【產品資安治理要求成國際浪潮】企業需正視PSIRT建置，完善產品與服務漏洞通報應變

談到企業與組織的資安事件應變，大家可能第一時間想到IT系統或網路防護，企業本身需要建立電腦資安事件應變小組（CSIRT），統籌與處理相關事宜，但產品層級的資安事件應變議題也越來越受重視。

一旦產品或服務漏洞遭到利用，使用者可能遭受入侵、資料外洩、系統癱瘓等風險，因此，供應商成立專門負責產品資安事件應變的PSIRT團隊（Product Security Incident Response Team），也逐漸成為資安治理的重要一環，這不僅是為了維護客戶的信任、對產品負責，也是因應全球資安立法趨勢的必要措施。

事實上，想要確保產品資安，若能落實設計即安全（Security by Design），固然能提前預防許多資安問題的發生，但從產品生命週期的角度來看，還需要事中察覺與事後應變，確保產品上市後的安全維護。

PSIRT並非新概念，是推動多年的產品資安實務，國際企業早有許多前例，例如微軟的Microsoft Security Response Center（MSRC），早在2003年發布每月例行安全更新，取代過去隨時發布安全更新的節奏，後續也舉辦漏洞懸賞計畫，就是具代表性的案例之一。Google、Apple亦設有類似產品資安應變團隊。若進一步檢視企業公開資訊，還可發現許多廠商揭示自家PSIRT，如AMD、Cisco、IBM、Intel、Nvidia、Honeywell。

臺灣亦有不少廠商這麼做，跟上國際潮流，但仍有許多企業還在觀望。例如，有些公司高層缺乏產品安全概念，害怕漏洞公告的影響，不熟悉CVE、VDP等漏洞揭露標準；也有企業知道漏洞應變重要，但仍處於任務交辦層次，並未確立責任分工與建立制度規範，導致部分環節做得不夠好，像是未能清楚對外揭示產品安全聯繫窗口。

當漏洞通報機制成為國際法規要求，企業需建立PSIRT積極因應

值得注意的是，近兩年來，全球產品資安立法浪潮已明顯成形。如英國2024年發布產品安全與電信基礎設施法案，要求產品具備基本資安能力，有3大焦點，一是禁止廠商出廠設置通用密碼，一是明示產品的資安支援年限，這兩者Secure by Default、產品安全生命週期有關；另一則是建立漏洞通報機制，其對應作法就是要有漏洞通報政策或PSIRT團隊來處理。

歐盟預計於2027年全面強制施行的網路韌性法案（Cyber Resilience Act，CRA）。其中，與漏洞通報義務相關的規範將自2026年9月11日起提前適用：製造商若發現產品漏洞遭鎖定利用，須在24小時內發出早期預警通知、72小時內完成漏洞通知，並在有可用緩解措施後14天內提交最終報告。違規者最高被罰1,500萬歐元或全球年營收2.5%，並可能遭到產品下架、召回或限制銷售。

再看美國CISA於2024年8月推出的Secure by Demand Guide，其採購要求與安全基準的內容，也間接促使供應商，必須建立正式的漏洞通報與事件處理流程，以回應買方對產品資安的期待。

回頭看看臺灣，雖然國內在這方面尚無明確的法規強制要求，但政府先前已經推行物聯網資安標章制度，列為公部門採購優先原則，且推動產品資安已成國家重要發展政策。我們認為，建立PSIRT的效益，並不僅止於因應國際法規或市場要求，提升臺灣品牌信任度，也能讓使用臺灣產品的用戶直接受益，降低資安事件衝擊與使用風險。

顯然，到了2026年，建立一套產品資安事件應變機制，已成企業無法迴避的課題，而PSIRT正是其中的關鍵角色。

不只電子製造業，提供服務的業者也應建立PSIRT

如何建置PSIRT？哪些企業需要建置PSIRT？市場上已有具體做法可依循。

例如，FIRST國際資安應變組織早在2018年便發布「PSIRT Services Framework」，提出一套完整的PSIRT建置框架與方法論，並逐步成為國際間廣受採用的重要參考依據。目前最新版本為2020年發布的1.1版。

在FIRST的定義中，PSIRT的核心任務在於：處理組織所開發或銷售的產品、解決方案、組件或服務所涉及的資安風險。

而從這段描述當中，我們可以發現：需要建置PSIRT的企業，並不僅限於提供實體產品或元件的業者，例如電子與硬體製造業、醫療設備與OT設備業者，也同樣涵蓋軟體業者與SaaS服務供應商；此外，凡是提供數位服務的業者，同樣存在建立PSIRT的必要。

FIRST國際資安應變組織早在2017年發布CSIRT Services Framework 1.1版（最新為2.1版），到了2018年再發布PSIRT Services Framework 1.0版（最新為1.1版），以促進企業整體資安事件應變。

臺灣企業建置PSIRT的三大瓶頸：缺流程、缺人力、缺依據

關於臺灣PSIRT的建置現況與挑戰，2025年12月舉辦的TWCERT/CC台灣資安通報應變年會，國家資通安全研究院（資安院）公布了調查結果，揭示國內企業推動PSIRT面臨的主要困難，以及資源需求。

後續我們也針對此議題進一步詢問資安院通報應變中心總監游家雯，她表示，這項調查主要來自近期相關活動的問卷回饋，當時詢問企業在推動PSIRT時最需要哪些支援，結果顯示，「SOP 範本」需求最高（60%），其次為經費與人力支援（44%）、認證訓練（38%）、法規參考（38%）、跨部門溝通推動建議（36%）。

從調查結果反推，游家雯認為，國內企業在推動PSIRT時的核心痛點，集中在「缺流程、缺人力、缺依據」。如要協助解決這些挑戰，可採取階段式補強策略，具體可從三個方向著手：

（一）流程面：藉助共用範本與作業指引，快速填補流程缺口。簡單來說，主要聚焦先建立可運作的基本框架，因此可善用既有的SOP、報告模板與事件分類表，減少自行設計成本。

（二）人力面：以兼任與跨部門合作替代專責團隊。也就是初期不一定要成立專責團隊，可由資安或研發部門兼任PSIRT職能，逐步建立跨部門溝通機制與角色分工。

（三）依據面：以教育訓練與法規指引補足制度依據。例如導入 FIRST PSIRT Framework、ISO 29147等國際框架，並盡力讓組織在現有人力下，也能維持一致的作業準則。

她也提到，除了FIRST發布的PSIRT服務框架（PSIRT Services Framework）可以作為實務參考，資安院維運的TWCERT/CC近一個月也陸續發布3份重要文件，包括：《PSIRT建置指引草案》、《建立PSIRT檢核表》、《TWCERT漏洞通報及申請CVE流程》。讓國內企業更好入門，後續iThome也將針對這些指引加以介紹。

特別的是，游家雯也從自身經驗強調PSIRT建置的重要性，由於TWCERT/CC接收到情資或研究人員通報，會協助向企業通報漏洞，若是對方公司未設置明確的PSIRT聯絡窗口，往往就會出現聯繫困難、處理延誤，甚至無人負責的情況，進而增加漏洞被濫用的風險。

她也觀察到，現在許多國內企業願意正面回應漏洞處理問題，處理方式也很符合他們或主管機關的期待。只是，有些企業雖然有人負責相關任務，但尚未建置專責的PSIRT團隊，這種仰賴個人經驗運作的漏洞應變，仍有進一步制度化與強化的必要。

另外她也提醒，臺灣有很多是ODM／OEM廠商，或是產品供應商、服務供應商、SI系統廠商，這些業者的PSIRT樣貌其實也會不一樣，企業需要釐清自己在供應鏈的角色。

整體而言，企業不僅要對其產品與服務負責，在產品資安合規趨勢日益明確的情況下，成立PSIRT有其必要性。若是企業高層仍缺乏PSIRT概念，仍應及早掌握全球產品資安法規態勢；而已具備PSIRT雛形的企業，需建立明確的角色分工，以確保產品資安應變能力可以長期穩定運作。

 哪些企業需要建立PSIRT？

根據TWCERT/CC近日發布的PSIRT建置參考指引草案，指出凡需負責產品或數位服務資安事件應變的企業與組織，皆應評估建立PSIRT機制，適用對象包括具備自主開發、維運產品或服務的平臺型、製造型與科技型企業，例如：

 資通訊與軟體產業 
如提供SaaS、PaaS、雲端服務或資訊軟體服務的企業，這類公司的產品生命週期短、更新頻繁，容易面臨外部通報與零時差攻擊挑戰，急需建立快速回應與透明溝通的事件處理機制。

 智慧製造與工控設備產業 
如提供機械、車用電子、醫療設備或OT系統的廠商，其產品多含韌體與嵌入式系統，若未妥善管理漏洞風險，將影響關鍵基礎設施與使用者安全。

 電子與硬體產品製造業 
如半導體、網通設備、IoT產品製造商，產品具長生命週期與複雜供應鏈結構，需建立通報處理、韌體更新與溝通協調的完整機制，符合CRA等新興法規要求。

 金融與科技服務業 
涉及大量敏感資料與交易系統，常以API或SDK提供服務組件，應具備針對第三方組件與自家產品的事件應變能力。

 零售與數位平臺服務業 
如提供電商、串流、物流與生活應用平臺的企業。當產品與服務為使用者日常所倚賴時，漏洞或資安事件將對信任造成直接衝擊，須快速應對並穩定溝通。