晴時多雲

綁約與政府採購手機 NCC:鼓勵資通安全檢測

通傳會發言人翁柏宗說,綁約與政府採購手機,鼓勵資通安全檢測。(資料照,記者朱沛雄攝)

通傳會發言人翁柏宗說,綁約與政府採購手機,鼓勵資通安全檢測。(資料照,記者朱沛雄攝)

2016/11/02 15:47

〔記者陳炳宏/台北報導〕國家通訊傳播委員會(NCC)今天通過手機系統內建軟體資通安全檢測機制相關規範草案,並將於近日內進行法案預告,徵詢各界意見,其中檢測實驗室成立至少需三個月,預計最快明年六月開始實施。

通傳會發言人翁柏宗指出,針對智慧型手機作業系統與內建軟體的資安檢測,目前國際除中國外尚無先例,因此會先以鼓勵態度,函請電信業者、並請行政院協調公共工程委員會修改契契約規範,希望鼓勵民間綁約手機,與政府部門採購的公務手機,盡量通過資通安全檢測認證。

通傳會基礎設施事務處副處長徐國根表示,資通安全檢測配套法規中,包括檢測技術規範、智慧型手機內建軟體安全及檢測作業點、檢測實驗室管理作業要點、與資通安全檢測實驗室試辦認可計畫,四項草案已經過委員會審議通過,後續將辦理法案預告以徵詢各界意見。

徐國根說,這次檢測是以智慧型手機作業系統及內建軟體為檢測對象,民眾自行下載的其他App,其資安檢測則依經濟部工業局的行動應用App基本資安檢測基準進行規範。

徐國根指出,目前規劃安全檢測等級將分初、中、高三等級,其中初級是針對基本隱私保護,包括手機安全性功能與個人資料相關保護等使用者隱私相關的資料安全;中級則包括使用中、儲存及傳輸中的資料安全等,進階的資料保護機制。而高級安全檢測認證,則要求確保核心底層不被竄改或被不正當獲取資訊的機密資料保護。

徐國根表示,通過資通安全檢測認證,並不代表智慧手機就是絕對安全,只是基本的資安保障,另外,如果手機作業系統檢測後,一旦發現有新的漏洞,產生零時差攻擊時,通傳會也會視廠商處理態度與漏洞嚴重性,決定是否撤銷其資通安全認證。

徐國根說,會先進行資通安全檢測實驗室試辦認可計畫,有意願參與的實驗室可向NCC申請辦理。