B BROCENT

修補程式管理合規APAC:等保、PDPA與稽核人員實際檢查的項目

修補與漏洞修復時程如何影響中國等保分級與新加坡、馬來西亞PDPA合規要求,稽核人員實際會檢查什麼,以及受管理修補程式計畫如何通過稽核。

伺服器機房內IT工程師檢視修補程式部署狀態的螢幕畫面
APAC地區的修補程式管理合規,關鍵在於文件紀錄,而不只是部署完成。 中國等保2.0(MLPS 2.0)分級、新加坡PDPC指引,以及馬來西亞PDPA,都要求企業展示可重複執行、依風險等級分類的修補節奏,並附有可稽核的紀錄軌跡——而不只是證明更新最終有安裝上去。稽核人員會檢查時程、覆蓋率、例外紀錄,以及終止支援(EOL)系統的曝險狀況。臨時、被動式的修補作業幾乎總是在證據面上失分,即使修補程式本身確實有安裝。

為什麼修補程式管理在每一次APAC資安稽核中都會出現?

如果你曾經歷過中國等保測評、新加坡PDPC因資料外洩事件展開的調查,或是馬來西亞PDPA合規審查,你可能已經注意到一個共通模式:稽核人員很少直接問「這台伺服器有修補嗎?」他們問的問題更精確——「你怎麼知道的?在你所擁有的所有系統中,修補速度有多快?」

這個區別才是重點所在。修補程式管理正好位於該地區每一位監管機構都關心的兩件事的交會點:降低技術層面的攻擊面,以及能夠證明這個攻擊面是依可預期的時程被降低的。低價值測試伺服器上少了一個修補程式,很少會讓稽核不過關。真正讓稽核不過關的,是缺少修補程式管理政策、缺少時程證據,或是存在未被追蹤的終止支援系統群——因為這代表這項控管既無法擴展,也無法被驗證。

對於在中國大陸、香港、新加坡與馬來西亞同時營運的IT主管來說,這會形成實際的營運難題。每個司法管轄區的用詞不盡相同,但背後的要求——節奏、覆蓋率、證據——一致到只要從第一天就以稽核證據為出發點來建置一套完善的託管資安服務計畫,就能同時滿足三邊要求。

稽核人員在審查修補程式管理計畫時,實際上會檢查什麼?

撇開各司法管轄區各自的用語,多數APAC稽核人員——無論依據的是等保技術要求、ISO 27001檢查清單,或是PDPA驅動的資料保護影響評估——最終都會聚焦在同樣五件事上。

1. 書面化的修補節奏SLA

稽核人員要看到一份書面政策,說明修補程式多久評估一次、多久部署一次——而不是「有空再處理」。一份站得住腳的政策,通常會針對例行的作業系統與應用程式更新定義出每月修補週期,並另外設立一條更快速的緊急發布通道。如果你唯一的答案是「工程師有空就會修補」,這在稽核上等同於完全沒有政策,無論那些工程師實際上有多勤奮。

2. 依CVE風險等級分類的修復時程

成熟的計畫不會用同一套標準對待所有漏洞。稽核人員期待看到與CVSS嚴重等級或等效內部風險評分綁定的時程——常見做法例如:嚴重(Critical)漏洞於24至72小時內修復,高風險(High)於7天內,中風險(Medium)於30天內,低風險(Low)則併入下一次排程週期處理。稽核人員在意的不是你剛好選了這幾個數字,而是這些數字確實存在、有書面記錄,且被一致地執行。這是等保技術評測與PDPA事件後資安審查中,最常被要求提出的文件之一。

3. 端點覆蓋率

「我們有修補伺服器」已經不再是稽核人員能接受的答案。他們要的是一個數字:在定義的SLA時限內,本月、上月及上上月,範圍內的端點與伺服器有多少百分比收到了最新的資安修補程式。覆蓋率低於大約95%通常會引發追問——不是因為95%是某種法定門檻,而是因為低於這個水準的落差,通常代表存在未被追蹤的影子IT、離線裝置,或不完整的資產清冊,而這些本身就是稽核缺失。

4. 證據與稽核軌跡

這是多數自建修補程式最常出問題的環節,即使修補作業本身沒有問題。稽核人員要看到報告:修補部署紀錄、每個週期的異動紀錄,以及最關鍵的——針對任何未能按時修補的項目,建立例外登記冊,並附上業務理由與補償性控管措施。一份完全沒有例外紀錄的計畫,反而比一份記錄了少數合理延遲的計畫看起來更不可信,因為後者證明流程是真實運作、被積極管理的,而不是只存在於紙面上的政策。

5. 終止支援(EOL)與不再受支援軟體的曝險

不再收到廠商資安更新的軟體,無論其他部分修補得多完善,都會被視為一個持續存在、尚未修復的漏洞。稽核人員——尤其是在等保三級技術評測中——會特別檢視終止支援(EOL)作業系統與應用程式的清冊,以及每一項的修復或風險接受計畫是否有文件記錄。一台沒人管理、悄悄運行著舊版財務應用程式的Windows Server 2012主機,正是那種會讓原本乾淨的評測結果變成有條件通過的典型缺失。

修補程式管理在中國等保2.0分級中扮演什麼角色?

中國的網路安全等級保護制度(等保2.0,MLPS 2.0)依安全事件可能造成的影響,將系統劃分為五個保護等級,多數商業與中型企業系統落在二級或三級。漏洞與修補程式管理屬於「安全計算環境」技術要求下的一環,等級愈高,要求也愈嚴格。

二級,評測人員通常期待看到已知漏洞透過定期掃描被識別,並在合理時間內修復的證據,基本紀錄需可供查閱。在三級——多數外商投資企業、金融服務公司,以及任何處理中國資料分類規範下「重要資料」的組織都會被評測到這個等級——要求變得更明確:需有書面化的漏洞掃描週期、與嚴重等級綁定的修復SLA,以及可證明修補程式在部署前經過測試、以避免影響正式環境穩定性的證據。測評本身通常包括評測人員抽樣檢查系統,比對修補等級與已知CVE,並針對任何未修補項目要求提供修復時程與相關工單。

一個常讓國際團隊措手不及的細節:等保評測人員要看到的是立足於中國本地、實際運作的流程,而不是把全球政策文件翻譯成中文了事。如果修補程式核准或緊急變更需要送交不同時區的總部團隊簽核,且該核准流程沒有明確SLA,評測人員就會將整套流程判定為不可靠——因為在實務上,這意味著文件上記載的修復時程根本無法真正達成。

新加坡與馬來西亞的PDPA框架對修補程式有什麼要求?

新加坡的《個人資料保護法》(PDPA)與馬來西亞2010年《個人資料保護法》,都沒有像等保技術附件那樣明確點名「修補程式管理」。相反地,兩套框架都課予企業「合理的資安安排」義務——組織必須保護個人資料不受未經授權的存取、竄改或遺失,而用來滿足這項義務的具體控管措施,則交由組織自行定義與說明。

實務上,這反而讓修補程式管理更難做到「稽核就緒」,而不是更容易,因為沒有一份編號清單可以照著做。新加坡個人資料保護委員會(PDPC)在其公開的執法決定與資料外洩調查中,多次將未修補、已公開的已知漏洞列為根本原因——透過一個有修補程式可用卻未套用的CVE而遭入侵的系統,會被視為「合理」資安安排的失敗,而組織通常無法以非正式、未文件化的修補作為抗辯。馬來西亞個人資料保護局(JPDP)在其「安全原則」下適用類似標準,而馬來西亞較新的修正案(包括自2025年起強制生效的資料外洩通報義務)進一步提高了事件發生後無法提出可靠修補歷程紀錄的實際風險。

對於在這兩個國家依PDPA營運的組織而言,結論是:即使沒有任何監管機構提供範本,你所需要準備的證據,本質上與等保測評所要求的相同——書面化的節奏、依嚴重等級分類的時程,以及紀錄。如果資料外洩調查追溯到一個已知、可修補的漏洞,PDPC或JPDP實際上問的第一個問題就是「這算不算合理的資安安排」,而「我們有空才修補」在事件發生後,不會被監管機構或法院視為合理。

臨時式修補 vs. 受管理、稽核就緒的修補程式計畫

究竟是什麼區分了一個能通過稽核的計畫,和一個不能通過稽核的計畫?

節奏: 臨時式修補在IT人員有空時才進行,沒有固定週期。受管理計畫則依固定的每月週期運作,並另設一條處理頻外緊急發布的通道。 優先順序: 臨時式修補對所有更新一視同仁,甚至可能優先處理最容易部署的項目。受管理計畫則套用依CVE嚴重等級分類的時程,讓嚴重與高風險項目遠早於例行更新被修補。 可視性: 臨時式修補無法提供可靠的現況全貌。受管理計畫則每個週期都追蹤並回報端點覆蓋率,並保留趨勢資料。 證據: 臨時式修補不會留下可站得住腳的軌跡——若被問到「這是什麼時候修補的、為什麼」,誠實的答案往往是「不確定」。受管理計畫則針對任何延遲項目維護部署紀錄、異動紀錄,以及有文件記載的例外登記冊EOL處理: 臨時式修補通常要等到終止支援軟體故障或遭入侵後才被發現。受管理計畫則維護一份持續更新的EOL/EOS清冊,每一項都有記錄在案的修復或風險接受決定。 責任歸屬: 臨時式修補通常只是某位工程師的非正式責任,未經文件化,一旦此人離職就隨之消失。受管理計畫則指派明確的責任歸屬與SLA,不依賴任何單一個人。

每一欄呈現的模式都一致:真正讓稽核不過關的,很少是安裝修補程式這個技術動作本身。而是圍繞著何時、為何,以及多快所欠缺的結構——這正是稽核人員最先會問的問題。

為什麼即使修補程式確實有安裝,臨時式修補仍然無法通過稽核?

這是最讓許多IT團隊感到挫折的地方:他們的系統技術上算是相當新,卻仍然在等保測評或PDPA事件後審查中被列出缺失。原因在於,合規框架評估的不是修補狀態的某個時間點快照——而是評估產出這份快照的流程是否可重複、可驗證。

三種失敗模式一再出現:

第一,沒有嚴重等級區分。一個對所有更新都採取同一套季度排程的團隊,對低風險更新或許還可以接受,但依定義,這意味著嚴重漏洞最長會曝險長達三個月——遠遠超出任何站得住腳的SLA,即使「我們每季修補」聽起來像是有組織的做法。

第二,沒有覆蓋率可視性。團隊常常只修補記得檢查的系統,漏掉的往往是那些不記得的——已除役但仍在運行的測試伺服器、透過緩慢VPN連線的分支機構裝置、沒人被指派負責的類IoT裝置。若沒有依完整資產清冊追蹤的覆蓋率數字,就無法知道這些缺口的存在,直到稽核人員——或攻擊者——發現為止。

第三,沒有例外軌跡。有時修補程式確實無法按時部署——可能會導致某個關鍵應用程式故障,或廠商尚未釋出修復程式。這是正常、可管理的情況。無法管理的是,這項延遲只存在於某人的記憶中。稽核人員特別不信任那種紀錄完美到可疑、卻沒有任何文件化例外的修補計畫,因為真實環境中一定會有一些例外——完全沒有例外紀錄,通常代表紀錄根本沒有被保存,而不是代表這個計畫毫無瑕疵。

一套受管理的修補程式計畫,需要展示什麼才能通過稽核?

綜合以上,一套能同時通過等保測評與PDPA「合理資安安排」審查的計畫,需要能夠隨時提出大致以下內容:

一份書面修補程式管理政策,定義範圍(哪些系統列入週期)、節奏(每月一次,並有明確的緊急路徑)與角色分工。一份將CVE嚴重等級對應到修復時程的政策,一致地被執行,並有工單或異動管理時間戳記作為佐證。一份現行的端點與伺服器清冊,每個週期回報覆蓋率,理想上呈上升趨勢或穩定維持在大約95%以上。一份例外登記冊,記錄任何未按時修補的項目、原因、補償性控管措施,以及目標修復日期。一份至少每季審查一次的EOL/EOS軟體清冊,每一項都已排定升級、以補償性控管措施隔離,或由具備風險承擔權限的人員正式接受風險。以及最後,保留足夠長時間的歷史紀錄,以涵蓋評測人員通常會要求的稽核回溯期——一般為12個月。

以上這些都不是什麼稀奇的做法。本質上,它是一種一致落實的紀律,並在事情發生的當下就記錄下來,而不是等到稽核人員詢問時才事後重建——而這正是非正式、自建修補作業最容易斷鏈的地方,不是因為工程師不夠細心,而是因為修補程式管理必須與每一件其他的營運急件搶時間,文件記錄往往是第一個被犧牲的環節。

Brocent的修補程式管理基礎服務如何支援稽核就緒

Brocent的修補程式管理基礎服務正是圍繞這套以證據為優先的架構打造。它以受管理的每月修補節奏運行於你的端點與伺服器範圍,並依嚴重等級優先處理,讓嚴重與高風險CVE優先於例行更新被處理,而不必等到下一個排定的視窗。每個週期都會產出等保評測人員或PDPA事件後審查會要求的覆蓋率報告與異動紀錄,並針對任何未能按時修補的項目維護例外紀錄,當下就記錄業務理由與補償性控管措施——而不是六個月後才回頭重建。

對於尚未準備好承諾受管理節奏、但需要了解目前現況的組織——無論是為了即將到來的等保測評、客戶資安問卷,或只是在編列更完整計畫預算前先建立基準——Brocent也提供一次性的修補健康檢查。它會稽核目前的修補等級、端點覆蓋率,以及整個環境中的EOL軟體曝險,並提供優先排序的修復計畫,無需長期承諾。它自然而然地與Brocent更廣泛的漏洞掃描服務,以及為從零開始建立基礎資安計畫的團隊所設計的資安入門套件相輔相成。

無論驅動因素是即將到來的等保評測、與PDPA相關的資安審查、客戶盡職調查問卷,或只是體認到「我們之後會處理」已不再是站得住腳的答案,解方都是一樣的:從臨時式作業轉向書面化、有證據、依嚴重等級驅動的節奏。聯絡Brocent,針對你在中國、香港、新加坡與馬來西亞的實際據點範圍規劃修補程式計畫,或查閱目前託管資安服務的價格。

常見問題

等保2.0是否明確規定了修補程式部署的時限?

等保2.0公布的技術要求描述的是及時識別與修復漏洞的必要性,而不是適用於所有組織的單一通用天數。實務上,評測人員期待看到書面化、依嚴重等級分類的SLA——常見做法是嚴重漏洞在數天內處理,而非數月——並會評估你的組織是否持續達成自己所設定的時程,同時也會考量該時程相對於系統分級是否合理。

新加坡PDPA是否明確點名了修補程式管理?

沒有。PDPA的「安全原則」要求「合理的資安安排」,但沒有列出具體技術控管措施。然而,PDPC公布的執法決定與指引資料多次將未修補已知、已公開的漏洞視為資安安排不足的證據,尤其是在資料外洩事件被追溯到該漏洞之後。

稽核人員通常期待多少端點覆蓋率?

這些框架中沒有任何一項訂有單一法定門檻,但實務上,覆蓋率持續低於大約90%至95%通常會引發追問,因為這通常代表資產清冊有缺口,或存在離線/遠端裝置,而不是一個刻意的風險決策。目標是持續維持高覆蓋率,並針對剩餘部分建立文件化的例外流程,而不是追求字面上的100%覆蓋率。

修補程式管理SLA與漏洞掃描SLA有什麼不同?

漏洞掃描識別出曝險所在;修補程式管理則是關閉這個曝險的修復步驟。稽核人員通常希望看到兩者協同運作——一套能揭露新CVE的掃描節奏,以及一套定義每個嚴重等級一旦被識別後需多快修復的修補程式管理SLA。Brocent的漏洞掃描服務與修補程式管理基礎服務正是為了這個原因而設計為搭配運行。

終止支援軟體是否會自動導致等保或PDPA稽核不過關?

不會自動失敗,但未被追蹤的EOL系統通常會。評測人員一般能接受已被清冊列管、以補償性控管措施(網路隔離、限制存取)隔離,並有文件化升級計畫或正式、經授權風險接受的EOL軟體。真正讓稽核不過關的,是沒人知道還在運行的EOL軟體。

中小型企業能否務實地自行維持這種程度的文件紀錄?

這並非不可能,但根據我們的經驗,一旦IT人員被抽調去處理其他優先事項,這往往是第一個被犧牲的環節,因為修補文件記錄很少讓人感到迫切,直到稽核或事件發生後才回頭變得迫切。這正是許多組織將這項職能轉交受管理服務的核心原因——並非修補作業本身技術上有多困難,而是持續的節奏與證據軌跡,需要長期投入的流程紀律。

修補程式管理基礎服務與一次性修補健康檢查有什麼差異?

修補程式管理基礎服務是一項持續性的受管理服務,執行本指南中所描述的每月修補節奏、嚴重等級優先排序、覆蓋率報告與例外追蹤。修補健康檢查則是一次性評估,適合想要進行現況稽核——修補等級、覆蓋率缺口、EOL曝險——並取得優先排序修復計畫的組織,通常作為承諾長期計畫前,或在特定稽核期限前的起點。

一個嚴重CVE實際上要多快修補,才能符合多數APAC稽核的期待?

一個常見且站得住腳的基準是:正被主動利用或高知名度的嚴重漏洞於24至72小時內處理,其他嚴重與高風險項目於7天內處理,中風險於30天內,低風險則併入下一個排定週期。對稽核人員而言,最重要的不是完全比對這個基準,而是有一份書面、持續一致執行的時程,並有證據證明確實有達成——一個只存在於原則上、每個週期都被漏掉的SLA,比一個稍慢但可靠履行的SLA,是更糟的稽核缺失。

分享:

立即採取行動

將這些洞察轉化為您企業的IT路線圖。

預約15分鐘免費諮詢,與我們的亞太IT專家交流。我們將評估您的現有環境,並在24小時內提供定製化IT發展路線圖。

📋

免費清單

進入大中華區IT部署前必須檢查的10項關鍵事項

PIPL合規、網絡分段、雙語服務台配置等——企業進入中國大陸第一天所需的完整IT準備清單。

獲取清單 →