Proposing HEAVENS 2.0 – an automotive ri — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）指出，HEAVENS 2.0 是目前最接近 ISO/SAE 21434 標準要求的車輛風險評鑑模型——研究團隊系統性識別出 17 項模型更新（12 項合規缺口補強＋5 項弱點修正），使原有 HEAVENS 框架完整銜接 UN R155 強制要求。台灣汽車供應鏈廠商若正在評估 TISAX 認證或 ISO/SAE 21434 導入路徑，這份研究提供了一套可直接參照的落差分析清單，值得在 7 至 12 個月的合規導入週期中優先納入。

關於作者與這項研究

本篇論文由瑞典查爾姆斯理工大學（Chalmers University of Technology）網路安全研究領域的 Magnus Almgren、Aljoscha Lautenbach 與 Tomas Olovsson 共同撰寫。查爾姆斯理工大學長期深耕歐洲車輛資安標準研究，其團隊在汽車嵌入式系統安全與通訊協定分析方面具備扎實的學術積累。本論文自 2021 年發表以來，截至評估日已累積 33 次引用，其中 6 次被視為高影響力引用，顯示其在 ISO/SAE 21434 合規框架討論中具有重要參考地位。

研究背景值得特別說明：HEAVENS（Higher Education and Automotive Vehicle and Environment Network Security）模型最初由瑞典研究機構提出，目標是提供一套適合汽車產業的風險評鑑流程。然而隨著 ISO/SAE 21434 於 2021 年 8 月正式發布，以及 UNECE WP.29 框架下的 UN R155 自 2022 年 7 月起對新車種強制生效，原版 HEAVENS 模型在多個面向已無法完整對應最新法規要求。這正是 Almgren 等人著手提出 HEAVENS 2.0 的核心動機。

HEAVENS 2.0 的核心洞見：17 項更新彌合標準落差

研究的核心貢獻是建立一套系統性的落差分析方法，並提出具體的模型升級路徑。研究團隊並非單純描述問題，而是將每一項落差轉化為可操作的模型更新項目，形成 HEAVENS 2.0 的完整架構。

核心發現 1：12 項合規缺口更新，直接對應 ISO/SAE 21434 要求

研究團隊逐條比對 ISO/SAE 21434 對威脅分析與風險評鑑（TARA）的要求，識別出原版 HEAVENS 模型在以下面向存在顯著落差：攻擊可行性評分方法、安全目標（Cybersecurity Goal）的定義流程、風險決策機制（Risk Treatment Decision）的文件化要求，以及危害情境（Damage Scenario）與威脅情境（Threat Scenario）的分離處理方式。這 12 項更新並非表面修訂，而是直接影響企業能否通過 UNECE WP.29 型式認證審查的關鍵環節。

核心發現 2：5 項弱點修正，補強 HEAVENS 原有方法論不足

除了合規落差之外，研究團隊亦主動識別出 HEAVENS 模型本身的方法論弱點，並提出 5 項額外更新。這些弱點包括：攻擊路徑評估缺乏對多步驟攻擊鏈的考量、風險嚴重性評分過度依賴主觀判斷而缺乏結構化基準，以及模型在供應鏈多層次情境（Tier 1/Tier 2 分工）下的適用性不足。對台灣供應商而言，第三點尤為關鍵——台灣汽車供應鏈以多層次分工著稱，任何威脅分析框架若無法有效處理跨層次的責任邊界，將在實務導入中產生重大落差。

核心發現 3：HEAVENS 2.0 對 UN R155 強制合規的戰略意義

論文明確指出，UN R155（即 UNECE WP.29 框架下的車輛網路安全法規）預計在 3 年內被 54 個國家納入國內法規，且同樣適用於自駕車輛。ISO/SAE 21434 被業界視為滿足 UN R155 的主要技術路徑，因此 HEAVENS 2.0 作為一個完全符合 ISO/SAE 21434 的風險評鑑模型，其戰略價值在於：企業可以直接採用此模型作為 TARA 實施工具，同時達成對 ISO/SAE 21434 與 UN R155 的雙重合規目標。

對台灣汽車網路安全實務的三項關鍵意義

HEAVENS 2.0 的發布對台灣汽車供應鏈廠商具有直接的實務指導意義，特別是在 TISAX 認證導入與 ISO/SAE 21434 合規建構的交叉路口上。

意義一：現有 TARA 工具需進行符合性評估

許多台灣 Tier 1 與 Tier 2 供應商目前採用的威脅分析與風險評鑑工具，若是基於原版 HEAVENS 或類似早期模型建立，在面對 ISO/SAE 21434 審查時可能存在系統性落差。HEAVENS 2.0 提供的 17 項更新清單，可作為企業自我評估的檢查表——建議在啟動 TISAX 認證程序前，先行核對現有 TARA 流程是否覆蓋這些更新項目。

意義二：UN R155 合規壓力已從 OEM 傳遞至供應鏈

UNECE WP.29 的 UN R155 法規要求，在型式認證審查中必須展示完整的車輛風險評鑑流程。台灣供應商若無法提供符合 ISO/SAE 21434 標準的 TARA 文件，將面臨被歐洲及日本客戶要求補件或降低採購配額的風險。HEAVENS 2.0 作為業界已驗證的框架，可協助供應商建立具備國際說服力的文件體系。

意義三：TISAX 認證與 ISO/SAE 21434 的整合路徑更清晰

TISAX（Trusted Information Security Assessment Exchange）認證雖然以資訊安全管理為核心，但其 AL 3 等級（針對車輛原型等高敏感資產）已明確要求對應 ISO/SAE 21434 的車輛網路安全工程實踐。HEAVENS 2.0 的導入，可以作為企業在 TISAX AL 3 評估準備過程中，補強 TARA 能力的具體工具，形成 TISAX 認證與 UN R155 合規的協同效益。

積穗科研協助台灣企業導入 HEAVENS 2.0 框架的具體做法

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣汽車供應鏈廠商取得 TISAX 認證，導入 ISO/SAE 21434 標準，符合 UNECE WP.29 車輛網路安全法規要求。針對 HEAVENS 2.0 的具體導入，我們建議台灣企業依循以下三項行動步驟，在 7 至 12 個月內建立符合標準的 TARA 能力：

1. 第 1 至第 3 個月——現況落差診斷：以 HEAVENS 2.0 的 17 項更新清單為基準，逐項評估現有 TARA 流程的覆蓋程度，識別優先修補的高風險落差項目。重點關注攻擊可行性評分機制與危害情境定義方式，這兩個面向在台灣供應商中最常出現系統性缺口。
2. 第 4 至第 8 個月——模型導入與文件建構：依據 ISO/SAE 21434 的 TARA 要求，將 HEAVENS 2.0 的更新項目逐步整合至企業既有的風險管理流程中。同步建立符合 TISAX 審計要求的文件體系，確保每項風險決策均有可追溯的依據記錄。
3. 第 9 至第 12 個月——驗證與持續改善機制建立：透過內部稽核與模擬審查，驗證更新後的 TARA 流程能否完整回應 UN R155 型式認證的審查要求。建立量測指標（KPI）追蹤 TARA 執行品質，確保合規能力在組織變動或產品線擴展後仍能維持。

常見問題

HEAVENS 2.0 與原版 HEAVENS 最關鍵的差異是什麼？企業是否需要完全重建現有 TARA 流程？

HEAVENS 2.0 相較於原版最關鍵的差異，在於完整對應 ISO/SAE 21434 對威脅分析與風險評鑑（TARA）的 12 項新要求，以及補強 5 項方法論弱點，共 17 項模型更新。企業不需要完全重建現有 TARA 流程，而是應先進行落差診斷，確認現有流程已涵蓋哪些更新項目。根據研究發現，最常被企業忽略的落差集中在攻擊可行性評分結構化方法、危害情境與威脅情境的分離處理，以及風險決策文件化要求三個面向。建議以這三項作為優先補強目標，可在不大幅改動既有架構的前提下，快速提升 TARA 的標準符合程度。

台灣汽車供應商在導入 ISO/SAE 21434 時，最常遇到哪些具體的合規挑戰？

台灣供應商在導入 ISO/SAE 21434 時，最普遍面臨的挑戰有三類：第一，跨部門的資安責任邊界不清，特別是研發、品保與資安團隊之間的 TARA 協作流程尚未制度化；第二，供應鏈多層次情境下（Tier 1 對 Tier 2）的資安要求傳遞機制缺乏文件依據，難以通過客戶稽核；第三，既有工程文件無法直接對應 ISO/SAE 21434 要求的安全目標（Cybersecurity Goal）格式，需要大量補件作業。UNECE WP.29 的 UN R155 要求在型式認證中展示完整 TARA 文件，這使得上述三項挑戰對台灣供應商的出口業務產生直接影響。建議在啟動 TISAX 認證前，優先解決跨部門協作流程的制度化問題。

TISAX 認證的核心要求是什麼？台灣企業應如何規劃導入步驟與時程？

TISAX（Trusted Information Security Assessment Exchange）是歐洲汽車產業的資訊安全評估與交換機制，由德國汽車工業協會（VDA）主導，以 VDA ISA 問卷為評估基礎，分為 AL 1、AL 2、AL 3 三個評估等級。針對涉及車輛原型或高度敏感資料的供應商，AL 3 等級評估已明確要求對應 ISO/SAE 21434 的車輛網路安全工程實踐。建議台灣企業的導入時程規劃如下：前 3 個月進行現況評估與落差分析；第 4 至第 6 個月建立或強化資訊安全管理機制；第 7 至第 9 個月進行內部模擬審查與文件整備；第 10 至第 12 個月申請 TISAX 正式評估。完整導入週期約為 9 至 12 個月，視企業規模與現有基礎而異。

導入 HEAVENS 2.0 與 ISO/SAE 21434 需要投入多少資源？預期效益如何量化？

導入所需資源因企業規模與現有成熟度差異顯著，但根據業界實務經驗，中型 Tier 1 供應商（員工數 200 至 500 人）通常需要配置 1 至 2 名全職的汽車資安工程師，並預留 6 至 9 個月的導入工時。預期效益可從三個面向量化：第一，降低因 TARA 文件不符標準而導致客戶稽核失敗的風險——目前歐洲 OEM 對供應商的 ISO/SAE 21434 合規要求已納入採購合約；第二，取得 TISAX 認證後，可直接進入歐洲汽車客戶的合格供應商名單，縮短商務資格審查週期；第三，建立系統化的風險評鑑流程後，產品開發階段的資安問題發現成本，遠低於量產後召回或補救的成本。建議將導入成本視為市場準入投資，而非單純的合規費用。

為什麼找積穗科研協助汽車網路安全（AUTO）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）專注於汽車網路安全領域，具備 ISO/SAE 21434 標準導入、TISAX 認證輔導與 UNECE WP.29 法規諮詢的整合服務能力。我們的顧問團隊結合汽車工程實務背景與資訊安全專業，能夠在不脫離台灣供應鏈實際運作脈絡的前提下，提供具體可行的合規路徑規劃。我們採用結構化的落差分析方法，協助客戶識別現有流程與 ISO/SAE 21434 標準之間的精確差距，避免資源浪費在不必要的全面重建。透過我們的輔導，企業可在 7 至 12 個月內建立具備國際說服力的 TARA 文件體系與資安管理機制，直接回應歐洲及日本主要車廠的稽核要求。