奔腾思潮》台积电如何趋动臺湾制造业加强资安防护力（阙志克）

为提升其整体供应链资安防护强度，台积电不仅加强公司内部资安防护机制及管理制度，并主动订定「供应商资安评鑑标准」，于2021年先要求供应厂商以问卷形式检视12类潜在资安风险与弱点，执行自我资安评鑑；到2022年2月更进一步要求供应商作第三方资安评鑑。根据这两类评鑑结果，台积电协助供应商拟定资安改善计画并定期追踪其执行成效。截至2022年11月底，在639家供应商中有418家获得最优级，而277家于6个月内提升了1到2个资安等级。

由于台积电在短短几年内于供应链安全达成如此令人印象深刻的结果，国际半导体产业协会(SEMI)遂参考台积电的「供应商资安评鑑标准」及臺湾半导体各大厂资安部门的专家经验，订定出「资安风险评估通用问卷」，再搭配第三方资安风险评分工具，而成为半导体厂商量身打造的资安风险评级服务(SEMI Semiconductor Cyber Security Risk Rating Service)，并于今年12月5日宣布正式上线。

根据工业局统计，臺湾制造业者中只有约0.2%每年资安设备预算超过臺币三百万且拥有完整自主资安团队，约5% 制造业者年资安设备预算超过臺币三百万但不具有完整资安团队，其余95% 制造业者则资安设备预算与人才配置皆偏低。其中，电子资讯业和金属机电业公司2020年的平均年资安设备预算都低于臺币一百万，但相同统计数据在金融业与医疗业则分别达臺币两千两百万和八百万。

据进一步了解，绝大部分制造业公司的领导阶层对资安的重要性在观念上都已相当认同，但在作实际资安建设投资决定时，则每每眼高手低、言胜于行。此中最根本的原因是资安建置案的投资回报 (return on investment, or ROI) 往往无法具体量化。亦即，每当资讯部门提出强化资安的方案，公司老板总会问: 此次提案採购的资安设备究竟可增加多少资安防护力? 从公司治理的角度，这样的提问完全合理，然而实务上，因为现有资安技术根本无法回答这样的问题，提案部门乃至配合的资安产品供应商几乎都无法提出让老板满意的答案。最后，由于投资回报不明确，这样的提案在公司施政排序自然后移，终致不了了之。

从上分析可知，欲增加企业资安建设的投资，必以强化资安建设与公司总体经营目标的联结为先。举例而言，民国 107 年公告的《资通安全管理法》将全国公私立机关分成A、B、C、D、E五个资通安全责任等级。因为公私立医学中心、银行和金融服务公司都属A级关键基础设施，资安防护要求最严格。因为符合资安法规定乃经营的重点目标，这些单位的资安建设投资在近年来皆大幅成长。

然而，制造业并不在《资通安全管理法》规范的范围，所以没有大力投入资安建设的诱因。所幸，2020年以来的中美贸易大战所掀起的供应链安全议题，为臺湾制造业的资安化提供一道解套的曙光。为防范供应商因受骇而在其交付产品被埋入恶意程式，大型产业供应链的领头羊如波音、通用汽车、台积电等，除了加强自身资安设施外，也开始要求其供应商遵循必要的资安规范并将此列入例行稽核项目之中，以确保每个生态圈成员都建置有适当的自我资安防卫能力。

虽然台积电在评量供应商资安防卫能力时，并没有强迫供应商必须要达到特定的资安评鑑水准，但的确开诚布公向厂商表达资安评鑑分数将成为选择供应商时重要的考量因素。易言之，强化内部资安不再只为保护智慧财产或维持公司资讯系统的正常运作，而一跃成为加强整体产品竞争力策略的一环。对台积电供应商的老板而言，为达到一定资安评鑑水准所需的资安建设，乃赢得台积电青睐必作之事，其投资回报不但明确，甚至颇具急迫性，所以落实的机率遂大为提高。

半导体制造业在自动化和智慧化的程度远远超过其他制造产业，而台积电乃半导体制造业中领袖群伦的翘楚。如今，台积电成功地示范了一套可有效提升其供应链成员实质资安韧性的评鑑与改善机制，而SEMI也见贤思齐将相关资安稽核项目及方案整理成标准作业程序。政府应将SEMI的资安风险评级服务介绍推广至国内各大制造公协会，以作为加强其相关产业供应链安全的参考。经由类此供应链上下游资安联防的驱动与鞭策，臺湾制造业者不但能藉此契机将自身资安防护能力脱胎换骨，更能进而一举提升产品的整体竞争力。（作者为清大资工系合聘教授）

※以上言论不代表旺中媒体集团立场※