行動應用資安聯盟 行動應用App基本資安檢測基準V2.1及V3.0 分類/等級差異
2019/03/05 【二】行動應用資安聯盟 行動應用App基本資安檢測基準V2.1及V3.0 分類之差異說明
本聯盟於107年10月更新行動應用App基本資安檢測基準版本,將初級, 中級, 高級變更為甲類、乙類、丙類
此次改版編修由清華大學孫宏民教授與其資訊安全專業團隊協助主導。改版的重點將原來的分類分級制度,改以行動應用程式之性質分類不分級,依照各分類的性質來進行相對應的檢測項目。修改目的主要有三點:
1. 消除初級, 中級, 高級 的安全等級的比較
2. 消除低級高測與高級低測的迷思
3. 以行動應用程式的性質決定它的檢測項目,精準地檢測應該檢測的項目
|
重要條文修訂 |
|
|
8.2.MAS標章依「行動應用App基本資安檢測基準」,將
|
8.2.MAS標章依「行動應用App基本資安檢測基準」,將行動應用程式區分為三類: a. 甲類:無需使用者身分鑑別之行動應用程式。 b. 乙類:需使用者身分鑑別之行動應用程式。 c. 丙類:含有交易行為之行動應用程式。 |
|
檢測項目對照表 |
||||||
|
|
初 |
甲 |
中 |
乙 |
高 |
丙 |
|
4.1.1.1.行動應用程式發布 |
- |
- |
★ |
★ |
★ |
★ |
|
4.1.1.2.行動應用程式更新 |
- |
- |
- |
- |
- |
- |
|
4.1.1.3.行動應用程式安全性問題回報 |
- |
- |
★ |
★ |
★ |
★ |
|
4.1.2.1.安全敏感性資料蒐集 |
△ |
- |
★ |
★ |
★ |
★ |
|
4.1.2.2.安全敏感性資料利用 |
- |
- |
- |
- |
- |
- |
|
4.1.2.3.安全敏感性資料儲存 |
★ |
★ |
★ |
★ |
★ |
★ |
|
4.1.2.4.安全敏感性資料傳輸 |
- |
★ |
- |
★ |
- |
★ |
|
4.1.2.5.安全敏感性資料分享 |
△ |
★ |
★ |
★ |
★ |
★ |
|
4.1.2.6.安全敏感性資料刪除 |
- |
- |
- |
- |
- |
- |
|
4.1.3.1.交易/付費資源使用 |
- |
- |
- |
- |
★ |
★ |
|
4.1.3.2.交易/付費資源控管 |
- |
- |
- |
- |
★ |
★ |
|
4.1.4.1.使用者身分鑑別與授權 |
- |
- |
★ |
★ |
★ |
★ |
|
4.1.4.2.連線管理機制 |
- |
★ |
★ |
★ |
★ |
★ |
|
4.1.5.1.防範惡意程式碼與避免資訊安全漏洞 |
★ |
★ |
★ |
★ |
★ |
★ |
|
4.1.5.2.行動應用程式完整性 |
- |
- |
- |
- |
- |
- |
|
4.1.5.3.函式庫引用安全 |
△ |
★ |
★ |
★ |
★ |
★ |
|
4.1.5.4.使用者輸入驗證 |
★ |
★ |
★ |
★ |
||