緣由
行動裝置成為國人生活不可或缺的設備,各類行動應用程式(Mobile Application, App)應運而生,惟部分程式開發缺乏資安意識,恐造成使用者資料外洩或財務損失之風險。經濟部工業局依據 103 年 6 月 24 日行政院國家資通 安全會報第 26 次委員會議決議,積極研議「行動應用 App 基本資安規範」
實驗室資格認證
財團法人台灣電子檢驗中心的資安檢測實驗室已於4/25日通過全國認證基金會的「行動應用APP基本資安檢測實驗室認證服務計畫」,實驗室認證編號:3325
「行動應用App基本資安檢測基準」
針對不同類型行動應用程式之資訊安全要求事項進行區分,共分為三類,分別為: 第一類、純功能性
第二類、具認證功能與連網行為
第三類、具交易功能(包括認證功能及連網行為)
針對毎一安全分類,定義應符合資訊安全技術要求事項之最小集合,即行動應 用程式應符合其所屬分類中之所有資訊安全技術要求事項,非屬上述分類之 特殊情況,於檢測標準另行說明。各安全分類之資訊安全技術要求事項詳如表所示。
編號 |
資訊安全技術要求事項 |
安全分類 |
一 |
二 |
三 |
1 |
4.1.1.1.行動應用程式發布 |
v |
v |
v |
2 |
4.1.1.2.行動應用程式更新 |
v |
v |
v |
3 |
4.1.1.3.行動應用程式安全性問題回報 |
v |
v |
v |
4 |
4.1.2.1.敏感性資料蒐集 |
v |
v |
v |
5 |
4.1.2.2.敏感性資料利用 |
v |
v |
v |
6 |
4.1.2.3.敏感性資料儲存 |
v |
v |
v |
7 |
4.1.2.4.敏感性資料傳輸 |
|
v |
v |
8 |
4.1.2.5.敏感性資料分享 |
v |
v |
v |
9 |
4.1.2.6.敏感性資料刪除 |
v |
v |
v |
10 |
4.1.3.1.付費資源使用 |
|
|
v |
11 |
4.1.3.2.付費資源控管 |
|
|
v |
12 |
4.1.4.1.使用者身分認證與授權 |
|
v |
v |
13 |
4.1.4.2.連線管理機制 |
|
v |
v |
14 |
4.1.5.1.防範惡意程式碼與避免資訊安全漏洞 |
v |
v |
v |
15 |
4.1.5.2.行動應用程式完整性 |
|
|
v |
16 |
4.1.5.3.函式庫引用安全 |
v |
v |
v |
17 |
4.1.5.4.使用者輸入驗證 |
v |
v |
v |
業務洽詢
陳先生
03-3280026 Ext 559
hsien@etc.org.tw