ISO/IEC 29147:2018 規範廠商如何接收外部漏洞通報、如何對外發布修補與公告資訊——也就是協調式漏洞揭露(CVD)的「對外介面」標準(新版修訂已在 ISO 工作組進行中)。它的法遵重量來自 EU CRA:CRA 附件一第二部分要求含數位元素產品的製造商建立並執行協調式漏洞揭露政策,且漏洞通報義務自 2026-09-11 起適用——主動遭利用漏洞須在時限內通報指定 CSIRT 與 ENISA。歐盟 JRC 與 ENISA 的官方標準對映報告中,EN ISO/IEC 29147 正是漏洞處理類要求的核心對應標準之一(八項要求中對應四項),與 ISO/IEC 30111 成對構成 CRA 漏洞義務的標準答案。
29147 與 30111 的分工
29147 管「揭露」:通報受理管道、與通報者的溝通、公告(advisory)的內容與發布;30111 管「處理」:收到通報後的內部驗證、分級、修補開發與部署流程。CRA 的漏洞義務同時涉及兩端,兩標準應成對導入。
CRA 時程與義務內容
CRA 已於 2024-12-10 生效:漏洞與事件通報義務 2026-09-11 起適用、主要義務 2027-12-11 起全面適用。製造商須建立 CVD 政策、提供通報聯絡點、無不當延遲地修補並發布安全更新、隨 SBOM 文件化漏洞——這些正是 29147/30111 的條文內容。
導入的實務樣貌
典型交付:security.txt 與通報信箱/表單、通報受理與回覆 SLA、CVD 政策文件(含安全港聲明)、公告模板與發布流程、與 30111 內部處理流程的銜接、必要時的 CVE 編號申請程序。積穗科研自身即營運完整的漏洞監測與合規證據鏈,輔導內容來自實際落地經驗。
Who This Is For
- 出口歐盟的含數位元素產品(PDE)製造商
- 韌體、IoT、網通與嵌入式系統業者
- 被客戶要求提供 CVD 政策與 PSIRT 聯絡點的供應商
- 需要回應 CRA 第三方符合性評估的廠商
FAQ
CRA 一定要求做到 29147 嗎?
CRA 要求的是「結果」(CVD 政策、通報、修補、公告),29147 是歐盟官方對映報告認定最直接的對應標準——依標準建立制度,就是向公告機構與客戶證明合規最有效率的方式。
我們是小廠,需要 PSIRT 嗎?
不需要大編制,但需要明確的接收管道、責任人與回覆流程。29147 的最低規範要求本就考量規模彈性,制度可以精實但不能缺席。
通報義務的時限多嚴?
CRA 對主動遭利用漏洞與重大事件採分段時限通報(以小時計的早期通知加後續報告),對象為指定的國家 CSIRT 與 ENISA。沒有事前建好的內部流程,時限內根本來不及。
和 ISO 27001 的關係?
27001 是組織資安管理系統,29147/30111 是產品漏洞揭露與處理的專門標準。已有 27001 的組織可把 CVD 流程掛載於既有 ISMS,文件與稽核機制共用。