供应商安全状况需透明化，半导体产业应构建供应链资安评估方法

供应链安全威胁已是各界关注的议题，美国-都将其视为国家安全策略的主轴之一，从产业面来看，到底该如何有效提升供应商与产业供应链的整体安全？今年国际半导体产业协会SEMI台湾资安委员会已成立，将推动全球半导体供应链实践资安，除了资安标准的推动与导入，以及协助提升群体资安意识，下一步，他们将朝向有效评估供应链网络安全态势，以及构建供应链资安评估框架。

随着供应链攻击事件的增加，如何有效评估供应链网络安全态势，已经成为许多客户所重视的议题，而供应商的安全状况的透明度，也成为普遍关注的焦点。

SEMI台湾资安委员会主席暨台积电企业资讯安全处处长屠震表示，在他们的经验中，越来越多客户会针对供应商的安全状况，要求透明度与可视性，并且还会定期对供应商进行资安评估。然而，这并不容易，包括每个供应商需要准备多个不同问题、格式的评估报告，难以衡量基准，如何减少重复工作，以及有效评估等，都是问题，毕竟这些评测方式都非常主观。

因此，他们将采取下列3个方法。首先，是透过第三方服务提供资安现况评分，可运用SecurityScorecard、Bit Sight等解决方案来达到目的；其次，是建立SEMI资安现况评估范本；最后，则是要推动第三方验证，借此确保符合安全标准。

对于如何建立SEMI资安评估范本，屠震以台积电本身经验为例提出说明。基本上，他们评估自家供应链安全的焦点，区分为8大构面，包括：凭证与风险评估、工厂管理与实体安全、资安事件侦测与回应、系统开发与应用程序安全、组织政策与人力资源安全、电脑操作与资讯管理、网络安全与变更管理，以及身份识别与存取管理等，总共有多达135个控制措施。

最后，还要构建供应链资安评估框架。

屠震表示，为了要让半导体产业供应链，能在网络安全方面有真正适合且需要的东西，他们将提出专门的风险评鉴差异分析方法。

第一步，他们将会利用现有的NIST网络安全框架，来确定出改进的方向。而且，由于半导体产业有相当多的制造领域，不论是设备、设计、封装、系统整合与应用程序等，因此，需要共通的评估框架。不过，这将是长期的目标，他们预计，明年9月会有初步的进展。

 上一篇：推动半导体供应链网络安全意识，11月起SEMI资安电子报每月发布