2006年完成資安產品交互認證申請

行政院於2001年通過資通訊基礎建設安全機制計畫，開啟國家型資訊安全建設，其中隸屬於經濟部負責「標準規劃工作組」，規畫資安標準等工作，希望建立一套資訊安全產品的驗證體系流程和規範，最終目的則是讓臺灣的資安產品能在國際交互承認，獲得進軍國際市場的通行證。

經濟部商業司今年三月委託資策會資通品質技術工作室執行「建立資安產品驗證體系計畫」，從今年開始到2006年間，規畫並建立臺灣資安產品驗證體系與檢測能力，確保對內或對外的電子商務或電子化政府活動都能暢通無阻，且沒有安全的顧慮。

「但並沒有一套完整的認證制度確定產品是否安全，而且國內認證檢測水準和歐美相差甚多，沒有自主的機構，產品多半要送到國外檢測。」資策會資通品質技術工作室計畫主持人吳家祺說：「中國大陸、東南亞已經推行很久，我們落後日、韓也有一段差距，唯有政府相關單位積極參與和協助，這個計畫推動才會順利。」

中國大陸的的國家信息安全測評認證中心於1999年成立，計畫輸入本土的所有安全相關產品，都要經過該中心的檢測和審核，確定產品無瑕疵或危急國家安全的漏洞，才能在全國銷售，歷時數個月的時間。

該目標預計到2006年分階段完成。第一階段要先完成規畫建議書，明年完成第一期重點實驗室的建置、檢測人才培訓和資安產品先導測試，2005年完成第二期重點實驗室建置和營運，以及人才培訓，最後申請國際標準交互認證（Common Criteria Recognition Arrangement）。

「國際標準對安全實驗室之要求門檻高。中華民國實驗室認證體系CNLA和中華民國認證委員會CNAB已有導入相關檢測標準，但都沒有資訊安全產品驗證相關機構的設立。」吳家祺說，一方面是過去未有足夠的資源和人才使用相關標準及技術檢驗產品，廠商本身對資安需求認知也還要再教育，需要安全認證制度先行把關。

如果一切進行順利，檢測實驗室於2005年可開始營運，如PKI、IC卡或密碼模組檢測等攸關用戶端權益的機制，首先受到保護，範圍不只於此。「廠商就可以省下到國外檢測的成本，並可落實標準化，促進技術升級，及強化國家在安全產品的管理制度。」吳家祺說。

鈺松國際副總經理樊國楨建議，資訊技術安全評估共通準則（Common Criteria for Information Technology Security Evaluation，簡稱CC）採用的ISO/IEC15408，目前的版本為1999年修訂，每5年會修改一次，2004年會有新版發表。「ISO 15408一定會再修改，如果要制訂準則，勢必從最新的版本著手。」