TAF 認證支持國家資訊安全之政策及產業發展
認證支援政府資安政策,強化各界資訊安全
隨著全球數位科技的快速發展,國際間資安攻擊事件更加廣泛,更加凸顯出資訊安全的重要性。蔡總統於今(112)年5月舉辦的「2023 CYBERSEC 台灣資安大會」再次重申「資安即國安」,並強調「資安好,台灣產業才會更好」。為配合國家資安政策的推動,本會(TAF)依據國際認證與符合性評鑑標準,陸續建置資訊安全領域相關認證方案(包括資訊安全管理系統驗證機構之認證、資訊安全產品驗證機構之認證、資訊安全測試實驗室之認證),來滿足國內的認證需求。透過認證的機制,讓各界對資訊安全產品的檢測結果有信心,以及機關、企業組織為了資通安全所執行的資通安全管理系統更加滿足國際資通安全標準的要求,以維護機關、企業的資通安全。
本會並代表我國簽署國際認證組織相互承認協議,包括國際認證論壇(International Accreditation Forum;簡稱IAF)及ILAC國際實驗室認證聯盟(International Laboratory Accreditation Cooperation;簡稱ILAC)相互承認協議,我國企業可透過本會的認證機制,得以向國際展現有資通安全防護能力,參與國際供應鏈,輸銷產品及服務。
本會議將持續配合我國資通安全法的政策,發展新的認證方案及建置相關認證量能,茲摘要說明過去的努力成果以及未來發展方向。
1、資訊安全管理系統驗證機構之認證
本會於2015年10月,成為國際間首批簽署國際認證論壇(IAF)資訊安全管理系統(Information Security Management System;簡稱ISMS)多邊相互承認協議(MLA)之認證機構。本會依據國際標準ISO/IEC 17021-1(管理系統驗證機構認證規範),開放資訊安全管理系統驗證機構之認證服務,其中「資訊安全管理系統驗證方案」,已認可7家資訊安全管理系統驗證機構,驗證機構提供國內786家之客戶滿足國際標準ISO 27001(資訊安全管理系統-要求事項)資訊安全管理系統之驗證服務。至於「資通安全管理法驗證方案」,亦有1家驗證機構已取得本會認證,可提供相關驗證服務。
(註)有關本會認證之資訊安全管理系統驗證機構及其驗證客戶之名錄查詢,可點選https://www.taftw.org.tw/directory/scheme/msv/
2、個人資訊去識別化過程管理系統驗證機構之認證
我國政府為規範個人資料之蒐集、處理及利用之合理運用,避免個人資料及人格權益遭受侵害,於民國104年12月30日制訂「個人資料保護法」,並於112年5月31日進行修訂。鑒於個人資料保護的重要性,本會參考ISO 29100系統(CNS 29100-2資訊技術-安全技術-個人資訊去識別化過程管理系統-要求事項)、ISO 27018 (公用雲PII 處理者保護)等國際標準,2022年1月在既有的資訊安全管理系統驗證機構之認證服務,增加開放「個人資訊去識別化過程管理系統驗證方案」之認證服務,目前已有驗證機構提出申請,不論在資訊安全領域、隱私管理的提升皆具重要意義。
3、資訊安全產品驗證機構之認證
因應資安產業發展需求,工業自動化與控制系統資訊安全已成為全球重要之議題,國際非營利組織-國際自動化學會(International Society of Automation,簡稱ISA)成立自動化標準符合性協會(Automation Standards Compliance Institute,簡稱ASCI)並發展工業自動化與控制系統資訊安全驗證方案(簡稱ISASecure® Certification Scheme),對工業自動化控制系統和產品進行獨立測試與驗證。
本會於2021年5月與國際自動化學會(ISA)簽署合作備忘錄,國際自動化學會(ISA)正式認可本會(TAF)成為全球第六家認可之認證機構。TAF認可實驗室及產品驗證機構,對工業自動化控制系統和產品進行獨立測試與驗證,所出具的測試報告及驗證證書將為國際自動化學會(ISA)所接受。目前已有1家驗證機構通過本會之認證,可提供我國廠商有關工控產品「開發生命安全保證」及「零組件安全性保證」之產品驗證服務。
4、資訊安全測試實驗室之認證
本會為國際實驗室認證聯盟(ILAC)首批簽署相互承認協議(MRA)測試實驗室(ISO/IEC 17025測試與校正實驗室能力一般要求事項)之成員,自2015年起,配合國家資訊安全政策的發展方向,陸續開放資訊安全相關測試實驗室之認證服務,推動資安檢測驗證產業發展與國際認證標準接軌。
- 行動應用App基本資安檢測實驗室
因應智慧行動通訊裝置日趨普及,利用智慧型手機/通訊裝置上網並安裝相關行動應用程式(App)已經成為民眾日常生活與工作的一部分。本會於2015年起,配合國家行動應用App基本資安自主檢測推動制度,政府希望藉由鼓勵產業自主管理,檢測與驗證制度的落實,優化 App 防護能力,降低民眾因資安問題造成損失。本會依據經濟部工業局制訂「行動應用資安聯盟行動應用App基本資安檢測基準」,提供實驗室自願性之認證服務,並已認證8家實驗室。
- 物聯網資安檢測實驗室之認證
- 美國物聯網產品網路安全驗證方案:美國無線通訊協會(Cellular Telecommunications Industry Association簡稱CTIA)於2018年10月針對物聯網產品發布「物聯網產品網路安全驗證方案(IoT Cybersecurity Certification Program)」,鑒於本會(TAF)與無線通訊協會(CTIA)已簽署合作備忘錄,TAF依國際標準ISO/IEC 17025及CTIA評鑑要求已認可1家實驗室,有能力執行CTIA測試活動。目前CTIA在全球僅認可15家實驗室(CATLs),絕大多數位於美國當地,期能協助台灣產業業者產品能縮短產品測試時程,順利進入國際市場。
- 因應經濟部工業局規劃「物聯網資安認驗證制度」,協助業者確保產品符合影像監控系統的產品品質規範。本會配合國家政策於2018年6月開放「智慧連網服務系統資安檢測實驗室認證服務計畫」,並於同年12月在國家安全會議資通安全辦公室主任與經濟部政務次長之共同見證下,與台灣資通產業標準協會(TAICS)簽署合作備忘錄,透過雙方的合作以強化權責主管機關的信賴與支持。目前本會已認可21家物聯網資訊安全測試實驗室,實驗室可提供影像監控系統資安標準」,規範的產品包括網路攝影機(IP Camera)、數位錄影機 (NVR)及網路儲存裝置(NAS)之物聯網產品資安測試服務。
- 5G基地台資安檢測實驗室之認證
今(112)年,本會依據數位發展部的指示,建置滿足國家通訊傳播委員會(NCC)所制定「第五代行動通信基地臺資安檢測指引」之認證服務,已於今年上半年完成2家實驗室的認證。由於5G網路服務具備「大頻寬、低延遲、多連結」等三大特性,加速依賴網路服務的商業應用及流量,但隨之而來的資安攻擊流量及事件,也成為各國在推動強化資安檢測的重要任務,本會配合政府數位轉型之政策建置相關的測試實驗室認證服務。
- 數位鑑識實驗室之認證
科技的進步帶動了犯罪手法的改變,當前許多案件都與數位證據有關,利用電腦和網路做為犯罪工具或進行犯罪行為的溝通聯繫者,TAF目前認可18家數位鑑識科學實驗室,為數位證物鑑定(包括電腦設備和儲存媒體,取得資訊重現能力)工作提供最先進而完整的支援。
(註)上述第1~4項介紹之內容為舉例說明,有關本會認證之資訊安全測試實驗室名錄查詢,可點選https://www.taftw.org.tw/directory/scheme/testLab/search
本會(TAF)配合國家資安政策的發展,與國內外各技術專業團體合作,繼2011年與美國無線通訊協會(CTIA)簽署合作備忘錄後,陸續與中華民國資訊安全學會簽署合作備忘錄(2016年)、社團法人台灣資通產業標準協會(2018年)、國際自動化學會自動化標準符合性協會(2021年)簽署合作備忘錄,透過邀請學界及業界專家參與本會技術委員會、專家會議或工作小組、合作辦理相關研討會或訓練課程、培訓專業評鑑人力與交流探討標準化、符合性評鑑與認證工作之管理機制。
展望未來,本會(TAF)將配合我國權責主管機關推動資訊安全及個人資料保護的政策,持續掌握國內產業對於資安檢測實驗室及驗證機構之認證需求,收集國際間認證機構的發展方向,推動台灣資安測試領域符合性評鑑機構(如實驗室、檢驗機構及驗證機構)之認證工作與國際接軌。
