第19期

隨著智慧行動通訊裝置普及，利用智慧型手機/通訊裝置上網並安裝相關行動應用程式(App)已經成為台灣人民日常生活與工作的一部分。但隨著App的發展，資訊安全的問題不斷發生。使用者可能因惡意或是非惡意的程式設計疏忽，造成資料外洩或是財物損失。為防患未然、我國行政院決定制訂「行動應用App基本資安自主檢測推動制度」，並交由經濟部工業局完成「行動應用 App 基本資安規範」及「行動應用基本App檢測基準」，並著手建立App 自主安全驗證與標章機制。希望藉由鼓勵產業自主管理，檢測與驗證制度的落實，優化 App 防護能力，降低民眾因資安問題造成損失。

App檢測實驗室在此App自主安全驗證與標章制度中，扮演關鍵角色。App檢測需有專業的資安分析人員，利用各式軟硬體工具，並依照標準或是自行開發的測試方法，驗證掃描(Vetting)行動應用App的潛在資安漏洞 (Vulnerability)。故App檢測實驗室的能力與一致性甚為重要，須仰賴公正第三方加以確認。故經濟部工業局認可本會擔任此第三方認證機構，受理App檢測實驗室的認證申請並透過評鑑活動，認證App檢測實驗室之能力。因應盡快提供認證服務之期待，本會規劃並執行一系列之工作如下，以確認具足夠資源提供App檢測實驗室認證服務:

1. 分析需求: 參加工業局相關座談會，與專家實驗室交流，得知預估會提出App實驗室認證申請之家數。經評估本會目前資深評審員之人數，足可負荷擔任主導評審員之評鑑需求。但本會目前評鑑人力，缺乏App之資安專家。
2. 招募App資安專家: 透過工業局與其他管道，取得產業中認同與推薦之App資安專家清單，再透過本會領域負責人招募成為本會評鑑人力。因App資安專家對認證規範與程序不清楚，故採分階段訓練之方式完成新進評鑑人力培訓。先於2015/09辦理App資安專家作小組會議與訓練，使其初步了解TAF認證規範與工業局App驗證制度。經評估合適，將再請App資安專家參加2016年之ISO/IEC 17025與評審員初始訓練，待孰悉本會認證規範與要求後，將提升為評審員獨立作業。未完成完整訓練之前，App技術專家搭配評審員執行評鑑。
3. 設計評鑑方式、認證規範之調整與開展時程: 為要加速App資安管理制度推展，本會規劃於最短時間內提出服務。該制度對實驗室資格、人員與測試實務經驗有特殊要求，加上專長領域與一般資安實驗室相重疊，且又須融入本會原有之認證程序與做法，故造成認證管理層面複雜交錯。經審查現本會現行文件與程序，為使管理簡化也協助申請實驗室容易瞭解，本會設計特定服務計畫/特定規範文件之方式，將各方規範納入單份文件之中，使申請者方便一次知道所有認證要求。
4. 擬定具體之評鑑作法: 為使評鑑過程一致，經專家會議討論後，規劃現場評鑑為人天數，設計現場實作之盲樣App並挑選部分測試項目進行實作。評鑑規劃時，即安排實驗室有足夠時間完成盲樣App之完整評估，並於現場評鑑結束前，提供完整之App評估報告供評審員審查。
5. 能力試驗要求: 為確保申請實驗室間之能力與一致性，本會要求實驗室須參加工業局主辦之App能力試驗。
6. 建置文件及開放申請: 依本會規範，將App專家之專長加以分類，並完成技術專家專長登錄。另提報評鑑案審查成員名單，協助認證決定工作。待相關程序與文件皆完成修改並公告後，將公告受理時間，接受App檢測實驗室申請。

台灣的App資安管理制度，是全球第一個針對App進行檢測與管理之自願性驗證制度，如何保障使用者的資訊安全又避免App開發者的過大的負擔，需要各方共同努力。如何認證App檢測實驗室，在世界各國的認證組織間，也少有認證管理與評鑑要求之經驗可參考。本會經與權責機關、專業團體、技術專家與實驗室多方討論，參考國際作法設計此App檢測實驗室之認證制度來支持行動應用App驗證制度。期望在各方努力下，共同建構健康完善之檢測與驗證環境，協助鑑別優良的App開發廠商，並避免造成民眾損失。