安全相關性評估

「安全相關性評估」（Security Relevance Evaluation, SRE）是國際標準ISO 21434《道路車輛－網路安全工程》中定義的關鍵初始步驟。其核心目的在於系統性地判斷一個「項目」（item，指車輛中的系統、組件或功能）是否與網路安全相關。根據ISO 21434第8.5條款的要求，此評估需分析項目的連接性、資料處理能力及潛在被修改的可能性。若評估結果為「不相關」，則該項目無需再進行後續的威脅分析與風險評估（TARA）；反之，則必須啟動完整的網路安全生命週期管理。SRE在風險管理體系中扮演著「過濾器」的角色，它位於TARA之前，用以決定「是否」需要投入安全資源，而TARA則聚焦於「如何」管理已識別的風險，兩者概念清晰且順序分明。

在實務中，企業導入安全相關性評估通常遵循以下步驟：第一，項目定義與邊界劃定，明確界定待評估系統（如：車載資訊娛樂系統）的功能、架構與所有內外部通訊介面。第二，相關性準則分析，依據ISO 21434附錄B的指引，系統性地檢視該項目是否具備可導致網路安全威脅的特性，例如：是否具備藍牙、Wi-Fi等外部連線能力？是否能接收或處理個人資料？其韌體或軟體是否可被遠端更新？只要任一答案為是，通常即判定為相關。第三，決策與文件化，將評估過程、所用準則、證據及最終判定結果（相關或不相關）詳實記錄，作為網路安全檔案（Cybersecurity Case）的一部分。例如，一家德國汽車製造商透過此流程，將一個無連網功能的純機械式座椅調整模組判定為「不相關」，從而節省了約15%的初期安全分析人力，並確保資源能集中於高風險的聯網控制器，最終提升了UN R155法規的審計通過率。

台灣企業導入安全相關性評估主要面臨三大挑戰。第一，傳統開發流程整合不易：許多企業的研發流程仍將安全視為後期附加工作，導致SRE無法在專案最早期的概念階段有效執行，錯失了節省成本的先機。第二，供應鏈資訊不透明：身為供應鏈的一環，常難以取得上游客戶或下游廠商提供的完整組件資訊（如軟體物料清單SBOM、詳細設計文件），造成評估依據不足。第三，專業人才與經驗匱乏：熟悉ISO 21434標準且具備SRE實務判斷能力的專家稀少。為克服挑戰，建議優先建立跨部門的整合開發流程，將SRE納為正式關卡；其次，透過簽訂網路安全協議（Cybersecurity Agreement）來確保供應鏈資訊的透明度；最後，可尋求如積穗科研等外部顧問協助，在6個月內完成內部培訓與流程建置，快速縮短學習曲線。

積穗科研股份有限公司專注台灣企業security relevance evaluation相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact