• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CISO精選

供應鏈動搖企業防線 資安治理問責全面升級

2025-12-01
分類 : CISO精選, 趨勢分析
0
A A
0
供應鏈動搖企業防線 資安治理問責全面升級

2025-2026 CISO Insight 資安調查解析-3

資安風險已從單一技術挑戰,演變為橫跨整個數位生態系的系統性壓力。全球監管機構正同步推動強制問責,將最終治理責任正式推向企業董事會。面對這種高度互聯的供應鏈風險,企業必須重塑防禦邏輯,將供應鏈韌性視為核心治理架構,以穩固企業的生存根基。

文/明雲青


網路安全戰場已明確從企業防火牆邊界,轉向高度分散的供應鏈節點。前資通安全研究院院長何全德指出,駭客偏好攻擊資安防護最薄弱的中小企業,因其投報率高、滲透成本低。使得大型企業最致命的破口,往往來自一個防禦鬆懈的小型外部供應商。

內容目錄 隱藏
2025-2026 CISO Insight 資安調查解析-3
重構防線思維,供應鏈成資安韌性支柱
法規問責升溫,資安治理直指董事會
法遵為槓桿,打造資安驅動的營運優勢
【立即下載《台灣資安長調查專家解析》完整版】
【 2025-2026 CISO Insight 資安調查解析系列文章列表 】

[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]

合勤投資控股資安長游政卿指出,因供應商資安成熟度落差極大(33%),實務上難以用單一標準管理上千家合作廠商(15%)。另外,20% 組織難以確認供應商是否有確實遵守要求(見圖 1)。

Image

這些挑戰使供應鏈成為最大障礙,全球54%的大型組織亦持此看法(出自 WEF《Global Cybersecurity Outlook 2025》報告)。

何全德強調,駭客可輕易入侵防禦鬆懈的小型供應商,使之成為大型企業防線致命破口,因為一旦協力夥伴被攻陷,再堅固的內部防線也形同虛設。

重構防線思維,供應鏈成資安韌性支柱

為降低供應鏈資安風險,22% 組織定期稽核及演練、17% 遵守產業標準並共同遵守、12% 提升第三方依存關係的可視性(見圖 2)。

Image

遠傳電信副總經理暨資安長朱建國指出,供應鏈資安策略須因應不同產業情境與供應商特性進行調整。在產品供應商眾多的成熟市場中,甲方若未明確定義資安規格,將無法有效落實風險控管。

漢翔航空工業資訊處處長方一定表示,對於航太高科技製造業而言,第三方認證已是進入市場的基本門檻。漢翔透過開發供應鏈資安評級系統(SISAS)輔導下游廠商,將合規工作轉化為產業服務,以提升整體生態系的資安治理能力。

某面板廠資安長指出,公司對供應鏈的管理策略,先從自評問卷與第三方稽核起步,並未直接套用合約條款,因合約必須依據供應商能力彈性制定。

臺北榮民總醫院資訊室主任郭振宗補充,在實際供應鏈審查中,除合約條款與自評問卷外,院方也會在履約過程抽查曾發生資安事件的供應商,確保防護完整性。

何全德強調,CISO 必須在合約中明訂對委外廠商的資安稽核權,因現行法規已將 CISO 列為供應鏈資安事故的連帶責任人。這屬於責任延伸,而非單純風險轉移。多位資安長一致認為,集體防禦已不再是可選的選項,而是保障自身核心生存的重要措施。

法規問責升溫,資安治理直指董事會

全球監管機構正同步推動資安治理的透明化與公開化。游政卿形容,對全球佈局的跨國企業而言,法規遵循已成一場「多重合規的馬拉松」。

美國證券交易委員會(SEC)的新規定要求上市公司在重大資安事件發生後,須在4個工作天內,透過 8-K 文件揭露事件的性質、規模及對公司的影響。顯見資安治理績效的量化,正快速成為評估一家企業價值的標準配備。

最終,企業資安治理的好壞將成為強制揭露、須經過會計師查核的項目,將直接影響企業的股價與商譽。

一位不具名的金融業資安長指出,法規與規範通常只是最低底線,真正關鍵仍在於企業自身的風險控制力度。他認為多數金融機構會依據風險程度調整資安控管強度,風險越高,所需施加的控管力道必須遠高於法規門檻。

法遵為槓桿,打造資安驅動的營運優勢

郭振宗說明,醫療院所必須嚴格遵守個資法(42%)、醫療法與資安法(37%)(見圖 3),但在兼顧資料共享與合規性時,其核心思維是執行資料分級。他指出,如基因這類極高度敏感的資料,原則上不得釋出到外部環境,必須在像是健保署加值中心這類封閉環境執行 AI 訓練。

Image

某面板廠資安長則提到,由於其在歐盟境內設有子公司,需嚴格遵循 GDPR 規範(10%),因而將資料跨境使用列為當前最嚴峻的挑戰。

資安長們普遍面臨的挑戰,與此次問卷結果高度契合,主要包含:人力與工具不足以應對合規要求佔 21%,以及執行各項規定增加營運複雜度佔 19%(見圖 4)。

Image

游政卿強調,CISO 在向董事會溝通資安事項時,不能只談法規要求或技術詞彙,而是要將不合規的風險轉化為可量化的營運風險,從而讓資安和法遵投資成為有效的避險工具。並且對供應鏈採取分級制度:要求高風險供應商(核心廠)須有第三方稽核或認證;對於中風險供應商,透過合約條款約束,並要求填寫資安自評問卷;至於低風險供應商:在合約中納入基本資安條款即可。同時,團隊在系統開發與採購初期就導入「Secure by Design」的概念,把法規要求內建進流程。這樣不僅降低後期修正成本,也讓資安與法遵成為營運日常的一部分。

何全德指出,臺灣「個人資料保護法」是一堂必修課,只要公司有收集客戶資料,就有法律義務善加保護。值得留意的是,法律懲罰重心已從「是否外洩」轉向「是否盡責」。

最後,朱建國建議,即使非資安法適用對象,也可參考其法規內容,因它提供完整且落地的技術性規格,可作為企業制定安全設計準則的明確指引。

面對資安與合規風暴交織的未來,企業唯有將資安從成本中心轉化為信任與競爭力的引擎,才能在風險中創造韌性,在壓力中贏得市場。資安不再只是防線,而是體現商業價值的護城河。

【立即下載《台灣資安長調查專家解析》完整版】

【 2025-2026 CISO Insight 資安調查解析系列文章列表 】

解析系列文章 1: 資安雙面刃 生成式 AI 三大風險與機會

解析系列文章 2:迎戰 AI 與量子風險 預算是主力配置

解析系列文章 3:供應鏈動搖企業防線 資安治理問責全面升級

解析系列文章 4:防範威脅三關鍵:零信任、韌性、IT/OT 防線

解析系列文章 5: 從技術走向治理,CISO 重新定義資安責任邊界


(本文授權非營利轉載,請註明出處:CIO Taiwan)

Image 271
標籤: 資訊安全
上一篇文章

迎戰 AI 與量子風險 預算是主力配置

下一篇文章

防範威脅三關鍵:零信任、韌性、IT/OT 防線

相關文章

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題
CISO精選

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

2026-07-07
AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊
CISO精選

AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊

2026-07-04
資安長必須能夠回答軟體供應鏈攻擊的五個問題
CISO精選

剖析 Miasma 蠕蟲對 AI 供應鏈的系統性打擊與防禦

2026-06-17
下一篇文章
防範威脅三關鍵:零信任、韌性、IT/OT 防線

防範威脅三關鍵:零信任、韌性、IT/OT 防線

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC
  • Dynatrace以確定性AI建立信任,驅動代理自主維運
  • Al Agent 治理 萬里雲以 Apigee 築起零信任防線
  • Confluent數據驅動AI落地 偉康成就金融智能樞紐
  • 突破預算枷鎖 萬里雲推 Self-Funding 戰略轉型

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

剖析 Miasma 蠕蟲對 AI 供應鏈的系統性打擊與防禦

編譯/Frances 短短一個月內(2026 年 5 月至 6 月),全球開源與

LOINC 標準上路 衛福部完成 HIS、LIS 介接驗證

整理/鄭宜芬 為解決臺灣醫療院所長期以來檢驗資料格式不一、難以互通的困境,衛生福

【影】從 AI 照護到全球布局 工研院串聯生醫生態系

整理/鄭宜芬 在高齡化、少子化與醫護人力短缺三大挑戰交織下,醫療產業面臨前所未有

全球 7 萬台 Fortinet 疑憑證外洩 資安署籲進行三大緊急防禦

整理/鄭宜芬 數位發展部資通安全署19日示警,威脅情報平台 InfoSteale

邁向 AI 優先企業 Gartner:資料與分析成企業新關鍵競爭力

整理/鄭宜芬 Gartner預測,2030 年有逾十分之一企業轉型為 AI 優先

1d11_1

Harness Engineering 與 FDE 崛起 落實 AI 轉型

企業 AI 落地進入治理時代 當幻覺風險、資料外洩、影子 AI 與治理缺口逐漸浮

量子風險升至董事會層級 金管會揭 PQC 遷移指引七大策略

整理/鄭宜芬 為協助金融機構因應量子運算技術發展可能帶來之資安風險,金融監督管理

【專訪】毛寶資訊管理中心經理呂金霙

善用 AI 掌握客戶 玩出智慧化家事 「AI 不是工具,而是生活文化。」毛寶在臺

【專訪】振生半導體執行長張振豐

Root of Trust新戰略 迎戰量子安全新世代 生成式 AI 加速落地、智

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音