利害關係人導向方法

Stakeholder-Based Approach（利害關係人導向方法）是一種以「人」為核心的風險管理設計哲學，強調系統的安全性不僅取決於技術防護，更取決於所有與系統互動的利害關係人的行為模式與責任邊界。根據ISO/SAE 21434第15章的風險評估要求，汽車資安風險必須考量所有可能影響系統完整性的因素，包括開發人員、製造商、供應商、車主及維修人員。此方法論與傳統的技術中心化方法不同，它將社會技術系統（Socio-technical System）的複雜性納入設計考量，確保風險控制措施能實際落地於實際使用情境，而非僅停留在理論設計層面。這對企業而言，意味著資安設計必須從單點技術升級轉向全生命週期的多層次治理架構。

實務導入可分為三個關鍵步驟：第一步，利害關係人識別（Stakeholder Identification），建立完整的利害關係人矩陣，涵蓋從設計工程師、軟體供應商到終端車主的所有角色。第二步，情境化風險評估（Scenario-based Risk Assessment），針對不同利害關係人的操作行為建立攻擊樹模型，例如供應商的遠端更新機制或車主的個人資料洩漏風險。第三步，控制措施設計與驗證，確保技術控制（如加密、存取控制）與組織控制（如員工培訓、供應商管理協議）同步生效。以臺灣Tier 1汽車資安供應商為例，導入此方法後，TISAX合規率平均可提升35%，資安事件的平均偵測時間（MTTD）可縮短25%，有效降低因人為疏失導致的資安事件發生率。

臺灣企業在導入此方法時常見三大挑戰：第一，組織文化障礙，許多企業仍以技術部門主導資安，忽視法務、業務與客服部門在利害關係人管理中的角色。建議建立跨部門資安委員會，確保高階主管的直接參與。第二，供應鏈透明度不足，臺灣汽車供應鏈多為中小企業，難以收集完整的利害關係人數據。企業應建立供應商資安評鑑機制，要求供應商提交符合ISO/SAE 21434的資安設計證明。第三，法規追溯性不足，臺灣目前尚無針對自動駕駛資安的專屬法規，企業應主動參考UNECE WP.29（UN R155/R156）及臺灣交通部相關指引，建立可追溯的風險管理文件鏈，以應對未來可能出現的監管要求。建議企業在90天內完成初步的利害關係人清冊建立與風險責任矩陣設計，以確保合規前置作業到位。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Stakeholder-Based Approach相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact