因應美國國防部於今年11月10日正式將網路安全成熟度模型驗證（CMMC）2.0全面納入國防採購的強制要求，全球供應鏈已明確轉向以「可提出具體證據的資安能力」作為合作門檻。這項變革不僅重塑國防產業採購邏輯，也對航太、高端製造與資訊服務等跨國供應鏈產生連鎖效應。看準趨勢，資訊工業策進會資安所積極投入輔導能量，協助臺灣企業建立可追溯、可稽核、可被國際市場驗證的資安治理體系。

在資策會資安所的專業輔導下，漢翔航空工業成功通過CMMC Level 2驗證，成為國內率先具備完整證據鏈與制度化資安能力的代表案例。此一成果不僅符合美國國防採購的實質條款要求，更為臺灣產業建立直接進入全球高端供應鏈的先行優勢，顯示資安已從「成本支出」轉化為「市場通行證」。

相較過往以文件與宣示為主的合規方式，CMMC 2.0強調企業必須提出實際運作的控管流程、操作紀錄與風險追蹤證據。資策會指出，許多企業雖能理解規範文字，卻不清楚如何落地，甚至擔憂資安投資成為無底洞。為此，資策會資安所採取實務導向策略，從規範解讀、流程設計到證據留存，協助企業建置流程化、制度化與證據化的治理架構，使資安行為「留痕可查、風險可視、流程可稽」，真正達到外部驗證所需的成熟度。

輔導成效已逐步擴散。除漢翔外，億威電子與攸泰科技在導入CMMC合規作業後，企業內部操作紀錄的可追溯性與跨部門資訊一致性明顯提升，與國際客戶的溝通成本大幅下降，並成功將資安投入轉化為被信任、被納入關鍵供應鏈名單的實質競爭力。

資策會資安所所長李榮三指出，在美國強化供應鏈安全、各國推動零信任架構的趨勢下，缺乏可證明資安能力的企業，未來不僅難以參與國防訂單，也可能在跨國製造、資訊服務與航太合作中被排除。CMMC供應鏈保護規範的本質並非單一證照，而是一套可被市場驗證的信任機制。當企業能以制度化方式呈現流程、證據與風險控管，正是全球供應鏈最重視的能力。

未來全球供應鏈對「可證明、可追溯」的資安要求只會持續提高。資策會預計於2026年3~4月開放新一波CMMC輔導遴選，提供專業顧問、訓練師資與模擬稽核流程，協助更多企業在制度、紀錄與治理能力方面達到國際標準，完善臺灣資安生態鏈，搶占新一輪全球供應鏈商機。