申請擔任驗證機構者(以下簡稱申請人),應符合下列條件: 一、依法設立之本國法人、機構。 二、未從事擬申請驗證項目之資通設備輸入、設計、製造或販賣相關業務 。 三、符合 CNS17065 或 ISO/IEC17065 標準。 四、須設置二名以上專職之驗證人員。 前項第四款之驗證人員,應符合下列條件: 一、為國內公立或立案之私立大專以上學校或經教育部承認之國外大專以 上學校之資訊工程、資訊管理或相關科系畢業。 二、具資通安全相關管理或測試評估實務工作經驗達五年以上,且瞭解相 關法令與技術規範。 三、取得 CNS17065 或 ISO/IEC17065 訓練合格證書。 四、具備下列有效之資訊安全相關專業證照之一: (一)資訊系統安全專家證照((ISC) 2 Certified Information Systems Security Professional,CISSP)。 (二)資安分析專家證照(EC-Council Certified Security Analyst,EC SA)。 (三)資安鑑識調查專家證照(EC-Council Computer Hacking Forensic Investigator,CHFI)。 (四)滲透測試專家證照(GIAC Penetration Tester,GPEN)。 (五)資安專業人員證照((ISC) 2 Systems Security Certified Practitioner,SSCP)。 (六)滲透測試技術證照(Offensive Security Certified Professional,OSCP)。 五、不得兼任第三條第二項第四款之人員。
一、第一項明定申請擔任驗證機構之資格與條件。 二、為確保驗證機構之驗證人員具評估測試方法、結果之合理性,及是否符合技術規 範要求之能力,爰於第二項明定驗證人員資格。 三、為確保驗證機構執行審驗作業之公正性及獨立性,爰於第二項第五款明定驗證人 員不得兼任第三條第二項第四款之測試主管或測試工程師。