（行動應用程式發布控管）
一、組織發布行動應用程式前應檢視行動應用程式所需權限應與提供服務
    相當，首次發布或權限變動應經資安、法遵單位同意，並留有紀錄，
    以利綜合評估是否符合個人資料保護法之告知義務。
二、組織應於可信任來源之行動應用程式商店或網站發布行動應用程式，
    且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣告之權限
    用途。
三、涉及投資人使用之行動應用程式於初次上架前及每年，組織應委由經
    財團法人全國認證基金會（TAF ）認證合格之第三方檢測實驗室進行
    並完成通過資安檢測，檢測範圍以經濟部工業局委託執行單位「行動
    應用資安聯盟」公布之行動應用程式基本資安檢測基準項目進行檢測
    。
四、如通過實驗室檢測後一年內有更新上架之需要，組織應於每次上架前
    就重大更新項目進行委外或自行檢測；所謂重大更新項目為與「下單
    交易」、「帳務查詢」、「身份辨識」及「客戶權益有重大相關項目
    」有關之功能異動。檢測範圍以 OWASP MOBILE TOP 10  之標準為依
    據，並留存相關檢測紀錄。
五、組織對第三方檢測實驗室所提交之檢測報告，應依經濟部工業局委託
    執行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢測基
    準項目建立覆核機制，以確保檢測項目及內容一致，並留存覆核紀錄
    。