TUVIT成為亞太區在地最佳資安標準合規與認證夥伴

TUVIT全球核心客戶經理Eric Behrendt先生認為NIST後量子加密（PQC）標準將成為資訊安全認證的關鍵要角。TUV NORD

即將於2026年全面上路的歐盟人工智慧法案（EU AI Act），以及2027年的網路韌性法案（CRA），加上2025年8月1日剛剛生效的無線電設備指令授權法案（RED-DA），這三個法案紛紛強調對於資訊安全與網路安全的重視與強制性要求，並加強高風險電子系統完整的全生命周期的管理機制，影響著企業界對於國際資訊安全標準的合規策略的因應，同時也為下一階段的技術創新提供了嶄新契機。

作為全球領先的標準檢驗與認證機構，TUV NORD結合多項國際標準，因應全面覆蓋法規的要求，幫助亞洲企業應對AI、網路安全與資訊安全法規的挑戰。

TÜV Informationstechnik GmbH（簡稱TUVIT）全球核心客戶經理Eric Behrendt先生與TUV NORD Taiwan（台灣德國北德技術監護顧問公司）資訊安全事業群林家弘協理聯袂接受專訪。這次適逢TUV NORD Taiwan高雄測試實驗室喬遷，利用新址啟用機會，除了邀請產業界客戶一起共襄盛舉之外，並介紹TUVIT全球組織的動態，以及其建構完備的評鑑與驗證服務，並協助客戶透過了解新的資訊安全標準與認證實驗室的發展，以掌握全新的市場商機。

TUVIT是TUV NORD集團旗下一個專責數位與半導體（Digital and Semiconductor Business Unit）領域並聚焦於資訊安全、數據基礎架構韌性技術的獨立子公司，成立於1995年，提供資安驗證、檢測與諮詢等服務，專注於建立資訊與通訊安全技術、測試硬體、軟體、資訊安全稽核與資訊安全管理系統稽核。

隨著全球產業界對半導體晶片、網通裝置的資訊安全標準合規的重視與關注，TUVIT藉由建構世界級的資訊安全環境，攜手TUV NORD Taiwan協助亞洲的半導體、電子製造與OEM/ODM廠商掌握不同的國際和國家資訊安全標準進行認證，其中也包括德國聯邦資訊安全辦公室（Federal Office for Information Security；BSI）的基本IT防護與資訊安全標準，成為業界可以依靠的最佳幫手。

TUV NORD Taiwan提供兼具CC、FIPS 140與FIDO三大標準認證測試

TUV NORD Taiwan與德國TUVIT已陸續協助亞太地區12家半導體客戶（超過20個廠區），取得德國BSI在 CC場域安全認證之證書。而TUV NORD Taiwan位於高雄的測試實驗室，更是在台灣唯一一家同時具備檢測資訊技術安全評估共同準則（Common Criteria；CC）、美國國家標準研究院（NIST）的FIPS 140-3標準，以及FIDO（Fast Identity Online）聯盟的快速身分識別機制三大國際資安標準的認證實驗室，並在台灣已將服務版圖從半導體、網通與製造業，進一步擴展到金融與工控供應鏈領域，協助台灣廠商滿足終端品牌客戶的合規需求。

TUVIT目前已經更積極擴展到諸如人工智慧、量子計算等新領域的認證服務，這些都是未來產業界非常關注的議題。Behrendt認為AI將會另一個大的機會，從2018年起，BSI開始在IT領域關注AI裝置的認證技術，從侵入式攻擊驗證、永續性、檢測、評估等技術的多面向探討，他自豪的表示通常TUVIT測試這些標準，也協助歐洲的產業標準可以平行完成規格制定的工作。

NIST後量子加密（PQC）標準將成為資訊安全認證的關鍵要角

Behrendt舉量子金鑰分配（QKD: Quantum Key Distribution）技術為例，面對後量子密碼的全球競爭的議題，這種抵抗來自量子計算破解加密系統之資安威脅，正成為產業界關心的核心議題，TUVIT協助企業遵循NIST採用的後量子加密（PQC : Post-Quantum Cryptography）標準，提供產業界檢驗和認證服務，以確保其系統能抵禦未來量子電腦的攻擊，當然，這也牽涉到企業的資訊系統需要持續評估與升級，以適應新的PQC演算法的實際運作的需求。

目前最新技術發展牽涉未來的資料傳遞與遠距交換，都需要透過安全認證的機制來做確保，TUVIT正與其他的技術夥伴研發測試的技術與設備，讓相關的認證工作與標準的制定得以併行而完成。

除了面對諸如QKD技術的新挑戰之外，眼前的挑戰由於客戶端面對CRA與AI法案等多個標準的認證需求難免就不知所措，Behrendt最近幾乎每一週都會要參與有三場以上在客戶端進行歐盟資安韌性法（CRA）標準的技術諮詢會議，他觀察到許多客戶疏忽到要從產品設計規畫之初的準備，他尤其提醒客戶一個考量資訊安全規劃的安全性產品其設計架構的重要性。

對於一定規模或大型的製造商，往往必須要同步進行多個產品系列的上市需求，建立一個考量資訊安全標準的產品開發平台後，提高特定場域的安全性，並允許其在之後對該場域生產的產品進行認證時重複使用驗證結果，從而簡化後續的產品認證流程、節省時間與成本。

對於CRA與AI法案，他在策略面上提供幾個建議，首先對於資訊技術安全評估共同準則（Common Criteria或CC）、以及工業自動化系統資訊安全IEC 62443等標準給予優先關注，目前這些基礎的資安標準已經成為新產品打入國際市場的必備條件。

再者，對於消費性電子產品之網路安全要求，所有安全要求項目皆需要參照ETSI/EN303 645物聯網網路安全標準作為重要的資安要求指引，由於台灣電子產業以OEM/ODM為主的製造廠為大宗，TUVIT已經可以提供台灣廠商測試和認證服務，並針對終端品牌客戶所需要的檢驗規範，對台灣電子供應鏈提供合規的參考建議與諮詢服務。

Behrendt誠心的建議客戶，從CRA設計產品的第一天開始，就要考慮安全性與資訊安全的設計，如果沒有想到這些要求，你終究還是要回來解決這些合規的難題，一旦忽視這些基礎要求，這些新標準的監管機構中就會以高額的罰款金額作為懲處，屆時會讓產品與企業會因此而遭受重大的損失與難關，所以他建議企業需要正視與確實提早做好因應計畫，並避免違法，而通過認證並提出證明效益的證據就是最好的產品合規策略。

FIPS 140-3密碼模組與演算法測試的合規指引

在美國、加拿大與台灣重要的政府機關在採購密碼應用相關的資訊產品與電子裝置時，皆要求產品供應商必須取得符合CC或FIPS 140標準的證明。

發展至今FIPS 140標準已更新至第三版（FIPS 140-3），由於密碼應用相關的資訊產品不限於硬體或是軟體，只要產品具備密碼相關運算，都能夠取得FIPS 140-3合規認證。舉例來說，作業系統、軟體、晶片、網路路由器、防火牆等都屬於可認證的產品。

而TUV NORD Taiwan的密碼模組檢測實驗室即是針對此標準檢測與顧問諮詢服務的唯一在地實驗室，該實驗室主管崔存得資深經理介紹TUV NORD Taiwan於2014年該實驗室取得NIST NVLAP Cryptographic and Security Testing實驗室的認證，也是國內唯一取得NIST認可的實驗室，有超過10年的服務客戶的經歷，協助過國內知名晶片設計、網通、記憶體廠商取得認證，展現團隊在資安產品檢測領域的專業能力。

目前實驗室具備FIPS 140-3標準的密碼模組（CMVP：Cryptographic Module Validation Program）、密碼演算法（CAVP：Cryptographic Algorithm Validation Program）、以及熵源（ESV: Entropy Source Validation）的測試驗證能力，也提供客戶諮詢與提供教育訓練。

崔存得解釋實驗室進行CMVP密碼模組檢測檢測需要從軟體設計流程文件，功能測試，甚至要檢查程式碼，實際測試的時間約半年，並經由美國NIST審查並核發證書。但是因為NIST審查能量限制，審查時程都超過一年以上，目前密碼模組產品從開始進行檢測到取得認證的時程約18到24個月。CAVP演算法檢測時程就比較快，預計兩到三週的時間就可以完成。

根據NIST預估，量子電腦可能在未來10年內威脅現有密碼學基礎。目前已加密的資料，未來也可能被「先竊取，後解密」的攻擊模式所威脅，對政府、金融及高科技等產業長期保存的機敏資料，將造成可觀的風險。

NIST去年8月正式發布3款PQC標準演算法分別是FIPS 203、FIPS 204與FIPS 205，實驗室已經能提供PQC測試驗證，而他也不諱言表示，企業與加密產品廠商雖已展開PQC演算法換裝，但整體部署仍面臨時間壓力，PQC演算法檢測相關需求正快速浮現。

TUV NORD Taiwan以在地化優勢  服務台廠經驗豐富

資訊安全事業群林家弘協理特別提點資訊產品通過CC驗證的重要性，其需求則是從產品開發的整個生命周期開始，以確保生產過程中每個環節的資訊安全都能受到完全保護。

而評估過程必須要對於開發或製造的「場域（Site）」進行實地稽核，確保其過程的安全措施與管理機制足以保護設計資料及產品。一旦場域取得認證後，只要該認證的服務內容、範圍與等級均符合客戶的安全產品要求，則此認證可直接運用在該場域製造的許多其他安全產品，以簡化重複稽核的時間與成本。

目前國內半導體產業包括晶圓代工及封裝測試知名廠商都已透過TUV NORD Taiwan的協助而取得場域認證（Site Certification）。

服務台灣客戶超過十年的經驗中，最值得一提的，林家弘指出，在2020年COVID疫情肆虐高峰期，由於台灣出入境管制的措施，造成台灣半導體廠商急需取得場域認證時間受到延誤，也間接造成國際半導體供應鏈的斷鏈風險，後由TUV NORD Taiwan團隊排除萬難與政府溝通，而有所轉圜，讓台灣客戶順利及時取得認證，成為TUV NORD Taiwan客戶服務歷史上的重要典範。

TUV NORD Taiwan保有重要的市場口碑，並積極與客戶維持長期的合作的關係，再加上本地化實驗室所彰顯的獨特、唯一的重要價值，不是只有測試設備，憑藉過去所累積的長遠的實作經驗與KNOW-HOW，都讓TUV NORD Taiwan的服務獲得客戶的青睞，隨著全球資訊安全產品增加亞洲製造的契機，TUV NORD Taiwan的專業團隊，期望攜手客戶，迎接資訊安全標準所創造的關鍵商機。