【TWCERT/CC發布PSIRT建置參考指引】產品資安事件應變走向制度化！企業可從5大規畫與7大執行階段著手

政策背景與產業需求

隨著產品資安漏洞的揭露日益頻繁、供應鏈的資安風險持續升高，產品安全愈來愈受到國際法規與標準的重視，特別是在歐盟《網路韌性法案（CRA）》與產品責任相關法規修訂，以及美國NIST持續強化產品資安實務要求的背景之下，皆突顯企業需要一套有效的PSIRT機制，以具備符合監管要求的應變能力。

最近臺灣政府也順應這個全球潮流，在2025年12月26日，由TWCERT/CC發布《產品資安事件應變團隊PSIRT建置參考指引（草案）》，提供企業易於依循的導入方向。事實上，多數企業雖已建立產品資安事故通報與應變準備，但多數仍停留在PSIRT雛形階段，並有少數業者至今仍然缺乏認知。

當漏洞無法避免地出現時，透過PSIRT建立快速通報、協調修補、資訊公告的機制，將危機轉化為建立信任的機會。專家認為，產品資安責任鏈的三棒接力已成不可逆趨勢，企業必須積極建立應變機制以維護用戶與市場信任。

TWCERT/CC將於2025年底舉辦「臺灣資安通報應變年會」，以「打造安全產品、串聯信任防線」為主題，聚焦AI驅動下的資安趨勢與臺灣通報協調機製成果。
政府與企業需共同維護資安防線，強化跨部門、跨系統的協調與應變能力。
針對ICT廠商，資安院統計2022至2024年間，臺灣政府因ICT產品漏洞所引發的資安事件逐年上升，從2022年的33件上升到2024年的110件，顯示政府資安防護方面存在重大挑戰。

企業可從5大規畫與7大執行階段著手，系統性建置PSIRT團隊，以提升產品資安事件的應變效率與透明度。