2014-11-26 工業局 App 資安會議 部分 資料

by KNY
2014.12.10 04:54PM
是2014-11-26 工業局 App 資安會議 部分 資料這篇文章的首圖

我在2014-11-26參加的「手機App軟體基本資安規範」閉門會議,所取得可公開的資料如下:

行政院國家資通安全會報第26次委員會議紀錄 ,擷取其中一段決議:

 時間:103年6月24日(星期二)下午3時
 地點:行政院貴賓室
 主持人:張召集人善政
(一) 參考各國手機管制機制及我國相關業務分工,手機與電腦之應用軟體(包含LINE)基本資安規範由經濟部主管,惟手機屬電信法第42條規定之電信終端設備,其出廠時已內建之軟體仍併同硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務。

該會議記錄電子檔:

http://www.slideshare.net/KNYChen/387040000-e0000000-0133564a00attch2

原始檔案來自於 台中市社會局的官方網站:http://www.society.taichung.gov.tw/dfevent/index-1.asp?Parser=9,14,57„„2969

這邊可以看到,在台灣,一般市集上的App由經濟部主管,手機預載的App由通傳會NCC主管。

所以經濟部的工業局擔負了App資安規範的工作,故在2014-11-26我參加了這個會議「手機App軟體基本資安規範」,該會議中的這份文件,經過主辦單位同意,可公開於網路與社群,請參考:

http://www.slideshare.net/KNYChen/app2014-1202v7

當天我在會議中,快速了瀏覽該文件最後的一些參考資料:『6. 參考資料』

6.1. Open Web Application Security Project (OWASP)
 OWASP: Top 10 Mobile Risks
6.2. 美國
 NIST: Technical Considerations for Vetting 3rd Party Mobile Applications
(Draft)
 NIST: Cryptographic Algorithm Validation Program (CAVP)
 NIST: Cryptographic Module Validation Program (CMVP)
 Federal CIO Council: Government Mobile and Wireless Security Baseline
6.3. 歐洲
 ENISA: Smartphone Secure Development Guidelines for App Developers
6.4. 大陸
 YD/T 2407-2013 移動智慧終端安全能力技術要求
 YD/T 2408-2013 移動智慧移終端安全能力測試方法
6.5. 日本
 JSSEC: Security Guideline for using Smartphones and Tablets
6.6. 國際標準
 ISO/IEC 27001 (Information security management)
 ISO/IEC 20000 (Information technology - Service management)
 ISO/IEC 19790 (Information technology - Security techniques - Security
requirements for cryptographic modules)
14
 ISO/IEC 15408 (Information technology - Security techniques - Evaluation
criteria for IT security)
 ISO/IEC 14598 (Information technology - Software product evaluation)
 ISO/IEC 9126 (Software engineering - Product quality)
6.7. 國內法律
 個人資料保護法(民國 99 年05 月26 日)
 電子簽章法(民國 90 年11 月14 日)

看起來大部分應該屬於 guideline (指引),當天我的發言觀點,是希望制定非強制性的「指引」就好,而不是制定「規範」以上的等級,甚至是命令或法規。有一位教授直接說希望名稱改為「指引」而不是「規範」,因為兩個名稱的涵義不同,力道也不同。

因為我尚未取得當天的會議記錄,也尚未取得公開的許可,所以當天的閉門會議記錄,如果需要詳細的細節,請向工業局或是主辦單位索取。

與會者有官方(通傳會NCC、消保處、國家資通安全會報(1)、學界、產業(資安檢測相關的,以及App開發業者),還有計畫的主辦資策會iii,各方與 「App 資安」這件事情有關利益相關者都有出現,詳細的會議名單,目前我只能這樣描述。

之後與這件事情相關的新聞與活動:

2014-11-28 udn 上有一篇新聞:「安華聯網 搶當資安界漢微科」

http://m.udn.com/xhtml/ViewFreeArticle?type=news&cate=7&page=1&articleid=4080023


公開的座談會,有兩場,有興趣的朋友,可以去參加:
2014-12-04 
http://apppark.kktix.cc/events/informationsecurity

2014-12-22
http://www.cisanet.org.tw/Services/MACreate/e260f8ca-4f0d-49a6-b10f-f4df52a7ae70

image

.

我個人對於這個「App資安規範」(或App資安指引)的看法是,不該是強制性的管制,我不是法律專家,但是在刑法、個資上面,應該都有基本的管制了,而且層級屬於法等級的,再者各個App市集上面也已經有對App開發者的基本管制,也有個資等規範,當然本國行政單位也可以發布相關的命令進行規範,但是這是屬於另一個管制等級的討論。

.

.

備註:

(1) 坐在對面,Tilte看的不是很清楚,應該是這個單位。

0 則回應

你可能有興趣的文章