- 供應鏈安全問題起,業界主流資安標準認證潮來襲
供應鏈安全問題,不但凸顯出供應鏈上脆弱的環節(缺乏安全控制機制的小型合作夥伴),也促使各產業將安全控制與防護的焦點,開始從產品、場域等實體面的安全,擴大延伸到人員與作業流程面的安全,以全面消除任何可能被駭客利用的漏洞。為了加強不同產業的供應鏈安全性,各國政府也開始提出相應的合規要求,包括強調 IT 安全的 ISO 27001、訴諸工控安全的 IEC 62443、聚焦車輛網路安全的 ISO 21434,以及標榜個資隱私安全的 ISO 27701 與「歐盟一般資料保護規則」(GDPR)。
台灣漢德公司 IT 事業群協理林家弘表示,專門提供測試、評估及顧問服務的台灣 TÜViT,已將服務版圖從半導體、網通與製造業,進一步擴展到金融與工控供應鏈領域,其提供的資安標準合規服務,除了上述列舉的國際資安標準外,還包括德國聯邦資訊安全局(BSI)的基本 IT 防護標準、「資訊安全共準則」(Common Criteria, CC)、美國國家標準研究院(NIST)的 FIPS 140-3 標準、全球移動通信協會的 GSMA、網路身分識別 FIDO(Fast Identity Online)及 EMVCo 金融國際資安標準等。
為了協助產業成功取得各種國際資安標準認證,以便快速回應這些挑戰,自 2021 年下半年起,台灣 TÜV NORD 與台灣 TÜViT 開始進行精準分工的亞太市場布局規劃,由前者專門負責稽核/發證業務,後者則全力聚焦在顧問服務上,藉此進一步為客戶提供一條龍式的專業資安驗證服務,共創一加一大於二的實質效益。
- 協助全球晶圓代工與封測巨頭取得場域認證
林家弘表示,針對場域安全,台灣 TÜViT 協助許多半導體業通過許多 CC(亦即 ISO/IEC 15408)標準認證。基本上,CC 力求確保整個產品開發生命周期與生產過程所有環節的安全無虞。但 CC 要求開發場域必須進行實地稽核,如此一來,就會有必須針對不同客戶的安全產品,分別取得 CC 實地稽核驗證的麻煩。
為了解決這個問題,BSI 特別制定了場域驗證(Site Certification)規範,這使得產品開發場域可以更方便又省時地單獨取得安全評估認證。台灣 TÜV Nord 自 2014 年開始在台推廣 CC 標準及 BSI 場域驗證服務,目前協助取得場域認證的廠商包括:台積電、聯電、日月光、矽品、京元電、聯芯、艾克爾、閎康、矽格等等,換言之,全球晶圓代工市占第一、第三,以及全球前兩大封測廠皆已取得該認證。再者,TÜViT 另外也有自行定義與發證的 Trusted Site Infrastructure (TSI)標準,以協助客戶進行實體安全及資料中心可用性之驗證。
隨著車輛網路安全標準 ISO/SAE 21434 正式於 2021 年 8 月底發布後,該標準也成為相關產業爭相取得的重要認證標的。日月光高雄廠在標準發布後三個月通過德國 TÜV NORD 認證,成為全球第一家取得 ISO/SAE 21434 標準的封測廠。