CRA 成熟度自我評估
針對五大領域中的 25 項實務進行評分,即可了解貴公司的產品安全機制在網路韌性法下的成熟程度,並取得量身打造的後續改善檢查清單。所有作業均在您的瀏覽器中執行,並儲存於本機。
根據 ENISA 的 SME Cyber Resilience Maturity Assessment Model ↗ (ENISA,July 2026),經註明出處後轉載。本網站為獨立網站,並非 ENISA 或歐盟的附屬機構。
治理與文件
1.1貴公司是否具備書面且經核准的產品安全政策?
1.2產品安全活動(例如開發、漏洞管理、更新)的角色與職責是否已明確界定?
1.3貴公司是否維護產品層級的技術文件,說明已實作的安全功能、風險評估、設計決策及更新程序?
1.4是否有流程可定期審查產品安全及相關文件品質?
1.5您是否了解負責執行 CRA 的市場監督機關、適用於貴公司產品的符合性評估程序,以及在需要時應如何與相關機關互動?
風險管理與設計即安全
2.1貴公司是否執行網路安全風險評估,並運用評估結果指導產品設計、開發、組態及元件管理決策?
2.2產品是否自始即採用「設計即安全」原則進行設計?
2.3產品交付時是否具備預設安全的組態與設定?
2.4貴公司在發布或更新產品前是否執行安全檢查與測試?自動化工具的使用程度為何?
2.5當風險改變或出現新威脅時,是否會審查並更新風險評估、組態及第三方元件?
漏洞與修補管理
3.1貴公司是否具備流程,以接收、確認、記錄並追蹤由客戶、研究人員或內部員工通報的漏洞?
3.2貴公司是否已針對受支援產品,建立明確流程以建立、測試、交付並向客戶通報安全更新?
3.3貴公司是否維護並運用 SBOM,以支援漏洞與相依性管理?
3.4漏洞與更新是否根據風險及潛在影響排定優先順序?
3.5貴公司是否驗證安全更新確實解決了已通報的漏洞,並保留相關驗證證據?
產品生命週期管理
4.1是否已建立明確做法,以管理產品於運作階段的安全?
4.2產品生命週期管理是否受到積極管理,包括明確的支援期間、更新責任、終止支援安排及與客戶的溝通?
4.3是否運用產品運作經驗、事件後檢討及客戶意見,持續改善產品?
4.4是否有經測試的結構化方式,以處理已辨識的產品安全問題?
4.5產品在運作期間是否受到監控,以辨識安全風險、漏洞及新興威脅?
認知、能力與技能
5.1是否具備足夠技能以安全方式設計、開發及維護產品,並在內部能力有限時透過外部專業補足?
5.2相關員工是否接受與其職務相關的網路安全做法之適當訓練,包括產品風險管理、漏洞管理及設計即安全?
5.3組織是否推動負責任的產品開發文化、公開通報機制及產品風險意識?
5.4貴公司是否關注相關的外部產品安全資訊(例如公告、警示)?
5.5貴公司是否評估並確認團隊具備維護產品安全所需的技能與能力?
改編自 ENISA 的 SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA,July 2026),依據 ENISA 法律聲明之規定,於註明出處後轉載。本互動版本僅供參考,並非專業或法律意見;亦不能取代正式的符合性評估。cyberresilienceact.eu 為獨立網站,並未獲得 ENISA 或歐盟的附屬或背書。
