為提升其整體供應鏈資安防護強度,台積電不僅加強公司內部資安防護機制及管理制度,並主動訂定「供應商資安評鑑標準」,於2021年先要求供應廠商以問卷形式檢視12類潛在資安風險與弱點,執行自我資安評鑑;到2022年2月更進一步要求供應商作第三方資安評鑑。根據這兩類評鑑結果,台積電協助供應商擬定資安改善計畫並定期追蹤其執行成效。截至2022年11月底,在639家供應商中有418家獲得最優級,而277家於6個月內提升了1到2個資安等級。
由於台積電在短短幾年內於供應鏈安全達成如此令人印象深刻的結果,國際半導體產業協會(SEMI)遂參考台積電的「供應商資安評鑑標準」及臺灣半導體各大廠資安部門的專家經驗,訂定出「資安風險評估通用問卷」,再搭配第三方資安風險評分工具,而成為半導體廠商量身打造的資安風險評級服務(SEMI Semiconductor Cyber Security Risk Rating Service),並於今年12月5日宣布正式上線。
根據工業局統計,臺灣製造業者中只有約0.2%每年資安設備預算超過臺幣三百萬且擁有完整自主資安團隊,約5% 製造業者年資安設備預算超過臺幣三百萬但不具有完整資安團隊,其餘95% 製造業者則資安設備預算與人才配置皆偏低。其中,電子資訊業和金屬機電業公司2020年的平均年資安設備預算都低於臺幣一百萬,但相同統計數據在金融業與醫療業則分別達臺幣兩千兩百萬和八百萬。
據進一步了解,絕大部分製造業公司的領導階層對資安的重要性在觀念上都已相當認同,但在作實際資安建設投資決定時,則每每眼高手低、言勝於行。此中最根本的原因是資安建置案的投資回報 (return on investment, or ROI) 往往無法具體量化。亦即,每當資訊部門提出強化資安的方案,公司老闆總會問: 此次提案採購的資安設備究竟可增加多少資安防護力? 從公司治理的角度,這樣的提問完全合理,然而實務上,因為現有資安技術根本無法回答這樣的問題,提案部門乃至配合的資安產品供應商幾乎都無法提出讓老闆滿意的答案。最後,由於投資回報不明確,這樣的提案在公司施政排序自然後移,終致不了了之。
從上分析可知,欲增加企業資安建設的投資,必以強化資安建設與公司總體經營目標的聯結為先。舉例而言,民國 107 年公告的《資通安全管理法》將全國公私立機關分成A、B、C、D、E五個資通安全責任等級。因為公私立醫學中心、銀行和金融服務公司都屬A級關鍵基礎設施,資安防護要求最嚴格。因為符合資安法規定乃經營的重點目標,這些單位的資安建設投資在近年來皆大幅成長。
