台积电：资安也是国安议题 供应链应具韧性
https://bit.ly/2ZawNuI
SEMICON线上资安趋势高峰论坛于今日（10月20日）召开，台积电企业资讯安全处长屠震
演讲，提到资安也是国安议题，如同拜登政府的5G安全政策所提到洁净网络的重要。
随着，5G及物联网时代来临，驱动半导体智慧联网制造，资讯安全不仅是企业的资安也提
升到国家安全，尤其近年骇客频繁攻击高科技产业制造工厂，甚至危及上下游供应链。
SEMI组织于今年6月成立台湾首届资安委员会，目标是建立有韧性的供应链。屠震是SEMI
台湾资安委员会首届主席，该委员会应对资安的机会与挑战，四个主要目标：提升供应商
与产业供应链的整体安全、警示威胁与风险、构建供应链资安评估、确认产业资安蓝图。
屠震透露台积电的资安标准规范，包含员工居家上班相关远距工作安全准则、台积电在供
应商资安评估也列出135项，在今年7月由资材管理向1500多家所有供应商，发布重要资安
危害示警通知PrintNightmare漏洞的潜在骇客攻击，并对应资安危害通知要求立即采取行
动防堵改善等，并将相关管理流程经验向SEMI成员分享。
屠震认为，首先在更新架构/方案确保安全，基于美国国家标准技术研究院（NIST）资安
架构，从晶圆厂设备联网带来的潜在风险、软件检测等都已纳入SEMI台湾资安委员会的资
安标准，建立“供应链网络安全评估问卷”给适用规范供应商提升资安的长期风险管控，
并协助企业检视资安成熟度。
其次，资安委员会在产业与推广方面，在资安标准的推广、资安框架与解决方案、定期提
供产业相关资安讯息。例如借由陆续召开多项成员活动及举办全球资安峰会，并将定期发
布电子季报Newsletter，另12月的SEMICON Taiwan 2021论坛进一步推广资安讯息。
如何协助供应链应对资安的曝险，屠震指出，相关方法包含辨识第三方服务的风险等级，
如资安分级卡/BitSight等。其实，台积电本身一年须面对上兆次的不同来源网络连接访
问，如何辨识来源是子公司、转投资公司或供应商等，并评量风险与改进也是台积电及供
应商都要面对的共同议题。