auto

ISO 15408

ISO 15408(Common Criteria)是國際公認的IT產品安全評鑑標準,透過共通準則(Common Criteria)評估產品的安全功能需求與設計。汽車供應鏈企業需依此評估電子控制單元(ECU)與通訊模組的安全性,確保產品符合ISO/SAE 21434與UN R155的技術要求,降低產品上市後的資安風險。

積穗科研股份有限公司整理提供

問答解析

ISO 15408是什麼?

ISO 15408,正式名稱為《信息技術安全技術評鑑準則》(Common Criteria for Information Technology Security Evaluation),由國際標準化組織(ISO)與國際電信聯盟(ITU)共同發布。其核心概念是透過「準則(Criteria)」的統一,讓不同國家、不同評鑑機構的評估結果具備互認性,避免企業在不同市場重複評鑑同一產品。ISO 15408定義了安全目標(Security-Target)、評鑑準則(Common Criteria)、評鑑聲明(Evaluation-Assurance-Level,EAL 1-7級)等關鍵要素,是IT產品進入受管制市場的通行證。在汽車資安領域,它與ISO/SAE 21434形成互補:ISO/SAE 21434規範開發流程,ISO 15408則用於驗證產品實體安全功能的有效性,兩者共同構成汽車網路安全型式認證的技術基礎。

ISO 15408在企業風險管理中如何實際應用?

汽車供應鏈企業導入ISO 15408的實務應用可分為三個階段:第一步,產品安全需求定義,企業需根據ISO/SAE 21434的威脅分析結果,將安全需求轉化為ISO 15408可測試的評鑑準則,例如加密演算法的強度、存取控制機制等。第二步,選擇適當的EAL等級,通常汽車資安關鍵組件(如OTA模組、Gateway)建議至少達到EAL4+,以確保設計的嚴謹性。第三步,委託認證機構(如德國TÜV、臺灣的第三方實驗室)進行評鑑,取得評鑑聲明。實務上,導入ISO 15408可協助企業將產品安全從「主觀聲明」提升為「客觀可驗證的技術證據」,有效降低因資安漏洞導致的產品召回風險,預估可減少30%的後期修補成本,並提升客戶信任度。

臺灣企業導入ISO 15408面臨哪些挑戰?如何克服?

臺灣汽車資安企業導入ISO 15408主要面臨三個挑戰:首先是評鑑成本高昂,ISO 15408評鑑通常需要12-24個月,且費用可達數百萬臺幣,中小企業難以負擔。其次是評鑑人才稀缺,臺灣具備ISO 15408評鑑資格的專業人員極少,企業需自行培育或依賴外部顧問。第三是供應鏈碎片化,臺灣汽車零件商多為Tier 2或Tier 3,難以自行啟動完整評鑑流程。克服策略上,企業應採取「分階段導入」:優先針對高風險組件(如V2X通訊模組)進行EAL4評鑑,其他組件先以ISO/SAE 21434的設計文件作為合規證明,並在3年內逐步擴大評鑑範圍,以確保在UN R155強制生效後不失掉市場准入資格。

為什麼找積穗科研協助ISO 15408相關議題?

積穗科研股份有限公司(Winners Consulting Services Co., Ltd.)專注臺灣企業ISO 15408相關議題,擁有豐富實戰經驗,協助企業在90天內建立符合國際標準的管理機制,已服務超過100家臺灣企業,協助臺灣汽車供應商成功通過國際客戶的資安審核,確保產品在歐美市場的競爭力。申請免費機制診斷:https://winners.com.tw/contact

相關服務

需要法遵輔導協助嗎?

申請免費機制診斷
積穗科研 | ISO 15408 — 風險小百科