在今年SEMICON Taiwan國際半導體展上，製造業資安強化也成焦點，在9月24日智慧製造展區的一場發表會上，經濟部工業局科長林青嶔宣布，旗下工研院打造的資安整合服務平臺SecPaaS，是以媒合產業供給與企業需求為主，該平臺今年新推出了「資安成熟度評級服務」，希望借助國際上資安標準及框架，讓國內製造業能有更簡單的方法，先了解自身資安狀況與等級的現況，以找出需強化與改善的層面，讓企業在資安規畫上，可以更有方向。

這幾年來，我們陸續已經介紹多種資安框架，包括像是NIST CSF等，都特別強調成熟度的概念，可以有助於企業衡量現況與目標，瞭解企業距離國際最佳實務的資安防護的差距，而這次在SecPaaS平臺新推的資安成熟度評級服務，也是基於這樣的概念打造，而且，鎖定的對象是國內製造業。

依據國際標準及框架精簡，內容以中文為主且易於入門

關於這個成熟度評級服務的具體內容，工業技術研究院資深研究員鍾銘輝在這次發表會中，說明了更多細節。他表示，工研院檢視了許多標準，包括ISO 27001:2013，以及OT相關的NIST SP800-82、IEC 62443，還有近年臺灣半導體產業正提出的資安標準SEMI 6506，將這些內容進一步濃縮匯整，並轉化為具體的問卷題目，也可視為一份合規清單，供臺灣製造業作為易於入門、快速自我資安診斷的依據。

這個資安自評工具有何特色？鍾銘輝指出，它主要適用於製造業，具有中文化的內容，因此，可用國人都能看得懂的語言，降低進入門檻，不像參考國際資安標準及框架時，是全英文的內容。而且，在這套自評工具的評級架構中，歸納出4個能力指標，包括：管理、防禦、偵測與回應，目前他們已設計有190個題目，包含131個功能項與59個流程項。

同時，這個工具也可視為一個自我診斷的平臺。鍾銘輝表示，在自評結果中，將會依據達成率分為A、B、C、D、E這5個等級，並給出整體評分。當企業想要提升資安時，就可以在平臺上看到改善建議，以及該項內容的參考資源，同時，也會對應到臺北市電腦公會（TCA）制定的「工控物聯網共通性資安指南」。

特別的是，系統還會自動推薦與排序優先，方便企業了解優先需要補強之處，有助於擬定資安升級方向。而且，平臺也將提供每季趨勢變化，以及相同產業平均分數的比較，讓企業不僅能與自己比較，也能瞭解與其他業者的差距。

鍾銘輝表示，這個平臺在9月15日就已經正式上線，到24日國內已有15到17家業者開始利用這項服務自評。

提供有意採用者可自行填寫，如同一份資安檢查表

為了瞭解這個資安成熟度評級服務的實際使用方式，我們從SecPaaS平臺註冊，即可免費登入，接著就能夠找到「資安評級服務」的功能選項，再前往問卷連結作答。進入這個問卷網頁後，一開始需要使用者到電子信箱接受認證信，然後在網頁輸入驗證碼，才能使用。

這裡的問卷名稱為「智慧製造產線資安評級」，問卷內容包含了前述4項管理能力類別，各類別下並有對應的子題組。例如，在管理能力方面，包含資安管理、資安組織和意識、產線系統維護、實體安全與風險管理；在防禦能力方面，包含系統安全、身分與存取控制、系統與通訊保護與系統與資訊完整性；在偵測能力方面，包含系統日誌、偵測安全事件與威脅分析與警報；而在回應能力方面，包含系統減災與復原，以及安全事件回應計畫。

具體而言，每個子題組內會有多道題目，例如管理能力的資產管理一項，當中有7道題目要作答，例如：公司有針對工控系統導入完整開發之生命週期文件與檔案管理流程，而回答的選項則有「是」、「否」與「不確定」。

在SecPaaS平臺上的資安成熟度評級工具，是專為製造業設計，使用者在註冊後即可免費登入使用，該工具以問卷形式呈現，也可視為一份資安項目檢查清單，且題組內已融合成熟度的概念。

成熟度概念已融合於問卷，系統會自動提供優先改善建議

而在全部題目作答完並送出後，我們可以看到平臺結合的評級機制，將對企業的整體表現給出A到E的等級以及評分，對於管理、防禦、偵測與回應4大能力的展現，同樣也會給出評級結果。透過這樣的量化指標，能讓企業對於自身表現更有概念。

特別的是，我們點選改善建議選項後，將可以看到系統會條列出需要改善的項目，當中包含可參考的標準、風險係數，以及簡單的說明。

然而，令我們感到疑惑的是，平臺上沒有顯示成熟度相關的指標，那麼這套工具在成熟度展現的方式為何？

會後我們再次詢問鍾銘輝，他表示，其實成熟度的概念已經融合與問卷之中，其實，他們已經預先將資安成熟度定義為5種等級。他舉例，像是防禦能力部分，他以身分識別為例，如果工控系統已可有提供辨識和驗證所有人員使用者，這是符合第二層級，如果做到使用者皆採多因素認證，則是符合第五層級。

不過，鍾銘輝說，他們並沒有在題目上列出這是符合何種成熟度層級，考量是使用者在填寫時，很可能因為想要達到哪一成熟度目標，而使得回答失真。此外，關於題目的計分與權重，他們並未透露，不過，平臺上的改善建議將會依據風險係數自動給出優先順序，因此，企業可以優先改善的目標，就是列在改善建議越前方的項目。

在資安成熟度評級服務的結果中，結合了評等的機制，讓企業對於管理、防禦、偵測與回應能力，以及整體資安成熟度，能有更直覺地掌握。

在自評結果完成後，們可以看到平臺還會提供改善建議並給出優先順序，也能讓企業持續評估以協助達到精進的目標。

關於這個成熟度評級服務的具體架構，鍾銘輝指出成熟度的概念已融合與問卷之中，他們都已有相關定義。

未來將擴增專家顧問服務，可為製造業帶來更多實質協助

綜合來看，這樣的資安成熟度評級服務，對於製造業而言，是入門資安的參考工具之一。因為內容已經精簡，同時也引入成熟度自評的方式，讓企業可從管理、防禦、偵測與回應層面，評估現況並找出未來強化目標。不過，要如何讓工具使用的更有成效？

在這套工具的推動與使用上，鍾銘輝表示，企業可以利用這套評估工具先行自我診斷，對於更細節的部分，使用者可以檢視完整標準，同時他也建議，如果要更好地使用這樣的工具，可由專業顧問帶領企業將評估做完，或是將報告結果與資安顧問討論升級選項，才會更貼近公司現況，或是會有更好的效果。

鍾銘輝說，這是因為，現在一些企業可能礙於本身沒有資安方面的人力資源，而在問卷初期開放階段，他就遇到這樣的案例。他說，有不少製造業的IT人員，在自行填寫時容易遇到困難，對於題目或標準的理解不夠清楚，若透過專家服務解釋，會有更多幫助，可讓企業仔細思考，公司自身是否真的有做到該項控制措施。

因此，鍾銘輝表示，未來他們希望藉由SecPaaS扮演平臺角色，推動CISO（資安長）工作坊的機制，透過專家帶領大家逐一檢視題目，協助使用者瞭解回答的關鍵，以及判斷公司是否能夠做到題目要求，已協助產業更準確衡量自身現況。不過這樣的專家顧問服務，還在規畫當中，因此他們也還沒有提供費用相關的資訊。而對於SecPaaS平臺上的企業，工研院將配合提供免費諮詢。

此外，他們也將持續調整問卷內容，依據現況調整每項功能項所符合的成熟度等級。

讓產業持續推動資安，評估具體精進方向是第一步

特別的是，在這場發表會的現場，出席的還有戴夫寇爾執行長翁浩正，以及思科臺灣首席資安顧問游証硯，因為他們也幫助了這次問卷內容的檢核。

對於做好資安這件事，他們提到了一些建議，例如，資安要有短期、中期與長期的規畫，透過成熟度的概念，可以知道企業下一步要投入多少資源與預算。

另外，對於工具的使用，翁浩正說明了更多他的看法。他說，現在已有非常多種的工具與標準，其實任何一種都能對企業帶來幫助，但重點是要讓企業在提升資安上，能有方向去遵循。對於是否只有這樣的工具可以用，大家可以持續討論，但他認為，目前這個成熟度評級工具會是一個好上手，又有人可以協助的工具。

這是因為，現在很多國內企業或製造業遇到的問題，可能是沒有資安策略，因此不知該做什麼。在這種情況下，就很容易被購買資安產品的模式牽著走，買完一個再買一個，因此他建議，如果能用更全觀的視野，利用資安標準與成熟度評估的方式，來找出提升資安的方向，對企業將是相當大的幫助。

今年舉行的SEMICON Taiwan國際半導體展，適逢SEMI 50周年，特別的是，隨著網路威脅的態勢，這項半導體產業盛會在這幾年也逐漸將資安化為展覽重點主題之一，在9月24日展覽現場的智慧製造專區中，經濟部工業局舉辦了資安成熟度評級服務的發表會。（左起為工研院資深研究員鍾銘輝、臺灣思科首席資安顧問游証硯、工業局科長林青嶔、戴夫寇爾執行長翁浩正、工研院副組長陳豫德）

製造業推動資安的困難與挑戰

對於資安成熟度評級服務的設計，鍾銘輝表示，他們是在今年4月確定計畫開始執行，一直到9月正式完成並對外發布。特別的是，在這次發表會中，他提到工研院的另一項計畫，是他們每年會針對國內產業抽查，不過，今年他們特別針對200人以上製造業，包括高科技、機械、汽車零組件、化工業，以及紡織與塑膠業，以瞭解他們在推動資安上的困難與挑戰，執行時間是從6月底到8月底。

在這次調查結果中，鍾銘輝表示，大多數企業面對三大困難。（一）第一大困難在於人力不足，不少情況是MIS人員兼著做資安，因此，如何快速知道企業自己的缺口在哪裡？就是挑戰；（二）企業希望看得到投入資安投資的報酬率，瞭解過去作為與現在有何不同；（三）企業內部除了採購資安解決方案，難以規畫完整的資安藍圖，因此在推動資安上顯得底氣不足。

關於這樣的調查，他們主要目的是印證國內各式製造業的現況，是否就是需要更易入門的工具與專家的協助，來幫助這些製造業提升資安。