為幫助SEMI資安評估範本的建立,SEMI臺灣資安委員會主席暨台積電企業資訊安全處處長屠震分享他們的經驗與作法,透過8大構面與135項控制措施來評估自家供應鏈安全。

供應鏈安全威脅已是各界關注的議題,美國政府都將其視為國家安全策略的主軸之一,從產業面來看,到底該如何有效提升供應商與產業供應鏈的整體安全?今年國際半導體產業協會SEMI臺灣資安委員會已成立,將推動全球半導體供應鏈實踐資安,除了資安標準的推動與導入,以及協助提升群體資安意識,下一步,他們將朝向有效評估供應鏈網路安全態勢,以及構建供應鏈資安評估框架。

隨著供應鏈攻擊事件的增加,如何有效評估供應鏈網路安全態勢,已經成為許多客戶所重視的議題,而供應商的安全狀況的透明度,也成為普遍關注的焦點。

SEMI臺灣資安委員會主席暨台積電企業資訊安全處處長屠震表示,在他們的經驗中,越來越多客戶會針對供應商的安全狀況,要求透明度與可視性,並且還會定期對供應商進行資安評估。然而,這並不容易,包括每個供應商需要準備多個不同問題、格式的評估報告,難以衡量基準,如何減少重複工作,以及有效評估等,都是問題,畢竟這些評測方式都非常主觀。

因此,他們將採取下列3個方法。首先,是透過第三方服務提供資安現況評分,可運用SecurityScorecard、Bit Sight等解決方案來達到目的;其次,是建立SEMI資安現況評估範本;最後,則是要推動第三方驗證,藉此確保符合安全標準。

對於如何建立SEMI資安評估範本,屠震以台積電本身經驗為例提出說明。基本上,他們評估自家供應鏈安全的焦點,區分為8大構面,包括:憑證與風險評估、工廠管理與實體安全、資安事件偵測與回應、系統開發與應用程式安全、組織政策與人力資源安全、電腦操作與資訊管理、網路安全與變更管理,以及身分識別與存取管理等,總共有多達135個控制措施。

最後,還要構建供應鏈資安評估框架。

屠震表示,為了要讓半導體產業供應鏈,能在網路安全方面有真正適合且需要的東西,他們將提出專門的風險評鑑差異分析方法。

第一步,他們將會利用現有的NIST網路安全框架,來確定出改進的方向。而且,由於半導體產業有相當多的製造領域,不論是設備、設計、封裝、系統整合與應用程式等,因此,需要共通的評估框架。不過,這將是長期的目標,他們預計,明年9月會有初步的進展。

 上一篇:推動半導體供應鏈網路安全意識,11月起SEMI資安電子報每月發布


熱門新聞

Advertisement