2025-2026 CISO Insight 資安調查解析-3
資安風險已從單一技術挑戰,演變為橫跨整個數位生態系的系統性壓力。全球監管機構正同步推動強制問責,將最終治理責任正式推向企業董事會。面對這種高度互聯的供應鏈風險,企業必須重塑防禦邏輯,將供應鏈韌性視為核心治理架構,以穩固企業的生存根基。
文/明雲青‧刊期/2025.12
網路安全戰場已明確從企業防火牆邊界,轉向高度分散的供應鏈節點。前資通安全研究院院長何全德指出,駭客偏好攻擊資安防護最薄弱的中小企業,因其投報率高、滲透成本低。使得大型企業最致命的破口,往往來自一個防禦鬆懈的小型外部供應商。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
合勤投資控股資安長游政卿指出,因供應商資安成熟度落差極大(33%),實務上難以用單一標準管理上千家合作廠商(15%)。另外,20% 組織難以確認供應商是否有確實遵守要求(見圖 1)。
這些挑戰使供應鏈成為最大障礙,全球54%的大型組織亦持此看法(出自 WEF《Global Cybersecurity Outlook 2025》報告)。
何全德強調,駭客可輕易入侵防禦鬆懈的小型供應商,使之成為大型企業防線致命破口,因為一旦協力夥伴被攻陷,再堅固的內部防線也形同虛設。
重構防線思維,供應鏈成資安韌性支柱
為降低供應鏈資安風險,22% 組織定期稽核及演練、17% 遵守產業標準並共同遵守、12% 提升第三方依存關係的可視性(見圖 2)。
遠傳電信副總經理暨資安長朱建國指出,供應鏈資安策略須因應不同產業情境與供應商特性進行調整。在產品供應商眾多的成熟市場中,甲方若未明確定義資安規格,將無法有效落實風險控管。
漢翔航空工業資訊處處長方一定表示,對於航太高科技製造業而言,第三方認證已是進入市場的基本門檻。漢翔透過開發供應鏈資安評級系統(SISAS)輔導下游廠商,將合規工作轉化為產業服務,以提升整體生態系的資安治理能力。
某面板廠資安長指出,公司對供應鏈的管理策略,先從自評問卷與第三方稽核起步,並未直接套用合約條款,因合約必須依據供應商能力彈性制定。
臺北榮民總醫院資訊室主任郭振宗補充,在實際供應鏈審查中,除合約條款與自評問卷外,院方也會在履約過程抽查曾發生資安事件的供應商,確保防護完整性。
何全德強調,CISO 必須在合約中明訂對委外廠商的資安稽核權,因現行法規已將 CISO 列為供應鏈資安事故的連帶責任人。這屬於責任延伸,而非單純風險轉移。多位資安長一致認為,集體防禦已不再是可選的選項,而是保障自身核心生存的重要措施。
法規問責升溫,資安治理直指董事會
全球監管機構正同步推動資安治理的透明化與公開化。游政卿形容,對全球佈局的跨國企業而言,法規遵循已成一場「多重合規的馬拉松」。
美國證券交易委員會(SEC)的新規定要求上市公司在重大資安事件發生後,須在4個工作天內,透過 8-K 文件揭露事件的性質、規模及對公司的影響。顯見資安治理績效的量化,正快速成為評估一家企業價值的標準配備。
最終,企業資安治理的好壞將成為強制揭露、須經過會計師查核的項目,將直接影響企業的股價與商譽。
一位不具名的金融業資安長指出,法規與規範通常只是最低底線,真正關鍵仍在於企業自身的風險控制力度。他認為多數金融機構會依據風險程度調整資安控管強度,風險越高,所需施加的控管力道必須遠高於法規門檻。
法遵為槓桿,打造資安驅動的營運優勢
郭振宗說明,醫療院所必須嚴格遵守個資法(42%)、醫療法與資安法(37%)(見圖 3),但在兼顧資料共享與合規性時,其核心思維是執行資料分級。他指出,如基因這類極高度敏感的資料,原則上不得釋出到外部環境,必須在像是健保署加值中心這類封閉環境執行 AI 訓練。
某面板廠資安長則提到,由於其在歐盟境內設有子公司,需嚴格遵循 GDPR 規範(10%),因而將資料跨境使用列為當前最嚴峻的挑戰。
資安長們普遍面臨的挑戰,與此次問卷結果高度契合,主要包含:人力與工具不足以應對合規要求佔 21%,以及執行各項規定增加營運複雜度佔 19%(見圖 4)。
游政卿強調,CISO 在向董事會溝通資安事項時,不能只談法規要求或技術詞彙,而是要將不合規的風險轉化為可量化的營運風險,從而讓資安和法遵投資成為有效的避險工具。並且對供應鏈採取分級制度:要求高風險供應商(核心廠)須有第三方稽核或認證;對於中風險供應商,透過合約條款約束,並要求填寫資安自評問卷;至於低風險供應商:在合約中納入基本資安條款即可。同時,團隊在系統開發與採購初期就導入「Secure by Design」的概念,把法規要求內建進流程。這樣不僅降低後期修正成本,也讓資安與法遵成為營運日常的一部分。
何全德指出,臺灣「個人資料保護法」是一堂必修課,只要公司有收集客戶資料,就有法律義務善加保護。值得留意的是,法律懲罰重心已從「是否外洩」轉向「是否盡責」。
最後,朱建國建議,即使非資安法適用對象,也可參考其法規內容,因它提供完整且落地的技術性規格,可作為企業制定安全設計準則的明確指引。
面對資安與合規風暴交織的未來,企業唯有將資安從成本中心轉化為信任與競爭力的引擎,才能在風險中創造韌性,在壓力中贏得市場。資安不再只是防線,而是體現商業價值的護城河。
【 2025-2026 CISO Insight 資安調查解析系列文章列表 】
解析系列文章 1: 資安雙面刃 生成式 AI 三大風險與機會
解析系列文章 2:預算是迎戰 AI 與量子風險的主力配置
解析系列文章 3:供應鏈動搖企業防線 資安治理問責全面升級
解析系列文章 4:防範威脅三關鍵:零信任、韌性、IT/OT 防線
解析系列文章 5: 從技術走向治理,CISO 重新定義資安責任邊界
(本文授權非營利轉載,請註明出處:CIO Taiwan)
