為了協助國內眾多製造業者提升資訊安全等級,工研院發展的資安整合服務平台SecPaas日前推出資安成熟度評級服務,目前為免費提供,只要經過註冊申請即可採用,經過自我評估以制定逐步改善計畫。
工業技術研究院資深研究員鍾銘輝指出,今年(2020)針對國內員工200人以上的製造業進行調查,共計約500家,藉此了解推動資安過程遇到的阻力。統計結果發現機械、化工等製造廠商遭遇到的問題,首要是人力不足,資安管理任務多數是MIS兼任,根本難以有更多時間與技能探究安全缺口;其次是高階管理層認為資安的投資必須具備明確的效益,例如採以差異性比較的方式說明;第三是內部員工普遍對於資安意識不足,可說是最為棘手之處。
「經過我們深度訪談,實際上大家都想要把資安做好,問題是除了防火牆、防毒、郵件安全等常見的措施,究竟還需要哪些防禦機制,對於兼任資安的MIS而言,建構整體安全防禦挑戰相當大。」鍾銘輝說。
為了解決前述問題,工研院基於國際資安業界一致認同NIST(美國國家標準技術局)等標準框架設計資安成熟度評級服務,以問答方式讓企業自我評估。他進一步說明,平台定義的資安成熟度,首要是降低資安風險,作法不外乎限縮攻擊面,這部分可透過第三方工具進行檢測,了解內部漏洞環節。基於國際間既有實踐典範,包括ISO 27001:2013、NIST SP800-82、IEC 62443,以及台灣半導體產業提出的SEMI 6506標準,工研院透過SecPaaS平台予以收斂制定問答題庫。
不同的安全等級各自有最佳實作方法,目前約有190項安全性規範,用以衡量成熟度。過去自我評估的問卷設計通常是以1到5分讓受訪者勾選,往往欠缺客觀依據,工研院制定的資安成熟度評級服務,網羅國際間最佳實務作法,可明確指出資安機制代表的級別,有助於企業衡量成熟度。
綜合各項指標綜合計算產生的分數,系統會以A到E等級標示,A為最高,意味著資安風險較小。同時亦可跟產業平均值進行比較,凸顯領先或落後同業。此外,資安成熟度評級服務將依據不同安全等級與風險係數,建議可優先投入的排序,提供決策者參考,快速地制定資安升級的計畫。
完成計畫之後,還需搭配演練以驗證資安部署的效益,在SecPaaS資安整合性服務平台上,亦可找到國內知名資安團隊可提供滲透測試或紅隊演練,讓有志於提升安全性的製造業不再無所適從。