嚴重性等級評定

嚴重性等級評定（Severity Ratings）是一種標準化的風險評估程序，旨在量化已識別的資安漏洞或威脅事件一旦發生，可能對組織造成的損害程度。此評定不考慮威脅發生的可能性，僅專注於「衝擊」層面。在汽車網路安全領域，國際標準ISO/SAE 21434《道路車輛－網路安全工程》提供了核心框架。其附件H（Annex H）指導企業從四個維度評估衝擊：安全（Safety）、財務（Financial）、營運（Operational）與隱私（Privacy），並將每個維度的衝擊程度分為「嚴重」、「重大」、「中等」、「可忽略」四個等級。這與通用漏洞評分系統（CVSS）中的「衝擊指標」（Impact Metrics）概念相似，但更貼近車輛的特定情境。透過此評定，企業能客觀地比較不同漏洞的潛在危害，作為後續風險處理與資源分配的依據。

企業應用嚴重性等級評定的實務步驟如下：第一步，建立評定框架。依據ISO/SAE 21434標準，定義企業內部對安全、財務、營運、隱私四個衝擊維度的具體評級標準。例如，明確定義造成超過新台幣一億元損失的事件為「嚴重」財務衝擊。第二步，執行漏洞衝擊評估。在威脅分析與風險評估（TARA）過程中，針對每個已識別的威脅情境，由跨部門專家（如安全工程師、法務、產品經理）共同依據前述框架進行評分。第三步，整合與優先級排序。將評定結果整合至風險管理平台，並結合威脅發生的可能性，計算出整體風險等級。此方法可確保資源被有效運用於處理最關鍵的風險，滿足UNECE R155法規對風險管理的系統性要求，並提升審計通過率。

台灣企業導入嚴重性等級評定主要面臨三大挑戰。首先是「評估標準主觀性」，不同團隊對「嚴重」的定義可能存在巨大差異，導致評估結果不一致。對策是建立全公司統一且量化的評級指南，例如明確定義財務損失的金額區間、營運中斷的時長，並定期舉辦校準會議。其次是「跨領域知識整合困難」，汽車安全涉及IT、OT與產品安全，評估衝擊需整合多方專業，但部門間常有溝通壁壘。對策是成立跨職能的網路安全小組，由專案經理主導，確保各方觀點都被納入評估。最後是「供應鏈管理複雜」，整車廠（OEM）難以掌握供應商零組件的潛在衝擊。對策是要求供應商提供符合ISO/SAE 21434的網路安全檔案，其中應包含完整的嚴重性評估報告。

積穗科研股份有限公司專注台灣企業severity ratings相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact