文/鄭宜芬
隨著美國國防供應鏈對資安要求日益嚴格,國家中山科學研究院近期完成 CMMC Level 2 驗證,成為國內首家主動申請並接連通過相關驗證的機構,象徵臺灣國防產業正式接軌美國國防資安標準。此次驗證涵蓋無人機與飛彈等關鍵專案,中科院並攜手資策會資安所導入 NIST SP 800-171 等國際規範,強化受控非機密資訊(CUI)防護能力,為臺灣國防、半導體與電子製造供應鏈邁向國際市場奠定基礎。
[ 加入 CIO Taiwan 官方 LINE、Facebook 與 LinkedIn,與全球 CIO 同步獲取精華見解 ]
中科院為取得加入美國國防供應鏈的必要條件,循美國國防授權法(National Defense Authorization Act,NDAA)所涉原則及美國聯邦法規(Code of Federal Regulations,CFR)48CFR、32CFR相關條款,規範國防供應商必須通過CMMC第三方驗證機構(Certified Third-Party Assessment Organization, C3PAO)評鑑,自 2023 年展開「愛國者飛彈系統雷達子天線」驗證,並於 2025 年 11 月獲頒 CMMC Level 2 合格證書。
中科院指出,隨著無人機技術於國防應用日益關鍵,有關飛控、通訊與資料處理多屬受控非機密資訊(Controlled Unclassified Information,CUI),對資安防護要求更為嚴謹。為彰顯前瞻部署與積極接軌國際制度之決心,自 2024 年 7 月起再度申請 CMMC 評鑑,整備過程中,依循美國國家標準暨技術研究院(National Institute of Standard and Technology)NIST SP 800-171 的標準,檢視 110 項資安管理之控制制度和措施,並持續透過內部稽核定期查察各項工作執行情形及加強員工訓練,並結合多階段模擬評鑑與情境演練,經一年多的嚴格評鑑,最終於近期順利通過第三方 C3PAO 評鑑,並刊登美國戰爭部國防產業供應鏈網站。
CMMC 認證分為三等級,中科院表示,自《美國 CMMC 法案》公布後,為國內首家主動申請,以及接連成功通過 Level 2 驗證之機構,充分展現資安治理的卓越能力。此項驗證不僅象徵中科院具備承接美國高階國防專案之實力,更是邁向國際化標準之重要里程碑。
[ 推薦閱讀:國際標準資安治理趨勢,橫向縱向與成熟度量測 ]
推動無人載具與飛彈國際認證
中科院強調,未來將以此二項驗證經驗為基礎,持續推動其它無人載具、飛彈及火工等關鍵技術與研製計畫的國際認證,同時積極協助國防廠商提升資安成熟度,全面強化營業秘密、核心技術及整體供應鏈之防護能量,並與產業夥伴攜手,共同構築安全、可信、永續之國防產業生態,進一步提升國家防衛韌性與國際競爭力。
[ 推薦閱讀:【專訪】漢翔公司資訊處處長方一定 ]
資策會助攻中科院無人機專案通過 CMMC 驗證
面對全球資安威脅情勢升溫,CMMC 成為國際供應鏈的重要門檻。中科院資安中心此次推動及辦理導入制度,委由資策會資安所團隊協助航空所導入,將國際規範轉化成可落實的內部流程,並透過系統化盤點與文件建置,釐清現有資安措施與國際要求之間的差距,同時強化驗證證據的完整性與一致性。除有效縮短驗證準備時程,也降低驗證風險,並提升資安管理的可追溯性與持續維運能力。
資策會表示,資策會資安所長期投入 CMMC 制度研究與推廣,並持續與國際接軌,累積國際資安合規實務經驗,具備推動國際標準在地化導入之能力。同時,資安所亦具備跨標準整合優勢,協助建立一致且可持續的資安治理體系,透過實務導向的輔導方法論與工具機制,涵蓋差距分析、文件建置、證據準備與內部稽核等關鍵流程,大幅提升驗證準備效率。
資策會資安所所長李榮三表示,此案顯示臺灣已具備導入 CMMC 制度的實務能力,相關經驗未來可延伸至半導體、電子製造及航太等產業。未來,資策會資安所將持續協助國內產業推動 CMMC 等相關資安標準導入、發揮技術中介的角色,以先進科技與嚴謹制度落實與民興利的初衷,推動國防與民間產業雙贏共榮,厚植資安實力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
