面對現今數位轉型趨勢，網路攻擊手法日益更新，產業供應鏈安全備受重視，美國則力推供應鏈保護規範「資通安全成熟度模型驗證」（Cybersecurity Maturity Mode Certification，CMMC），做為未來國防採購的資格要求，並將於2026年在美國全面實施。為讓更多產業更了解CMMC內容，資策會資安所也在近日邀請漢翔航空及6家下游供應鏈廠商，參與《112年CMMC產業合規交流論壇》，分享其導入CMMC合規作業、稽核觀摩與場域輔導經驗。

美國力推供應鏈保護規範「資通安全成熟度模型驗證」（CMMC），數位部數產署偕同資策會資安所協助產業導入合規機制，接軌國際商機。

資安所指出，基於美國每年因全球資通安全事件造成高達6,000億美元損失，促使美國國防部自2020年逐步要求，國防供應鏈承包商應依據專案資訊的機敏性，而須具備相應等級的CMMC資安成熟度要求。資安所為協助台灣產業能因應美國CMMC合規要求，掌握全球供應鏈先機，也自2022年開始著手研究CMMC要求與生態環境。

因為漢翔航空身為台灣地區的國防產業重要指標企業，也是亞洲區唯一授權的F16戰機後勤維修中心，所以在數位部產業署指導與公協會協助下，率先由資安所協助漢翔以此中心為場域，進行供應鏈網路安全成熟度認證；同時積極協助有需求廠商人員培育與產業合規，加速台灣產業及早準備，順利銜接國防商機。

經過資安所、台中市電腦公會協助指導，漢翔帶領旗下6家下游供應鏈廠商積極響應，而成為台灣首家順利完成導入CMMC合規作業的示範業者。漢翔進一步表示，當時該公司正處全力以赴，追逐美國CMMC合規要求階段，對於資安所團隊在自評後，現場給予實行做法的改進建議，皆視為漢翔極為寶貴的學習經驗，尤其是針對英文版標準條文的正確解讀，而能在同仁的齊心協力之下，完成對各項控制項目的要求，進而逐一克服難題。

資安所也指出，現今企業除了自身要做好資訊安全，更需要聯合產業上下游夥伴，共同建立供應鏈資安防護，以確保所有合作環節的資料和資訊安全性，這不僅是數據的保護，更是攸關供應鏈資訊流向安全的完整性、可用性和可靠性。

值得一提的是，目前台灣除了國防產業外，於科技業、製造產業亦有完整產業聚落，同樣承受資安威脅的風險。資安所將會更積極推動產業供應鏈資安聯防，後續與公協會合作，協助不同領域的產業供應鏈導入CMMC，並擴大CMMC服務生態圈發展，期許台灣產業未來成為全球乾淨供應鏈的核心成員，以利開拓產業市場及提升競爭力。