供應商安全狀況需透明化，半導體產業應構建供應鏈資安評估方法

供應鏈安全威脅已是各界關注的議題，美國政府都將其視為國家安全策略的主軸之一，從產業面來看，到底該如何有效提升供應商與產業供應鏈的整體安全？今年國際半導體產業協會SEMI臺灣資安委員會已成立，將推動全球半導體供應鏈實踐資安，除了資安標準的推動與導入，以及協助提升群體資安意識，下一步，他們將朝向有效評估供應鏈網路安全態勢，以及構建供應鏈資安評估框架。

隨著供應鏈攻擊事件的增加，如何有效評估供應鏈網路安全態勢，已經成為許多客戶所重視的議題，而供應商的安全狀況的透明度，也成為普遍關注的焦點。

SEMI臺灣資安委員會主席暨台積電企業資訊安全處處長屠震表示，在他們的經驗中，越來越多客戶會針對供應商的安全狀況，要求透明度與可視性，並且還會定期對供應商進行資安評估。然而，這並不容易，包括每個供應商需要準備多個不同問題、格式的評估報告，難以衡量基準，如何減少重複工作，以及有效評估等，都是問題，畢竟這些評測方式都非常主觀。

因此，他們將採取下列3個方法。首先，是透過第三方服務提供資安現況評分，可運用SecurityScorecard、Bit Sight等解決方案來達到目的；其次，是建立SEMI資安現況評估範本；最後，則是要推動第三方驗證，藉此確保符合安全標準。

對於如何建立SEMI資安評估範本，屠震以台積電本身經驗為例提出說明。基本上，他們評估自家供應鏈安全的焦點，區分為8大構面，包括：憑證與風險評估、工廠管理與實體安全、資安事件偵測與回應、系統開發與應用程式安全、組織政策與人力資源安全、電腦操作與資訊管理、網路安全與變更管理，以及身分識別與存取管理等，總共有多達135個控制措施。

最後，還要構建供應鏈資安評估框架。

屠震表示，為了要讓半導體產業供應鏈，能在網路安全方面有真正適合且需要的東西，他們將提出專門的風險評鑑差異分析方法。

第一步，他們將會利用現有的NIST網路安全框架，來確定出改進的方向。而且，由於半導體產業有相當多的製造領域，不論是設備、設計、封裝、系統整合與應用程式等，因此，需要共通的評估框架。不過，這將是長期的目標，他們預計，明年9月會有初步的進展。

 上一篇：推動半導體供應鏈網路安全意識，11月起SEMI資安電子報每月發布