)認驗證體系介紹

        為推動智慧型手機系統內建軟體資安檢測,本會參考國際、區域組織(如OWASP、ENISA)及歐美等國(如NIST、FCC、Ofcom等)對連網設備的資安防護建議,已於106年3月3日公告「智慧型手機系統內建軟體資通安全檢測技術規範」,以作為我國資安檢測實驗室檢測之依據。

        ESS認驗證體系包括認證機構財團法人全國認證基金會(TAF)、經TAF認可之資安檢測實驗室及擔任驗證機構之中華民國資訊安全學會;在各界努力下,ESS檢測及驗證服務已於106年4月20日正式啟動。截至109年10月底,經TAF認可之資安檢測實驗室(詳ESS檢測網站:https://ccisa.org.tw/ess/esslab_cert_list.html)已有5家。

        為擴大推動成效及期手機資安防護落實於設計階段,通傳會自108年起與台灣資通產業標準協會(TAICS)合作,由通傳會提供草案予TAICS,TAICS再據以推動為產業標準、國家標準,俾廠商及政府採購時有所依循。TAICS已於109年7月10日公告「智慧型手機系統內建軟體資安標準」(詳網站:https://ess.org.tw/pdf/20200714_TAICS%20TS-0029%20v1.0-%e6%99%ba%e6%85%a7%e5%9e%8b%e6%89%8b%e6%a9%9f%e7%b3%bb%e7%b5%b1%e5%85%a7%e5%bb%ba%e8%bb%9f%e9%ab%94%e8%b3%87%e5%ae%89%e6%a8%99%e6%ba%96.pdf),刻正建立相關認驗證制度。又鑑於TAICS公告之「智慧型手機系統內建軟體資安標準」係以本會「智慧型手機系統內建軟體資通安全檢測技術規範」為基底,並納入最新資安防護議題,爰TAICS認驗證制度建立後,智慧型手機系統內建軟體資安檢測將以TAICS「智慧型手機系統內建軟體資安標準」為檢測標準。

      另鑑於目前國際、區域組織及歐美先進國家提出的行動裝置資安規範多屬指引或風險評估,並未要求經檢測合格始得販售。為避免技術性貿易障礙,所以我國之智慧型手機資安檢測機制並非強制性,而是由手機製造商自主或委託送測。