今天來講講 行動應用基本資安規範，因為很多人常會聽到 App資安檢測、MAS標章、行動應用資安聯盟等相關詞，但讓人很容易搞不清楚這些關連性，App資安檢測到底需不需要做

這篇主要介紹 行動應用App基本資安檢測是從何而來，前面提到許多似是而非的名詞，法源根據又是什麼

用什麼方式決定需不需要資安檢測

起源

自從 Apple iPhone 問世後，各種行動裝置應用程式(Mobile Application 簡稱App) 有如雨後春筍不斷冒出

人們開始依賴各式各樣的App ，惡意使用者或黑客看準部分開發缺乏資安意識，造成使用者資料的外洩，或財務的損失，因此

經濟部工業局依據行政院國家資通安全會報103年6月24日第26次委員會議決議事項：「參考各國手機管制機制及我國相關業務分工，手機與電腦之應用軟體(包含LINE)基本資安規範由經濟部主管，惟手機屬電信法第42條規定之電信終端設備，其出廠時已內建之軟體仍併同硬體由通傳會主管；請前揭二部會依此分工原則積極研議相關管理作為，並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務」辦理。

參照國際相關資安規範，歷經工作小組、專家座談研討等多次會議，蒐集產官學研先進之建議，並公開徵詢各界意見，於105年2月底已依序完成**「行動應用App基本資安規範」、「行動應用App基本資安檢測基準」、「行動應用App基本資安自主檢測推動制度」及「行動應用App 安全開發指引」**

105年11月29日正式成立「行動應用資安聯盟」，以推動我國行動應用App相關產業發展，令資安自主檢測機制更加完善，培育行動應用資安產業人才，提升國內行動應用App資訊安全，拓展國內外商機為宗旨。

由上內容可知 行動應用App基本資安規範 是由經濟部工業局輔導下所制定資安檢驗的基準

是國內可以用來衡量APP是否安全的基準

應用App基本資安檢測可以幹嘛？我需要嗎？

大家都很關心這個議題，畢竟大家都不想花錢

這裡用幾個判斷基準，可以讓讀者 Review 自己的 App 是否需要資安檢測

首先App 基本資安規範 定義了三個行動應用程式分類

APP 狀況是 L1 ，大部分你的app 通常都是工具 / 生產力類型的App 外部資料通常是OpenData 類型，所以資安層級可以不用太高

大部分的 App 範圍會落在這一個L2，如果是App使用到個資就建議送驗，畢竟個資洩漏的罰則可是很重

然而 L3 有三種狀況

1. App 自行處理金流交易： 自行串銀行/收單行，或本身就是銀行或電子支付 App 這種風險等級就非常高，建議送驗
2. App 串接金流服務商：使用第三方支付的SDK串接，只要依照官方提供文件串接，通常就不會有安全性問題這是SDK 設計時已經處理過的，可以自行評估送驗，但是開發者還是要有一定安全意識，不能自行為了方便不依照官方指示串接，本人接觸過有開發者直接將密鑰放置在 App 內處理訂單，結果密鑰洩漏造成的事故
3. 金融特許行業：只要是電子支付業者或銀行業者等，會直接受到電子支付專法/銀行法條列要求每年都需要送驗取得證書

另外還有一個特殊狀況，現在只要是公家機關 App 合約內會要求取得資安檢測證書

結論&建議

前一項提到用什麼特徵來決定是否要送驗，作為判斷的依據，決定是否檢測

即使決定不送驗，強烈建議還是需要理解資安規範並自主進行檢測，預防資安的風險

即使通過檢測，不代表已經沒有資安的風險，因攻擊手法會一直更新，所以需要一直與時俱進並不間斷持續資安意識及措施