供應鏈安全威脅已是各界關注的議題,美國政府都將其視為國家安全策略的主軸之一,從產業面來看,到底該如何有效提升供應商與產業供應鏈的整體安全?今年國際半導體產業協會SEMI臺灣資安委員會已成立,將推動全球半導體供應鏈實踐資安,除了資安標準的推動與導入,以及協助提升群體資安意識,下一步,他們將朝向有效評估供應鏈網路安全態勢,以及構建供應鏈資安評估框架。
隨著供應鏈攻擊事件的增加,如何有效評估供應鏈網路安全態勢,已經成為許多客戶所重視的議題,而供應商的安全狀況的透明度,也成為普遍關注的焦點。
SEMI臺灣資安委員會主席暨台積電企業資訊安全處處長屠震表示,在他們的經驗中,越來越多客戶會針對供應商的安全狀況,要求透明度與可視性,並且還會定期對供應商進行資安評估。然而,這並不容易,包括每個供應商需要準備多個不同問題、格式的評估報告,難以衡量基準,如何減少重複工作,以及有效評估等,都是問題,畢竟這些評測方式都非常主觀。
因此,他們將採取下列3個方法。首先,是透過第三方服務提供資安現況評分,可運用SecurityScorecard、Bit Sight等解決方案來達到目的;其次,是建立SEMI資安現況評估範本;最後,則是要推動第三方驗證,藉此確保符合安全標準。
對於如何建立SEMI資安評估範本,屠震以台積電本身經驗為例提出說明。基本上,他們評估自家供應鏈安全的焦點,區分為8大構面,包括:憑證與風險評估、工廠管理與實體安全、資安事件偵測與回應、系統開發與應用程式安全、組織政策與人力資源安全、電腦操作與資訊管理、網路安全與變更管理,以及身分識別與存取管理等,總共有多達135個控制措施。
最後,還要構建供應鏈資安評估框架。
屠震表示,為了要讓半導體產業供應鏈,能在網路安全方面有真正適合且需要的東西,他們將提出專門的風險評鑑差異分析方法。
第一步,他們將會利用現有的NIST網路安全框架,來確定出改進的方向。而且,由於半導體產業有相當多的製造領域,不論是設備、設計、封裝、系統整合與應用程式等,因此,需要共通的評估框架。不過,這將是長期的目標,他們預計,明年9月會有初步的進展。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15