資安院三方向推產品資安

　歐盟《網路韌性法》（CRA）2027年將上路，對於網路產品將嚴格要求資安規範，數發部轄下資安院也積極推動產品資安，今年主要工作在於對外宣導，盼最快明年能上路。依目前推動方向，將從人才培育、資安標準國際接軌及PSIRT（產品資安事件應變小組）三方向著手。

　產品資安專業人才、落實從設計源頭部分，資安院參考美國NICE Framework，預計開發安全軟體開發（Secure Software Development）工程師與軟體安全檢測（Software Security Assessment）工程師兩類職能框架，設計課綱教材與發展鑑測方法。

　資安院表示，將彙集專家與實務意見取得共識，作為未來推動標準化培訓與實務應用的基礎。

　資安標準接軌國際方面，資安院說明，我國已有基礎機制，如台灣資通產業標準協會辦理的「物聯網資安標章驗證證書」、行動應用資安聯盟的「物聯網資安驗證合格證書」等，未來將持續整合既有成果並參考國際發展，協助主管機關推動可與國際接軌的資安標章與制度。透過與他國簽署MoU、MRA等，建構具互認基礎的國際產品資安信任網絡。

　而推動PSIRT，資安院初步問卷調查顯示，雖多數企業已有基本的漏洞處理流程，但僅約4成建置了PSIRT機制，公開通報管道普及率亦偏低。

　調查也發現，多數受訪者反映最需協助的項目為SOP樣板與制度導入實務，顯示企業在漏洞治理制度化上仍有明顯落差。

　資安院預計透過TWCERT/CC推動PSIRT機制建置，規劃制定PSIRT指引、設計漏洞通報與修補程序，並研議將其納入政府採購規範，以提升企業導入誘因。

　此外，也研擬建構由資安院擔任公正第三方的漏洞獵捕（Bug Bounty）計畫，強化產業漏洞通報意願與實務防護能力。