ISO/IEC 30111:2019 規範廠商收到漏洞資訊後的內部處理流程:通報驗證與重現、嚴重度分級、根因分析、修補開發與測試、部署與後續監控。它與 ISO/IEC 29147(揭露)成對:29147 是對外介面、30111 是內部引擎。在 EU CRA 的官方標準對映(JRC 與 ENISA 聯合報告)中,EN ISO/IEC 30111 是漏洞處理類要求覆蓋度最高的單一標準——八項要求中對應五項。CRA 要求製造商「無不當延遲」修補漏洞、免費提供安全更新、維護 SBOM 以支持漏洞管理,並對支援期內的產品持續履行義務——這意味著漏洞處理不是事件式的救火,而是要在組織內常設、可稽核的流程。
CRA 漏洞處理八要求與 30111 的覆蓋
CRA 附件一第二部分列出漏洞識別與文件化(含 SBOM)、無延遲修補、定期測試、揭露政策、資訊分享、安全更新機制等八項。依官方對映,30111 直接覆蓋其中五項,搭配 29147 再補四項(部分重疊)——兩標準成對導入即覆蓋絕大多數條文,剩餘缺口以程序文件補齊。
與 SBOM/安全更新的銜接
30111 的修補流程必須接上兩個 CRA 硬要求:SBOM(知道產品裡有什麼,才知道哪個元件的漏洞與你有關)與安全更新交付機制(修了要能送到用戶手上)。積穗科研自身交付管線即每日產製、簽章並監測 SBOM——這套機制是輔導內容的活教材。
導入的組織設計
核心是把「誰收單、誰驗證、誰定級、誰修、誰發布、多快」寫成可稽核的流程與 SLA,並與既有的事件回應(ISO/IEC 27035)、供應商管理(27036)銜接。對多產品線廠商,還需設計漏洞影響面評估的橫向機制。
対象となる企業
- 出口歐盟的含數位元素產品製造商(CRA 直接義務人)
- 維護多版本韌體/軟體產品線的廠商
- 被要求出示漏洞處理 SLA 與紀錄的供應商
- 需建立 PSIRT 內部流程的組織
よくある質問
30111 和 29147 一定要一起導入嗎?
強烈建議。CRA 的漏洞義務同時涵蓋對外揭露與內部處理,兩標準的條文互相引用、流程互相銜接,分開導入會在交接面留下稽核缺口。
我們已有資安事件處理程序,夠嗎?
事件處理(27035)處理「已發生的攻擊」,漏洞處理(30111)處理「被回報的弱點」——觸發源、時限與輸出不同。既有事件流程是好基礎,但 CRA 稽核的是漏洞專屬流程與證據。
支援期內的舊產品也要管嗎?
要。CRA 義務及於產品的支援期間,製造商須明示支援期限並在期間內持續處理漏洞與提供更新——這是許多硬體廠商最大的制度缺口。
導入產出有哪些?
漏洞處理政策與流程文件、分級準則(如 CVSS 本地化準則)、處理紀錄與 SLA 報表機制、SBOM 銜接程序、與 29147 揭露端的介接文件——全部以「可被公告機構與客戶稽核」為標準。