網路安全認證 歐盟 ENISA 網路安全法 IoT

借鑑歐盟韓國最新發展 非強制性宜搭配獎助推廣誘因

強化聯網產品資安水準 各國推行認驗證標章規範

2023-10-12
在數位時代內,資通訊產品或服務眾多,要如何確保其安全、可靠,除仰賴親友或網路介紹外,多數消費者還可能從是否取得認驗證著手。但坊間之認驗證亦五花八門,該如何選擇,也是不小困擾。

在數位時代內,資通訊(ICT)產品或服務眾多,要如何確保其安全、可靠,除仰賴親友或網路介紹外,多數消費者還可能從是否取得認驗證著手。但坊間之認驗證亦五花八門,該如何選擇,也是不小的困擾。

先從認驗證制度來看,如經全國認證基金會(TAF)認可之驗證機構(CB),對於相關產品或服務、或組織內部管理制度進行符合性評鑑後,該項產品或服務、或組織之管理制度,可依TAF規範使用認證標誌或對外宣傳,此即一般人知悉之認證制度。

以網路安全為例,取得認證標誌不代表必然不會遭受網路攻擊、或可防止駭客入侵,但至少可以確保已符合一定規範,可有效降低風險等。此一作法,不僅我國,歐盟或鄰近之韓國皆有類似機制,依序說明如後。

歐盟ICT產品或服務之認驗證

關於歐盟ICT產品或服務之認驗證,以下從法源依據及認驗證執行情形兩方面來加以說明。

法源依據

歐盟網路安全局(ENISA)依2019年網路安全法(EU Cybersecurity Act)之授權,針對ICT產品或服務推行網路安全之認證機制。此一機制主要用於彰顯產品或服務對應風險的能力,為此,ENISA在2020年7月公布網路安全認證機制之規劃文件,具體說明機制運作方式與作業流程,以利後續對影響網路安全之產品或服務進行認證。

依其規劃,為確保機制順利運作,ENISA先成立相關小組,包含資安認證小組(ECCG)與認證工作小組(SCCG)。之後分由各工作小組就影響網路安全之產品或服務提案,經ENISA審查,並交付ECCG討論;最終,機制與規範等經歐盟執委會通過後,由SCCG執行認證業務。

目前ENISA規劃之認證機制採自願性、非強制之方式,但未來不排除於特定項目採強制方式。而此一機制適用範圍以ICT產品、服務或作業流程為主,現行規劃之基本要求或重點為:每個機制對於產品或服務之類別、網路安全規範、評估類型,及預期的保證等級,須有特定之說明。以評估類型為例,內含如採自我評估或第三方評估之說明。

原則上,此一機制主要係為確保降低網路安全之風險,故在產品或服務之證明內可使用基本(Basic)、重大(Substantial)或高(High)之三個級別,而相關級別表示其風險因應之能力,並包含在資安事件或事故發生時,該產品或服務對其涉及之ICT作業流程所造成影響之因應或風險處理能力。舉例而言,被認證為「高」等級之產品或服務,代表已經通過最高等級的安全性測試,或擁有最佳的風險處理能力。

認驗證執行情形

至於具體產品或服務認證之執行情形,如ENISA於2020年12月已提供雲服務之認證。經檢視此一認證機制,包含適用範圍、所使用之國際標準、等級判斷之依據、自我評估、評估方式與考量因素,以及認證必要資訊等。而涉及之國際標準,如ISO/IEC 17788(雲端計算)、27000(資訊安全系列)及17000(符合性評估程序),部分名詞定義與控制措施已參考ISO標準內容。

歐盟目前分為基本、重大或高三個級別,高(High)之等級代表最嚴謹且符合最新的技術水準,而基本(Basic)之等級代表雲網路安全之最低可接受之標準。但基本等級之標準仍為全面性,且適用於任何規模之雲服務提供商,以證明渠等已建立可保護其客戶之安全性架構。至於介於兩者之間的重大(Substantial)之等級,可運用於一般業務之保護。

另較特別是,除ICT產品或服務之認證可彰顯風險因應能力外,如上開之雲服務認證機制還包含合規性。因在雲服務之規範內,提及可對應歐盟2019年網路安全法第51條或第54條之要求,像是第51條(a)如何保護所儲存、傳輸或以其他方式處理之數據,防止意外或未經授權之讀取、處理、訪問或洩露。在雲服務規範內,主要對應於附錄A。可透過其規範之要求,搭配相關控制措施以為因應,彰顯合規性。

韓國ICT產品或服務之認驗證

韓國原自2017年開始推動資通安全產品之認證,並於2022年11月更新安全相關之符合性要求(新보안적합성 검증체계)。其科學技術情報通信部(MSIT)於2023年4月宣布終於有第一款Web防火牆產品,通過此一制度之認證(공공시장에 진출 가능한 정보보호 신속확인제품 첫 출시),該制度檢視內容包含產品或服務之安全性、功能性,效期為2年。

在上開制度架構下,韓國MSIT續於2023年6月宣布將與其食品藥物安全部(MFDS)及網路振興院(KISA)共同合作,推動醫療器材之資通安全認驗證機制,以確保相關設備之安全性。

另外,MSIT亦於2023年7月宣布將正式實施物聯網(IoT)安全認證機制,要求家電、交通、金融、智慧城市、醫療、製造、居住以及電信等八大領域所使用之物聯網裝置,均須符合此一安全認證,以提供消費者選購產品之參考。

結語

我國目前針對手機、行動應用App或IoT等,亦有類似認證機制。如行動應用資安聯盟(MAS)之行動應用App基本資安自主檢測推動制度,或台灣資通產業標準協會(TAICS)之物聯網資安標章及其認驗證制度規章。

企業或組織為了獲利,不斷推出產品或服務實屬常態。然在數位時代內,如何確保安全、可靠,認驗證制度或許是解決方案之一。但如先前知名的廣告詞:科技始終來自於人性。要推動相關機制,政府可以選擇強制推行或由產業自主推動,在ICT之認驗證上,若選擇採產業自律規範之方式,如同歐盟之作法,建議規劃上應搭配誘因或規劃獎補助措施,俾利推行。

<本文作者:陳宏志近年來專注在資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權領域,規劃區塊鏈或相關應用。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!