助台制造业找出资安的精进方向，工研院新推资安成熟度自评工具最新消息

在今年SEMICON Taiwan国际半导体展上，制造业资安强化也成焦点，在9月24日智慧制造展区的一场发表会上，经济部工业局科长林青嵚宣布，旗下工研院打造的资安整合服务平台SecPaas，是以媒合产业供给与企业需求为主，该平台今年新推出了“资安成熟度评级服务”，希望借助国际上资安标准及框架，让国内制造业能有更简单的方法，先了解自身资安状况与等级的现况，以找出需强化与改善的层面，让企业在资安规划上，可以更有方向。

这几年来，我们陆续已经介绍多种资安框架，包括像是NIST CSF等，都特别强调成熟度的概念，可以有助于企业衡量现况与目标，了解企业距离国际最佳实务的资安防护的差距，而这次在SecPaas平台新推的资安成熟度评级服务，也是基于这样的概念打造，而且，锁定的对象是国内制造业。

依据国际标准及框架精简，内容以中文为主且易于入门

关于这个成熟度评级服务的具体内容，工业技术研究院资深研究员锺铭辉在这次发表会中，说明了更多细节。他表示，工研院检视了许多标准，包括ISO 27001:2013，以及OT相关的NIST SP800-82、IEC 62443，还有近年台湾半导体产业正提出的资安标准SEMI 6506，将这些内容进一步浓缩汇整，并转化为具体的问卷题目，也可视为一份合规清单，供台湾制造业作为易于入门、快速自我资安诊断的依据。

这个资安自评工具有何特色？锺铭辉指出，它主要适用于制造业，具有中文化的内容，因此，可用国人都能看得懂的语言，降低进入门槛，不像参考国际资安标准及框架时，是全英文的内容。而且，在这套自评工具的评级架构中，归纳出4个能力指标，包括：管理、防御、侦测与回应，目前他们已设计有190个题目，包含131个功能项与59个流程项。

同时，这个工具也可视为一个自我诊断的平台。锺铭辉表示，在自评结果中，将会依据达成率分为A、B、C、D、E这5个等级，并给出整体评分。当企业想要提升资安时，就可以在平台上看到改善建议，以及该项内容的参考资源，同时，也会对应到台北市电脑公会（TCA）制定的“工控物联网共通性资安指南”。

特别的是，系统还会自动推荐与排序优先，方便企业了解优先需要补强之处，有助于拟定资安升级方向。而且，平台也将提供每季趋势变化，以及相同产业平均分数的比较，让企业不仅能与自己比较，也能了解与其他业者的差距。

锺铭辉表示，这个平台在9月15日就已经正式上线，到24日国内已有15到17家业者开始利用这项服务自评。

提供有意采用者可自行填写，如同一份资安检查表

为了了解这个资安成熟度评级服务的实际使用方式，我们从SecPaas平台注册，即可免费登入，接着就能够找到“资安评级服务”的功能选项，再前往问卷连结作答。进入这个问卷网页后，一开始需要使用者到电子信箱接受认证信，然后在网页输入验证码，才能使用。

这里的问卷名称为“智慧制造产线资安评级”，问卷内容包含了前述4项管理能力类别，各类别下并有对应的子题组。例如，在管理能力方面，包含资安管理、资安组织和意识、产线系统维护、实体安全与风险管理；在防御能力方面，包含系统安全、身份与存取控制、系统与通讯保护与系统与资讯完整性；在侦测能力方面，包含系统日志、侦测安全事件与威胁分析与警报；而在回应能力方面，包含系统减灾与复原，以及安全事件回应计划。

具体而言，每个子题组内会有多道题目，例如管理能力的资产管理一项，当中有7道题目要作答，例如：公司有针对工控系统导入完整开发之生命周期文件与档案管理流程，而回答的选项则有“是”、“否”与“不确定”。

在SecPaas平台上的资安成熟度评级工具，是专为制造业设计，使用者在注册后即可免费登入使用，该工具以问卷形式呈现，也可视为一份资安项目检查清单，且题组内已融合成熟度的概念。

成熟度概念已融合于问卷，系统会自动提供优先改善建议

而在全部题目作答完并送出后，我们可以看到平台结合的评级机制，将对企业的整体表现给出A到E的等级以及评分，对于管理、防御、侦测与回应4大能力的展现，同样也会给出评级结果。透过这样的量化指标，能让企业对于自身表现更有概念。

特别的是，我们点选改善建议选项后，将可以看到系统会条列出需要改善的项目，当中包含可参考的标准、风险系数，以及简单的说明。

然而，令我们感到疑惑的是，平台上没有显示成熟度相关的指标，那么这套工具在成熟度展现的方式为何？

会后我们再次询问锺铭辉，他表示，其实成熟度的概念已经融合与问卷之中，其实，他们已经预先将资安成熟度定义为5种等级。他举例，像是防御能力部分，他以身份识别为例，如果工控系统已可有提供辨识和验证所有人员使用者，这是符合第二层级，如果做到使用者皆采多因素认证，则是符合第五层级。

不过，锺铭辉说，他们并没有在题目上列出这是符合何种成熟度层级，考量是使用者在填写时，很可能因为想要达到哪一成熟度目标，而使得回答失真。此外，关于题目的计分与权重，他们并未透露，不过，平台上的改善建议将会依据风险系数自动给出优先级，因此，企业可以优先改善的目标，就是列在改善建议越前方的项目。

在资安成熟度评级服务的结果中，结合了评等的机制，让企业对于管理、防御、侦测与回应能力，以及整体资安成熟度，能有更直觉地掌握。

在自评结果完成后，们可以看到平台还会提供改善建议并给出优先级，也能让企业持续评估以协助达到精进的目标。

关于这个成熟度评级服务的具体架构，锺铭辉指出成熟度的概念已融合与问卷之中，他们都已有相关定义。

未来将扩增专家顾问服务，可为制造业带来更多实质协助

综合来看，这样的资安成熟度评级服务，对于制造业而言，是入门资安的参考工具之一。因为内容已经精简，同时也引入成熟度自评的方式，让企业可从管理、防御、侦测与回应层面，评估现况并找出未来强化目标。不过，要如何让工具使用的更有成效？

在这套工具的推动与使用上，锺铭辉表示，企业可以利用这套评估工具先行自我诊断，对于更细节的部分，使用者可以检视完整标准，同时他也建议，如果要更好地使用这样的工具，可由专业顾问带领企业将评估做完，或是将报告结果与资安顾问讨论升级选项，才会更贴近公司现况，或是会有更好的效果。

锺铭辉说，这是因为，现在一些企业可能碍于本身没有资安方面的人力资源，而在问卷初期开放阶段，他就遇到这样的案例。他说，有不少制造业的IT人员，在自行填写时容易遇到困难，对于题目或标准的理解不够清楚，若透过专家服务解释，会有更多帮助，可让企业仔细思考，公司自身是否真的有做到该项控制措施。

因此，锺铭辉表示，未来他们希望借由SecPaas扮演平台角色，推动CISO（资安长）工作坊的机制，透过专家带领大家逐一检视题目，协助使用者了解回答的关键，以及判断公司是否能够做到题目要求，已协助产业更准确衡量自身现况。不过这样的专家顾问服务，还在规划当中，因此他们也还没有提供费用相关的资讯。而对于SecPaas平台上的企业，工研院将配合提供免费咨询。

此外，他们也将持续调整问卷内容，依据现况调整每项功能项所符合的成熟度等级。