【臺灣資安大會直擊】驅動供應鏈韌性，漢翔憑CMMC實戰經驗打造供應鏈資安評級系統

當資安合規成為市場准入（Market Access）門檻，身為國防軍工指標大廠的漢翔航空工業，對這股浪潮感觸最深。該公司自2016年承接F-16維修專案起，長期接受洛克希德馬丁稽核，歷經從NIST SP 800-171到現行CMMC 2.0日益嚴謹的挑戰。漢翔不僅逐步建構自身防護體系，如今更將CMMC合規實戰經驗，建構出一套「供應鏈資訊安全評級系統」（AIxSISAS），複雜的合規要求轉化，成為可執行、可追溯且可持續的管理機制。

特別的是，漢翔不僅對其供應鏈推廣此系統，更期盼能串連產業與政策動能，提倡將此平臺推向更多臺灣關鍵產業供應鏈。

CMMC全面實施進入倒數，資安已成進入國際市場的入場券

對於出口導向臺灣的產業來說，資安合規已經不是「要不要跟進」的問題，而是成為進入國際市場的基本門檻。漢翔航空工業資訊處處長方一定指出，CMMC採購規範已於2025年11月10日正式生效，新合約與招標將開始納入CMMC要件。

下一個關鍵時間點就是2026年11月10日，因為，主流合約廠商將被要求進行Level 2第三方（C3PAO）驗證；到了2028年11月10日，CMMC更將走向全面實施。這意味著：企業若無法在時程內達成合規，將面臨失去國際訂單的直接風險。

面對CMMC合規要求，主要承包商與分包商皆須具備相應資安能力。面對迫在眉睫的合規壓力，方一定直言，企業在進行供應鏈管理時必須掌握三個核心要素。

首先是數據管理，必須對數據的產生、存取與流動進行嚴格管控；第二是供應鏈數位韌性，重點在於企業遭遇攻擊時，仍能維持核心營運並保護機敏資訊；第三是持續威脅曝險管理（CTEM）。他強調，資安是動態且周而復始的過程，企業必須建立循環不息的威脅偵測與防禦機制，而非僅是應付一次性的稽核。

如今，隨著CMMC以NIST SP 800-171為基礎建立強制認證機制，企業在落實相關控制措施時，必須具備更完整的證據鏈與治理能力

然而，漢翔觀察到許多臺灣企業尚未做好準備，原因包含：難以解讀控制措施、無法量化現況與目標的距離、驗證證據蒐集困難，以及合規人才短缺與客戶要求的時程壓力。

以漢翔通過CMMC的經驗來看，Level 1有17個基礎控制措施，Level 2則有110項。方一定指出，每一條要求看似簡單，例如「及時辨識、通報與矯正弱點」，但真正執行時，要求非常高，解讀與落地都不容易。他並強調，漢翔對於110項控制措施也不是一次到位，而是逐年修正補強才最終達標。他提醒：「供應鏈資安是長期工程，不可能一蹴可幾。」

此外，方一定也以ISO 27001標準對比CMMC的難度。他表示，ISO 27001是優良的資安管理體制，偏向制度與文件的符合性，若未發現缺失即可通過，但CMMC的挑戰在於其「證據導向」，要求每一項都必須提出具體證據，任何一項不符都無法過關。目前臺灣1,900多家上市櫃公司當中，僅約24％通過ISO 27001，顯示多數企業在銜接更嚴格的CMMC時，將面臨巨大挑戰。

漢翔航空工業資訊處處長方一定指出，他們已開發一套供應鏈資安評級系統，將資安控制措施轉為題庫化管理。供應商可以透過平臺填答，上傳對應的佐證資料後可得到評分；平臺內並提供實務範例，協助企業理解每項控制措施的達成程度。

打造供應鏈資安評級系統AIxSISAS，期許推動至臺灣更多關鍵產業供應鏈

漢翔如何因應供應鏈管理挑戰？方一定指出，內部團隊依據CMMC合規經驗，打造「漢翔供應鏈資訊安全評級系統（AIxSISAS）」，內建Level 1與Level 2的所有控制措施。此外，漢翔還要求其供應商符合30項特定的資安控制措施，並依合作深度畫分為1到4級。高層級供應商需全數符合，低層級供應商則需滿足關鍵項，且至少要在事件發生時於72小時內通報。

因此，透過此平臺，主供應商與次供應商能在同一標準下持續評級，企業能清晰看見整體供應鏈的資安水準與落差。

特別的是，漢翔不僅將此系統用於自身供應鏈，更致力於推動跨產業的資安協作，推廣給其他領導企業管理其供應鏈。方一定強調，漢翔的目標是促成政府與主導企業共同建立產業標準，讓平臺發揮更大價值。

他期盼透過AIxSISAS平臺，與鴻海、中科院、華碩、台積電等產業領導企業有意願者一起合作，讓這些企業能將各自的特定控制措施匯入系統。這不僅是工具的分享，更是建立讓供應商、顧問、資安公司、稽核驗證機構能共同協作的生態系。

強化資安防護的四項實務建議

在解析供應鏈資安管理之餘，方一定也針對企業如何改善資安防護的問題，提供四項實質建議：：

首先是第三方外部風險管理。可利用Bitsight或Security Scorecard等工具掌握外網曝險，若是外網防護不周，內網安全亦難保；漢翔內部即採分數門檻管理，未達80分標準則要求改善；其次是弱點管理流程化。從辨識、通報、派工、修補、驗證、追蹤、例外處理，建立完整生命週期。工具可搭配SAST、DAST、開源元件掃描與AI輔助分析，但重點是流程責任與時限要明確。

第三是端點與橫向移動防護。不論EDR、NDR、MDR與XDR都是因應方式，人力不足的中小企業可優先導入EDR或MDR託管服務，在有限資源下，降低內網擴散風險；最後，則是檔案加密與保護。企業營業秘密與機敏資料，應在儲存、傳輸、交換全程加密，搭配PKI公私鑰機制與多因子認證，防範資料流遭中間人攻擊攔截。

資安合規浪潮已經成形，例如美國CMMC要求軍工供應商須通過第三方驗證，或是美國國防創新單位（DIU）透過Blue UAS與Green UAS推動無人機安全認證，以及歐盟網路韌性法（CRA）強調產品資安與漏洞管理責任，還有日本推動的JC-STAR資安標章制度。漢翔航空工業資訊處處長方一定指出，上述資安要求的涵蓋層面看似不同，但其根源邏輯都一樣強調：證據化、可追蹤、可持續。