我在2014-11-26參加的「手機App軟體基本資安規範」閉門會議,所取得可公開的資料如下:
行政院國家資通安全會報第26次委員會議紀錄 ,擷取其中一段決議:
時間:103年6月24日(星期二)下午3時
地點:行政院貴賓室
主持人:張召集人善政
(一) 參考各國手機管制機制及我國相關業務分工,手機與電腦之應用軟體(包含LINE)基本資安規範由經濟部主管,惟手機屬電信法第42條規定之電信終端設備,其出廠時已內建之軟體仍併同硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務。
該會議記錄電子檔:
http://www.slideshare.net/KNYChen/387040000-e0000000-0133564a00attch2
原始檔案來自於 台中市社會局的官方網站:http://www.society.taichung.gov.tw/dfevent/index-1.asp?Parser=9,14,57„„2969
這邊可以看到,在台灣,一般市集上的App由經濟部主管,手機預載的App由通傳會NCC主管。
所以經濟部的工業局擔負了App資安規範的工作,故在2014-11-26我參加了這個會議「手機App軟體基本資安規範」,該會議中的這份文件,經過主辦單位同意,可公開於網路與社群,請參考:
http://www.slideshare.net/KNYChen/app2014-1202v7
當天我在會議中,快速了瀏覽該文件最後的一些參考資料:『6. 參考資料』
6.1. Open Web Application Security Project (OWASP)
OWASP: Top 10 Mobile Risks
6.2. 美國
NIST: Technical Considerations for Vetting 3rd Party Mobile Applications
(Draft)
NIST: Cryptographic Algorithm Validation Program (CAVP)
NIST: Cryptographic Module Validation Program (CMVP)
Federal CIO Council: Government Mobile and Wireless Security Baseline
6.3. 歐洲
ENISA: Smartphone Secure Development Guidelines for App Developers
6.4. 大陸
YD/T 2407-2013 移動智慧終端安全能力技術要求
YD/T 2408-2013 移動智慧移終端安全能力測試方法
6.5. 日本
JSSEC: Security Guideline for using Smartphones and Tablets
6.6. 國際標準
ISO/IEC 27001 (Information security management)
ISO/IEC 20000 (Information technology - Service management)
ISO/IEC 19790 (Information technology - Security techniques - Security
requirements for cryptographic modules)
14
ISO/IEC 15408 (Information technology - Security techniques - Evaluation
criteria for IT security)
ISO/IEC 14598 (Information technology - Software product evaluation)
ISO/IEC 9126 (Software engineering - Product quality)
6.7. 國內法律
個人資料保護法(民國 99 年05 月26 日)
電子簽章法(民國 90 年11 月14 日)
看起來大部分應該屬於 guideline (指引),當天我的發言觀點,是希望制定非強制性的「指引」就好,而不是制定「規範」以上的等級,甚至是命令或法規。有一位教授直接說希望名稱改為「指引」而不是「規範」,因為兩個名稱的涵義不同,力道也不同。
因為我尚未取得當天的會議記錄,也尚未取得公開的許可,所以當天的閉門會議記錄,如果需要詳細的細節,請向工業局或是主辦單位索取。
與會者有官方(通傳會NCC、消保處、國家資通安全會報(1)、學界、產業(資安檢測相關的,以及App開發業者),還有計畫的主辦資策會iii,各方與 「App 資安」這件事情有關利益相關者都有出現,詳細的會議名單,目前我只能這樣描述。
之後與這件事情相關的新聞與活動:
2014-11-28 udn 上有一篇新聞:「安華聯網 搶當資安界漢微科」
http://m.udn.com/xhtml/ViewFreeArticle?type=news&cate=7&page=1&articleid=4080023
公開的座談會,有兩場,有興趣的朋友,可以去參加:
2014-12-04
http://apppark.kktix.cc/events/informationsecurity
2014-12-22
http://www.cisanet.org.tw/Services/MACreate/e260f8ca-4f0d-49a6-b10f-f4df52a7ae70
.
我個人對於這個「App資安規範」(或App資安指引)的看法是,不該是強制性的管制,我不是法律專家,但是在刑法、個資上面,應該都有基本的管制了,而且層級屬於法等級的,再者各個App市集上面也已經有對App開發者的基本管制,也有個資等規範,當然本國行政單位也可以發布相關的命令進行規範,但是這是屬於另一個管制等級的討論。
.
.
備註:
(1) 坐在對面,Tilte看的不是很清楚,應該是這個單位。
