因應美國國防部已於今年11月10日正式將網路安全成熟度模型驗證(CMMC)2.0全面納入國防採購的強制要求,全球供應鏈正式以「可提出具體證據的資安能力」作為合作門檻,財團法人資訊工業策進會資安科技研究所(資策會資安所)積極協助臺灣產業強化國際資安合規能力。其中,在資策會資安所的專業輔導下,臺灣漢翔航空工業成功通過CMMC Level 2驗證,率先具備可追溯、可稽核的資安合規體系,不僅符合美國國防採購實際條款要求,也為臺灣產業建立直接進入全球市場的關鍵先行優勢。
面對CMMC的強制上路,企業已無法僅靠文件或宣示來證明具備資安能力,而必須提交控管流程、紀錄與風險追蹤等可量化證據。資策會有感於企業普遍困惑於「看得懂要求,卻不知道如何落地」,或擔心資安成本就像無底洞,因此,資策會資安所透過實務導向,協助企業從規範解讀到控管落地,建置流程化、制度化與證據化的治理架構,讓企業得以將所有行為留痕、風險可視、流程可查,真正達到能接受外部稽核的資安成熟度。
在資策會資安所專業顧問團隊的輔導下,臺灣企業已陸續展現導入成果,除了漢翔航空工業正式取得CMMC Level 2驗證,符合國際供應鏈要求外,在億威電子與攸泰科技也導入CMMC合規作業後,不僅促使其企業內部操作紀錄可追溯、跨部門資訊一致性提高,與客戶溝通成本大幅下降等優勢,更成功將資安投資轉為被國際客戶信任、被納入關鍵供應鏈名單。
資策會資安所李榮三所長表示:「在美國強化供應鏈安全、各國強調零信任架構的趨勢下,企業若缺乏可證明的資安能力,未來將不僅無法參與國防訂單,也可能在跨國製造、資訊服務、航太等產業的合作上受到排除,CMMC供應鏈保護規範的本質並非單一證照,而是一套能夠被市場驗證的信任機制,當企業能以制度化方式呈現流程、證據與風險控管,這正是全球供應鏈最重視的能力。」
面對全球供應鏈加速朝可證明化與可追溯化發展,跨國合作、供應商審查與投標評選的資安要求只會更高。資策會為了實現與民興利的目標,明年度3月至4月間將開放CMMC輔導遴選,提供專業顧問、訓練師資與模擬稽核流程,協助更多企業在制度、紀錄與治理能力上達到國際標準,透過CMMC 輔導能量,完善臺灣資安生態鏈,建議具國際合作與供應鏈布局需求的企業申請,提前搶占全球供應鏈所帶來的商機。
