緣由
行動裝置成為國人生活不可或缺的設備,各類行動應用程式(Mobile Application, App)應運而生,惟部分程式開發缺乏資安意識,恐造成使用者資料外洩或財務損失之風險。經濟部工業局依據 103 年 6 月 24 日行政院國家資通 安全會報第 26 次委員會議決議,積極研議「行動應用 App 基本資安規範」
實驗室資格認證
財團法人台灣電子檢驗中心的資安檢測實驗室已於4/25日通過全國認證基金會的「行動應用APP基本資安檢測實驗室認證服務計畫」,實驗室認證編號:3325
「行動應用App基本資安檢測基準」
針對不同類型行動應用程式之資訊安全要求事項進行區分,共分為三類,分別為: 第一類、純功能性
第二類、具認證功能與連網行為
第三類、具交易功能(包括認證功能及連網行為)
針對毎一安全分類,定義應符合資訊安全技術要求事項之最小集合,即行動應 用程式應符合其所屬分類中之所有資訊安全技術要求事項,非屬上述分類之 特殊情況,於檢測標準另行說明。各安全分類之資訊安全技術要求事項詳如表所示。
| 編號 | 資訊安全技術要求事項 | 安全分類 | ||
|---|---|---|---|---|
| 一 | 二 | 三 | ||
| 1 | 4.1.1.1.行動應用程式發布 | v | v | v |
| 2 | 4.1.1.2.行動應用程式更新 | v | v | v |
| 3 | 4.1.1.3.行動應用程式安全性問題回報 | v | v | v |
| 4 | 4.1.2.1.敏感性資料蒐集 | v | v | v |
| 5 | 4.1.2.2.敏感性資料利用 | v | v | v |
| 6 | 4.1.2.3.敏感性資料儲存 | v | v | v |
| 7 | 4.1.2.4.敏感性資料傳輸 | v | v | |
| 8 | 4.1.2.5.敏感性資料分享 | v | v | v |
| 9 | 4.1.2.6.敏感性資料刪除 | v | v | v |
| 10 | 4.1.3.1.付費資源使用 | v | ||
| 11 | 4.1.3.2.付費資源控管 | v | ||
| 12 | 4.1.4.1.使用者身分認證與授權 | v | v | |
| 13 | 4.1.4.2.連線管理機制 | v | v | |
| 14 | 4.1.5.1.防範惡意程式碼與避免資訊安全漏洞 | v | v | v |
| 15 | 4.1.5.2.行動應用程式完整性 | v | ||
| 16 | 4.1.5.3.函式庫引用安全 | v | v | v |
| 17 | 4.1.5.4.使用者輸入驗證 | v | v | v |
業務洽詢
陳先生
03-3280026 Ext 559