共通平臺列舉

Common Platform Enumeration (CPE) 是由美國國家標準暨技術研究院（NIST）於2004年發布的標準化命名機制，旨在為IT環境中的各種平臺、作業系統、應用程式及設備提供唯一的識別碼。CPE採用分層結構設計，包含平臺（Platform）、版本（Version）、更新版本（Update）、語言（Language）、建築類型（Architecture）等元素，例如 `cpe:2.3:a:microsoft:windows_10:22h2:*:*:*:*:*:*:*`。這套標準與CVE（Common Vulnerabilities and Exposures）緊密整合，使資安人員能透過自動化工具精確比對資產與已知漏洞。在ISO/IEC 27701與ISO 27001的資產管理要求下，CPE是實現資產識別一致性的技術基礎，對企業建立完整的資資產清冊（Asset Inventory）至關重要。它與SMIBC（標準化管理資訊基準）類似，但專為資訊安全情境設計，確保不同廠商的資產在同一命名體系下可被機器讀取與比較。

企業導入CPE的實務應用可分為三個階段：第一步是資產盤點與CPE編碼化，企業需建立完整的資產清冊，為每個軟硬體組件分配符合CPE 2.3標準的唯一識別碼。第二步是建立自動化比對機制，將CPE資產清冊與NIST發布的CVE漏洞資料庫進行即時對應，當新漏洞發布時，系統能自動識別受影響的資產範圍。第三步是風險優先排序與修補決策，根據資產的關鍵性（如ISO 22301業務持續性評級）與CVE的CVSS分數進行交叉計算，優先處理高風險資產。實務上，大型電信或製造業導入CPE後，資產與漏洞的匹配準確率可提升至95%以上，資安事件應變時間（MTTR）平均縮短30-50%，大幅降低因資產不明導致的合規風險。

臺灣企業在導入CPE時主要面臨三個挑戰。首先是資產清冊的完整性問題，許多中小企業缺乏系統化資產管理，導致CPE編碼無法覆蓋所有設備。建議採用自動化資產發現工具（如OpenVAS或Nessus）輔助生成初始CPE清單。其次是跨部門協作難度，IT運維與資安團隊往往使用不同工具，導致CPE命名不一致。企業應建立統一的資資產命名政策，並在ISO 27701認證框架下明確定義資產所有權與命名責任。第三是技術人才的專業缺口，CPE的結構化管理需要資安工程師具備系統性思維。企業可透過ISO 27701導入過程中的教育訓練，並採用支援CPE格式的商用資產管理平臺，以降低技術門檻。建議在90天內完成核心資產的CPE編碼化，並以3-6個月為週期滾動更新，確保資產清冊與實際環境同步。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Common Platform Enumeration相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact