法規 (EU) 2024/2847 的獨立指南 · 狀態:已生效
本頁為自動(AI)翻譯,未經人工審閱。
工具.成熟度自我評估

CRA 成熟度自我評估

針對五大領域中的 25 項實務進行評分,即可了解貴公司的產品安全機制在網路韌性法下的成熟程度,並取得量身打造的後續改善檢查清單。所有作業均在您的瀏覽器中執行,並儲存於本機。

根據 ENISA 的 SME Cyber Resilience Maturity Assessment Model ↗ (ENISA,July 2026),經註明出處後轉載。本網站為獨立網站,並非 ENISA 或歐盟的附屬機構。

/5(整體)
0 / 25 已回答0%
01

治理與文件

平均 / 5

1.1貴公司是否具備書面且經核准的產品安全政策?

1.2產品安全活動(例如開發、漏洞管理、更新)的角色與職責是否已明確界定?

1.3貴公司是否維護產品層級的技術文件,說明已實作的安全功能、風險評估、設計決策及更新程序?

1.4是否有流程可定期審查產品安全及相關文件品質?

1.5您是否了解負責執行 CRA 的市場監督機關、適用於貴公司產品的符合性評估程序,以及在需要時應如何與相關機關互動?

02

風險管理與設計即安全

平均 / 5

2.1貴公司是否執行網路安全風險評估,並運用評估結果指導產品設計、開發、組態及元件管理決策?

2.2產品是否自始即採用「設計即安全」原則進行設計?

2.3產品交付時是否具備預設安全的組態與設定?

2.4貴公司在發布或更新產品前是否執行安全檢查與測試?自動化工具的使用程度為何?

2.5當風險改變或出現新威脅時,是否會審查並更新風險評估、組態及第三方元件?

03

漏洞與修補管理

平均 / 5

3.1貴公司是否具備流程,以接收、確認、記錄並追蹤由客戶、研究人員或內部員工通報的漏洞?

3.2貴公司是否已針對受支援產品,建立明確流程以建立、測試、交付並向客戶通報安全更新?

3.3貴公司是否維護並運用 SBOM,以支援漏洞與相依性管理?

3.4漏洞與更新是否根據風險及潛在影響排定優先順序?

3.5貴公司是否驗證安全更新確實解決了已通報的漏洞,並保留相關驗證證據?

04

產品生命週期管理

平均 / 5

4.1是否已建立明確做法,以管理產品於運作階段的安全?

4.2產品生命週期管理是否受到積極管理,包括明確的支援期間、更新責任、終止支援安排及與客戶的溝通?

4.3是否運用產品運作經驗、事件後檢討及客戶意見,持續改善產品?

4.4是否有經測試的結構化方式,以處理已辨識的產品安全問題?

4.5產品在運作期間是否受到監控,以辨識安全風險、漏洞及新興威脅?

05

認知、能力與技能

平均 / 5

5.1是否具備足夠技能以安全方式設計、開發及維護產品,並在內部能力有限時透過外部專業補足?

5.2相關員工是否接受與其職務相關的網路安全做法之適當訓練,包括產品風險管理、漏洞管理及設計即安全?

5.3組織是否推動負責任的產品開發文化、公開通報機制及產品風險意識?

5.4貴公司是否關注相關的外部產品安全資訊(例如公告、警示)?

5.5貴公司是否評估並確認團隊具備維護產品安全所需的技能與能力?

回答上述問題,即可查看您的成熟度等級及量身打造的改善檢查清單。

改編自 ENISA 的 SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA,July 2026),依據 ENISA 法律聲明之規定,於註明出處後轉載。本互動版本僅供參考,並非專業或法律意見;亦不能取代正式的符合性評估。cyberresilienceact.eu 為獨立網站,並未獲得 ENISA 或歐盟的附屬或背書。