文/鄭宜芬
建立 PSIRT 已成為企業進軍國際的重要門檻之一。數位發展部資通安全署與國家資通安全研究院 21 日共同舉辦「產品安全事件應變小組(PSIRT)說明會」,吸引超過 35 家指標性廠商參與。資安署表示,透過「發布實務指引、導入量測機制、深化實地輔導」三大策略,協助企業建立產品資安應變能量,讓資安防護力成為打入國際供應鏈的競爭優勢。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
資安署指出,PSIRT(Product Security Incident Response Team,產品資安事件應變小組)是企業內部專責處理自家產品資安漏洞的團隊,負責識別、評估到修復漏洞的過程,並負責對外公布修補進度與結果。對企業而言,PSIRT 是品牌信任的基礎,當研究人員或客戶回報產品的漏洞時,有一個可信賴的窗口主動應對,可幫助企業建立良好的商譽。
資安署進一步表示,隨著全球供應鏈對資安標準日益嚴謹,建立 PSIRT 已成為企業進軍國際的重要門檻之一。其中,歐盟《網路韌性法》(Cyber Resilience Act, CRA)即對產品的漏洞管理提出明確要求。資安院參考國際框架,已於今年 1 月在 TWCERT/CC 官網正式發布《資通訊產品資安事件企業應變機制手冊》,內容涵蓋組織、流程、培訓等面向,並透過漏洞處理、評估分析及作業精進等核心流程,引導企業循序漸進地建立產品安全應變機制。
為了厚植企業資安能量,資安署與資安院特別舉辦此次說明會,透過 PSIRT 量測機制,協助企業透過量化數據評估自身在漏洞管理上的成熟度,進而優化產品安全,資安院後續將啟動針對供應鏈產業的輔導機制,並提供實地諮詢服務,協助企業落實安全設計(Security by Design)目標,帶動產業整體資安升級。
[ 推薦閱讀:企業準備面對 CRA 的第一張考卷 ]
資安署強調,強化產業資安韌性是「國家資通安全戰略 2025」與「第七期國家資通安全發展方案」的重要政策目標,將持續推動國內產業從被動資安防禦轉為主動風險管控,並透過指引發布、量測機制導入及實地輔導,協助企業健全產品漏洞通報與處理機制,公私協力共同強化國內產品的安全防線。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
