您知道行政院《資訊服務採購作業指引》中也有資安標準嗎?面對手法變化多端的惡意攻擊,以及資安人才稀缺的產業現況,政府與企業在防線佈局之路上,除了卯足全力導入資安工具與機制外,也期望從「人」的角度防堵威脅因子。
畢竟再專業的資安人員或看似制訂完善的資安策略,都不一定是最完美的,避險需由人人做起方免於成為「破口」。但不懂資安怎麼辦?會不會連買進來的資訊設備及系統也存有漏洞?
政府與台積電都做了!訂立資安標準讓採購不踩雷
無論政府或企業導入設備、系統皆必經採購程序,因此採購程序可以說是外來物品進到組織疆土的第一道關卡,然而採購人員的專業並不在於資安,興許確保了採購需求卻遺漏「安全性」。為避免採購環節的疏漏導致資安威脅滲透組織,同時做為帶動市場趨勢的號角,行政院工程會在2023年9月正式公布《資訊服務採購作業指引》,同步修訂資訊服務採購契約範本,透過普級、中級、高級的防護分級,為一般機關、關鍵基礎設施、機敏機關提供《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》,最快將於2024年3月開始實施,從根本滿足資訊服務的基本資安需求。
身為業界標竿的半導體大廠台積電,其廠房內有許多IOT物聯網設備及整合系統,在在受到駭客覬覦,除了鞏固資安防線擋禦外敵,也應以最大化降低營運衝擊為目標,故台積電將資安標準納入了設備採購合約中,期待藉由制定採購規格與驗證清單(Verification Checklist),在引進新機台或系統前即確保供應商符合規範標準,自源頭而下強化企業資安韌性。
資安入規帶動趨勢 解析資訊採購中的資安標準
由行政院工程會主導的《資訊服務採購作業指引》,雖不如《政府採購法》具備法律層面的強制力,但仍可促使機關內非資訊、資安專業的採購人員落實資安規範,利用檢核表快速確認應納入採購合約中的規範與措施,比如說廠商或其提供的資訊服務需符合CNS 27001或ISO 27001等同等級國際資訊管理標準,在《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》中更詳細列出9種類型的資安需求,企圖覆蓋機關最常採購的資訊服務範圍,讓採購人員安心參照檢核標準。
而台積電為提升供應鏈資安防護水準,持續精進廠房運作安全,深化了全球通用的晶圓設備資安標準(SEMI E187),以及定義《半導體製造環境資訊網路安全參考架構》(Cybersecurity Reference Architecture for Semiconductor Manufacturing Environment),透過下列面向確保供應商依循資安標準,落地於合規之路。
作業系統
現今仍有傳統製造業還在使用舊機台,其運行之韌體、作業系統皆有漏洞大開的可能,導致可趁之機,故具備長期支援能力的系統版本,將可守衛機台設備或電腦的「基本健康」。
網路安全
別以為買了防毒軟體便是萬無一失,漏洞往往出現在人們忽略的小角落,理應限制使用高風險網路連結埠,也要設置得宜的入侵偵測機制,保障網路閘道安全。
端點防護
每一個網路節點皆是不容輕忽的環節,除了建立防毒機制抵擋病毒軟體外,還需藉由白名單管控可執行的應用程式,同時定期進行弱點掃描,修補零時差漏洞。
安全監控
人是最大的變數,有時正是因為身分識別與帳號存取控管不力,才會讓內神或外鬼得逞,如同設置完善的門禁系統控管出入,資訊服務及設備也應受到監管。
資安稽核
導入各式各樣的資安機制後更不該鬆懈,而是需時刻搜集事件紀錄強化資安管理,抱持著持續精進的心態面對詭譎的惡意攻擊。
駭客組織的攻勢來勢洶洶,各大企業若一邊顧及本業營運,一邊拿出參差不齊的資安盾牌抵擋外敵,真的有力嗎?又或者購買新設備後,用了幾天才發現原生漏洞,還需另外花錢補足資安機制?
如果能從挑選、採購階段就過濾出符合組織資安需求的資訊商品或服務,應能減少重工的作業成本,也避免造成後續資安事件,損及企業利益。
