TUVIT成为亚太区在地最佳网安标准合规与认证夥伴

TUVIT全球核心客户经理Eric Behrendt先生认为NIST后量子加密（PQC）标准将成为信息安全认证的关键要角。TUV NORD

即将于2026年全面上路的欧盟人工智能法案（EU AI Act），以及2027年的网络韧性法案（CRA），加上2025年8月1日刚刚生效的无线电设备指令授权法案（RED-DA），这三个法案纷纷强调对于信息安全与网络安全的重视与强制性要求，并加强高风险电子系统完整的全生命周期的管理机制，影响着企业界对于国际信息安全标准的合规策略的因应，同时也为下一阶段的技术创新提供了崭新契机。

作为全球领先的标准检验与认证机构，TUV NORD结合多项国际标准，因应全面覆盖法规的要求，帮助亚洲企业应对AI、网络安全与信息安全法规的挑战。

TÜV Informationstechnik GmbH（简称TUVIT）全球核心客户经理Eric Behrendt先生与TUV NORD Taiwan（台湾德国北德技术监护顾问公司）信息安全事业群林家弘协理联袂接受专访。这次适逢TUV NORD Taiwan高雄测试实验室乔迁，利用新址启用机会，除了邀请产业界客户一起共襄盛举之外，并介绍TUVIT全球组织的动态，以及其建构完备的评监与验证服务，并协助客户透过了解新的信息安全标准与认证实验室的发展，以掌握全新的市场商机。

TUVIT是TUV NORD集团旗下一个专责数码与半导体（Digital and Semiconductor Business Unit）领域并聚焦于信息安全、数据基础架构韧性技术的独立子公司，成立于1995年，提供网安验证、检测与谘询等服务，专注于建立信息与通讯安全技术、测试硬件、软件、信息安全稽核与信息安全管理系统稽核。

随着全球产业界对半导体芯片、网通装置的信息安全标准合规的重视与关注，TUVIT藉由建构世界级的信息安全环境，携手TUV NORD Taiwan协助亚洲的半导体、电子制造与OEM/ODM厂商掌握不同的国际和国家信息安全标准进行认证，其中也包括德国联邦信息安全办公室（Federal Office for Information Security；BSI）的基本IT防护与信息安全标准，成为业界可以依靠的最佳帮手。

TUV NORD Taiwan提供兼具CC、FIPS 140与FIDO三大标准认证测试

TUV NORD Taiwan与德国TUVIT已陆续协助亚太地区12家半导体客户（超过20个厂区），取得德国BSI在 CC场域安全认证之证书。而TUV NORD Taiwan位于高雄的测试实验室，更是在台湾唯一一家同时具备检测信息技术安全评估共同准则（Common Criteria；CC）、美国国家标准研究院（NIST）的FIPS 140-3标准，以及FIDO（Fast Identity Online）联盟的快速身份识别机制三大国际网安标准的认证实验室，并在台湾已将服务版图从半导体、网通与制造业，进一步扩展到金融与工控供应链领域，协助台湾厂商满足终端品牌客户的合规需求。

TUVIT目前已经更积极扩展到诸如人工智能、量子计算等新领域的认证服务，这些都是未来产业界非常关注的议题。Behrendt认为AI将会另一个大的机会，从2018年起，BSI开始在IT领域关注AI装置的认证技术，从侵入式攻击验证、永续性、检测、评估等技术的多面向探讨，他自豪的表示通常TUVIT测试这些标准，也协助欧洲的产业标准可以平行完成规格制定的工作。

NIST后量子加密（PQC）标准将成为信息安全认证的关键要角

Behrendt举量子金钥分配（QKD: Quantum Key Distribution）技术为例，面对后量子口令的全球竞争的议题，这种抵抗来自量子计算破解加密系统之网安威胁，正成为产业界关心的核心议题，TUVIT协助企业遵循NIST采用的后量子加密（PQC : Post-Quantum Cryptography）标准，提供产业界检验和认证服务，以确保其系统能抵御未来量子电脑的攻击，当然，这也牵涉到企业的信息系统需要持续评估与升级，以适应新的PQC演算法的实际运作的需求。

目前最新技术发展牵涉未来的数据传递与线上交换，都需要透过安全认证的机制来做确保，TUVIT正与其他的技术夥伴研发测试的技术与设备，让相关的认证工作与标准的制定得以并行而完成。

除了面对诸如QKD技术的新挑战之外，眼前的挑战由于客户端面对CRA与AI法案等多个标准的认证需求难免就不知所措，Behrendt最近几乎每一周都会要参与有三场以上在客户端进行欧盟网安韧性法（CRA）标准的技术谘询会议，他观察到许多客户疏忽到要从产品设计规划之初的准备，他尤其提醒客户一个考量信息安全规划的安全性产品其设计架构的重要性。

对于一定规模或大型的制造商，往往必须要同步进行多个产品系列的上市需求，建立一个考量信息安全标准的产品开发平台后，提高特定场域的安全性，并允许其在之后对该场域生产的产品进行认证时重复使用验证结果，从而简化后续的产品认证流程、节省时间与成本。

对于CRA与AI法案，他在策略面上提供几个建议，首先对于信息技术安全评估共同准则（Common Criteria或CC）、以及工业自动化系统信息安全IEC 62443等标准给予优先关注，目前这些基础的网安标准已经成为新产品打入国际市场的必备条件。

再者，对于消费性电子产品之网络安全要求，所有安全要求项目皆需要参照ETSI/EN303 645物联网网络安全标准作为重要的网安要求指引，由于台湾电子产业以OEM/ODM为主的制造厂为大宗，TUVIT已经可以提供台湾厂商测试和认证服务，并针对终端品牌客户所需要的检验规范，对台湾电子供应链提供合规的参考建议与谘询服务。

Behrendt诚心的建议客户，从CRA设计产品的第一天开始，就要考虑安全性与信息安全的设计，如果没有想到这些要求，你终究还是要回来解决这些合规的难题，一旦忽视这些基础要求，这些新标准的监管机构中就会以高额的罚款金额作为惩处，届时会让产品与企业会因此而遭受重大的损失与难关，所以他建议企业需要正视与确实提早做好因应计划，并避免违法，而通过认证并提出证明效益的证据就是最好的产品合规策略。

FIPS 140-3口令模块与演算法测试的合规指引

在美国、加拿大与台湾重要的政府机关在采购口令应用相关的信息产品与电子装置时，皆要求产品供应商必须取得符合CC或FIPS 140标准的证明。

发展至今FIPS 140标准已更新至第三版（FIPS 140-3），由于口令应用相关的信息产品不限于硬件或是软件，只要产品具备口令相关运算，都能够取得FIPS 140-3合规认证。举例来说，操作系统、软件、芯片、网络路由器、防火墙等都属于可认证的产品。

而TUV NORD Taiwan的口令模块检测实验室即是针对此标准检测与顾问谘询服务的唯一在地实验室，该实验室主管崔存得资深经理介绍TUV NORD Taiwan于2014年该实验室取得NIST NVLAP Cryptographic and Security Testing实验室的认证，也是国内唯一取得NIST认可的实验室，有超过10年的服务客户的经历，协助过国内知名芯片设计、网通、存储器厂商取得认证，展现团队在网安产品检测领域的专业能力。

目前实验室具备FIPS 140-3标准的口令模块（CMVP：Cryptographic Module Validation Program）、口令演算法（CAVP：Cryptographic Algorithm Validation Program）、以及熵源（ESV: Entropy Source Validation）的测试验证能力，也提供客户谘询与提供教育训练。

崔存得解释实验室进行CMVP口令模块检测检测需要从软件设计流程文件，功能测试，甚至要检查程序码，实际测试的时间约半年，并经由美国NIST审查并核发证书。但是因为NIST审查能量限制，审查时程都超过一年以上，目前口令模块产品从开始进行检测到取得认证的时程约18到24个月。CAVP演算法检测时程就比较快，预计两到三周的时间就可以完成。

根据NIST预估，量子电脑可能在未来10年内威胁现有口令学基础。目前已加密的数据，未来也可能被「先窃取，后解密」的攻击模式所威胁，对政府、金融及高科技等产业长期保存的机敏数据，将造成可观的风险。

NIST去年8月正式发布3款PQC标准演算法分别是FIPS 203、FIPS 204与FIPS 205，实验室已经能提供PQC测试验证，而他也不讳言表示，企业与加密产品厂商虽已展开PQC演算法换装，但整体部署仍面临时间压力，PQC演算法检测相关需求正快速浮现。

TUV NORD Taiwan以在地化优势  服务台厂经验丰富

信息安全事业群林家弘协理特别提点信息产品通过CC验证的重要性，其需求则是从产品开发的整个生命周期开始，以确保生产过程中每个环节的信息安全都能受到完全保护。

而评估过程必须要对于开发或制造的「场域（Site）」进行实地稽核，确保其过程的安全措施与管理机制足以保护设计数据及产品。一旦场域取得认证后，只要该认证的服务内容、范围与等级均符合客户的安全产品要求，则此认证可直接运用在该场域制造的许多其他安全产品，以简化重复稽核的时间与成本。

目前国内半导体产业包括晶圆代工及封装测试知名厂商都已透过TUV NORD Taiwan的协助而取得场域认证（Site Certification）。

服务台湾客户超过十年的经验中，最值得一提的，林家弘指出，在2020年COVID疫情肆虐高峰期，由于台湾出入境管制的措施，造成台湾半导体厂商急需取得场域认证时间受到延误，也间接造成国际半导体供应链的断链风险，后由TUV NORD Taiwan团队排除万难与政府沟通，而有所转圜，让台湾客户顺利及时取得认证，成为TUV NORD Taiwan客户服务历史上的重要典范。

TUV NORD Taiwan保有重要的市场口碑，并积极与客户维持长期的合作的关系，再加上本地化实验室所彰显的独特、唯一的重要价值，不是只有测试设备，凭藉过去所累积的长远的实作经验与KNOW-HOW，都让TUV NORD Taiwan的服务获得客户的青睐，随着全球信息安全产品增加亚洲制造的契机，TUV NORD Taiwan的专业团队，期望携手客户，迎接信息安全标准所创造的关键商机。