ICT產品資安行動 資安院射三箭

2024年CWE公佈前5大最危險資安漏洞

爲提升國內產品資安治理能力，數發部資安署與資安院正推動ICT產品資安行動計劃，聚焦教育訓練、制度建立與法規接軌三個層面。其中，教育訓練將以基於安全設計（Security by Design）爲核心發展內容；制度面規劃電子產品資安法規、標章制度，接軌國際。

資安院副院長龔化中近期在公開演講時分享ICT產品資安管理經驗，透露研擬安全軟體開發與軟體安全檢測兩類工程師職能課綱與實作教材，目標協助產品設計階段就先考量資安架構，從源頭降低事後修補風險。

他並強調，資安院將推動產品資安事件應變小組制度（PSIRT），執行漏洞獵捕計劃（Bug Bounty Program）。由資安院擔任第三方公正單位，建立測試與通報流程，並邀供應契約廠商與資安業者提供產品作爲攻擊標的，經資安院審查認可的白帽駭客進行演練，助企業建立回報與修補流程，提升資安韌性。

制度層面，電子產品資安法規與標章制度參考英國PSTI、歐盟CRA等主要規範，確保臺灣制度設計與國際趨勢同步。未來廠商只要遵循一次規範，就能降低多國重複法遵與驗證成本。

龔化中表示與臺灣資安主管聯盟（CISO, Chief Information Security Officer）有密切合作，因聯盟是多家高科技企業資安主管組成，今年組織願景納入「推動產品安全」，產品開發與供應鏈資安將列爲倡議目標之一。聯盟今年成立的「產品安全與技術委員會」，其中，軟體物料清單(SBOMs）被視爲最具策略意義的重點。雖尚未納入政府採購規範，但資安院將持續推動工具建構與配套機制建立。

「做好產品資安，國家安全、廠商賺錢。」他強調，產品資安無法單靠政府或單一企業完成，產官攜手、持續對話，才能讓Made In Taiwan/Made By Taiwan的電子產業，成爲國際認可的信賴產業。