結論
本參考指引主要目標在於建構一套協助IC設計/IC製造業者導入資訊安全管控措施的參考指引,以透過示範廠商的輔導驗證,在最低影響業者現行軟體開發流程的條件下,結合目前市場上軟體成熟度安全方法論之要求,融入現行的開發作業方式,採取組織自行導入或尋求資安顧問的協助,將符合國際資安要求的水準,深植且落實於企業文化。
藉由從需求與設計階段,納入資訊安全需求考量發展,結合安全風險識別與控制措施執行,作為後續之安全功能驗證基礎,期許能落實安全軟體生命週期之實踐,有效從源頭強化整體資訊系統之安全性,強化IC設計/IC製造廠商整體安全軟體開發能量。
未來透過示範廠商輔導回饋,做滾動式修正,以期協助IC設計/IC製造業者不但符合目前國際基本要求,同時也為未來國際驗證提前準備,有利於企業與國際發展方向接軌。
參考文獻
[1]Synopsys, BUILDING SECURITY IN MATURITY MODEL (BSIMM) – VERSION 12, September 2021. [2]ISA, The 62443 series of standards-Industrial Automation and Control Systems Security, 2016. [3]財團法人資訊工業策進會, 103年資安服務暨專案管理辦公室 安全軟體發展流程指引 (V1.0)。 [4]維基百科, CI/CD介紹,可參考 CI/CD 維基百科條目。 [5]維基百科, DevOps介紹,可參考 DevOps 維基百科條目。 [6]OWASP SAMM, OWASP Software Assurance Maturity Model (SAMM),可參考 OWASP SAMM官方網站。 [7]經濟部 111年度科技專案計畫 提升IC晶片軟體安全品質(BSIMM)與合規技術研發計畫安全軟體開發參考指引(V1.0)。 [8]ISO/IEC 27034, Application security guideline。 [9]ISAGCA, Security Lifecycles whitepaper, October 2020。 [10]維基百科, 責任分配矩陣介紹,可參考 責任分配矩陣 維基百科條目。 [11]微軟, Simplified Implementation of the Microsoft SDL,可參考 Microsoft SDL 官方網站。 [12]Google, Google C++ Style Guide,可參考 Google C++ Style Guide 官方網站。 [13]Recommended C style and coding rules,可參考 GitHub 官方規範。 [14]安全性軟體開發流程概論,可參考 資安培訓教材。 [15]ISO 27701:2019, Privacy Information Management 個人資料隱私資訊管理系統。 [16]ISO 29147:2018, Vulnerability Disclosure 漏洞揭露與處理。 [17]ISO 30111:2019, Vulnerability Handling Processes 漏洞處理流程。 [18]TPIPAS:2016 臺灣個人資料保護與管理制度 (Taiwan Personal Information Protection and Administration System)。 [19]Cisco, Product Security Incident Response Team (PSIRT),可參考 Cisco PSIRT Infographic。 [20]IBM, Product Security Incident Response Team (PSIRT),可參考 IBM PSIRT 官方網站。 [21] [Bonus Day 8] 國內產品資安事件應變小組 PSIRT,可參考 iThome 文章。 [22]臺廠面對資安議題,將包袱轉成資產,PSIRT 團隊變身企業競爭力,可參考 iThome 新聞。 [23]SEI CERT, C++ Coding Standard: Rules for Developing Safe, Reliable, and Secure Systems。 [24]SEI CERT, C Coding Standard: Rules for Developing Safe, Reliable, and Secure Systems。 [25]GSMA FS.16, NESAS Development and Lifecycle Security Requirements v.2.3, September 15, 2023。 [26]ISO 27001:2022, Information security, cybersecurity and privacy protection — Information security management systems — Requirements, October 2022。 [27]Synopsys, BUILDING SECURITY IN MATURITY MODEL (BSIMM) – VERSION 14, December 2023。 [28]SEMI E187, Specification for Cybersecurity of Fab Equipment, January 2022。 [29]SEMI E188, Specification for Malware-Free Equipment Integration, January 2022。