產品供應鏈資安法制需求研究
一、 背景說明隨著近年來駭客攻擊模式轉變,藉由攻擊產業上、下游供應鏈之迂迴攻擊事件層出不窮,供應鏈資安之議題,已成為近期各界所關注之重點。因此,「強化供應鏈安全管理」,即為提升產業防護能量之重要推動措施。
故為強化產業供應鏈上、下游之資安防護能量,目前企業間多以契約關係約定上、下游供應鏈之產品或服務,需符合相關之資安標準,而在國際間法制發展上,對於資通訊產品或服務之資安要求,亦逐漸採取立法、訂立指引或建立認驗證機制等方式為之,以確保資通訊相關產品或服務,符合其安全性規範,進而間接影響資通訊產品或服務上、下游供應鏈所應採用之資安標準。有鑑於國際間對於委外供應鏈資安之要求逐漸趨於制度化及產品或服務之標準化,為瞭解產業之法制需求,本研究即針對目前我國資通訊產業之供應鏈資安法制規範進行調查研究,以瞭解我國產業於供應鏈法制之現況及需求,作為將來擬定相關法制政策之參考。
二、 產業對於供應鏈資安之因應 本次調查訪談之企業包含資
通訊硬體業(約51.0%)、半導體業(約35.3%)、資通訊軟體業(約13.7%)等,其中各產業落實採用資安標準的情形大不相同,大多數原因是會受到客戶或相關供應鏈的要求而影響。例如:來自海外客戶(約49%)、海外相關合作夥伴(約43.1%)、或國內客戶的要求(約39.2%),抑或是自身產品規格或為因應強制性法規為目的(各約30.9%),而深受影響。當然也有少數企業即使採用資安規範仍不受影響(約25.0%)。
對於本次受訪企業中,於供應鏈上資安之因應多以管理模式的寬鬆程度來進行,皆有過半數企業基於資安防護完整性(約佔67.3%)、產業機密性(約佔64.1%)、與安全性(約佔60.1%)等因素,而採用不同的資安標準。例如:關於採用資安的標準或決策,近半數是由企業總部蒐集法規、政策資料,再統籌決定或訂定,以便管理國內外據點;也有近半數是由各區域工廠或據點,於蒐集資訊後再向總部回報,僅有少數是海外各區域自行蒐集資訊並自己決定,事後再回報總部等作法。
此外,值得注意的是,對於有採行資安標準,共153家企業當中,各企業為執行資安標準,可能遭遇各種阻礙,常見的有客觀上成本效益過高、預算不足(約佔43.1%),或技術認證繁瑣(約佔29.4%),更有企業主觀上認為投資成效低(約佔26.8%)等問題呈現,但仍有不到半數(約34.6%)的企業表示沒遭遇過本問卷所提之阻礙。而在有被要求採用資安標準之企業中,約有45.8%的企業被要求採用資通安全管理法,佔比最高;其次,有41.8%的企業被要求採用
ISO 27001。
三、 產業調查現況分析 各產業依其自身條件、類型或規模大小等因素,對於產品資安法制的需求也各不相同。本次產業調查,係以企業資本額、受訪者職位、企業海外經營活動情況、有無專責資安業務的相關部門、內外銷情況、採購國外零組件情形、設立工廠或分公司、員工人數、年營收、產業別等條件,為量化之基準進行分析。現況而言,客觀上有過半數的企業未遭受過資安攻擊,而僅約有3成左右曾遭受資安攻擊並表示深受影響。另一方面,資安標準究竟是否助於整體產業進步,主觀上採樂觀看法的企業佔多數。過半數(約佔53.9%)認為有幫助,更有少數(約佔8.3%)的認為非常有幫助。整體而言,扣除少數(25.5%)未表示意見外,僅有極少數企業保持負面看法,認為無幫助(約佔11.8%)或反而認為造成阻礙(0.5%),可知現今的資安標準已被大多數的企業肯認與接受。
四、 結論以上產業現況調查結果,係透過統計分析軟體SPSS,並藉由「頻次分析」與「交叉分析」等統計學方法,以蒐集最為客觀之數據。故從上述調查結果呈現,產業於因應供應鏈上、下游之資安相關要求時,成本過高及認證過程繁瑣為目前主要之困難。依調查結果顯示,我國資通安全管理法雖為多數企業被要求採用之規範,惟資安法之適用對象目前僅限於公務機關及特定非公務機關,能否於產業中普遍適用,仍存有疑義,然如可參考資安法施行細則第4條中對於公務機關及特定非公務機關委外之作業規定內容,提供產業委外相關之指引、建議,便利於產業接軌相關之國際法規或標準,或可有助於產業提升整體供應鏈之資安能量。
※ 欲更深入了解請洽:
資策會科技法律研究所--價值拓展中心 專案經理 施弘文Tel: 02-6631-1127 / E-mail: [email protected]