台積電：資安也是國安議題 供應鏈應具韌 - 工程師

台積電：資安也是國安議題 供應鏈應具韌性

https://bit.ly/2ZawNuI

SEMICON線上資安趨勢高峰論壇於今日（10月20日）召開，台積電企業資訊安全處長屠震
演講，提到資安也是國安議題，如同拜登政府的5G安全政策所提到潔淨網路的重要。

隨著，5G及物聯網時代來臨，驅動半導體智慧聯網製造，資訊安全不僅是企業的資安也提
升到國家安全，尤其近年駭客頻繁攻擊高科技產業製造工廠，甚至危及上下游供應鏈。

SEMI組織於今年6月成立台灣首屆資安委員會，目標是建立有韌性的供應鏈。屠震是SEMI
台灣資安委員會首屆主席，該委員會應對資安的機會與挑戰，四個主要目標：提升供應商
與產業供應鏈的整體安全、警示威脅與風險、構建供應鏈資安評估、確認產業資安藍圖。

屠震透露台積電的資安標準規範，包含員工居家上班相關遠距工作安全準則、台積電在供
應商資安評估也列出135項，在今年7月由資材管理向1500多家所有供應商，發布重要資安
危害示警通知PrintNightmare漏洞的潛在駭客攻擊，並對應資安危害通知要求立即採取行
動防堵改善等，並將相關管理流程經驗向SEMI成員分享。

屠震認為，首先在更新架構/方案確保安全，基於美國國家標準技術研究院（NIST）資安
架構，從晶圓廠設備聯網帶來的潛在風險、軟體檢測等都已納入SEMI台灣資安委員會的資
安標準，建立「供應鏈網路安全評估問卷」給適用規範供應商提升資安的長期風險管控，
並協助企業檢視資安成熟度。

其次，資安委員會在產業與推廣方面，在資安標準的推廣、資安框架與解決方案、定期提
供產業相關資安訊息。例如藉由陸續召開多項成員活動及舉辦全球資安峰會，並將定期發
布電子季報Newsletter，另12月的SEMICON Taiwan 2021論壇進一步推廣資安訊息。

如何協助供應鏈應對資安的曝險，屠震指出，相關方法包含辨識第三方服務的風險等級，
如資安分級卡/BitSight等。其實，台積電本身一年須面對上兆次的不同來源網路連接訪
問，如何辨識來源是子公司、轉投資公司或供應商等，並評量風險與改進也是台積電及供
應商都要面對的共同議題。

--