從布拉格協議到企業韌性重構　地緣政治下的供應鏈資安新戰局

當Cloudflare、微軟、AWS等全球大型雲端服務商在近期出現服務異常，企業決策者開始意識到一個殘酷現實：供應鏈資安風險已不再只是資訊部門的技術問題，而是攸關企業營運存續的戰略議題。安永聯合會計師事務所諮詢服務股份有限公司執行副總經理陳志明在玉山安永科技論壇中指出，地緣政治、技術變遷與駭客攻擊等風險，使得供應鏈韌性議題持續升溫，而安永調查更顯示78%執行長認為供應鏈中斷是未來三年最大風險。

地緣政治重塑供應鏈資安規則

供應鏈資安的戰略化轉折點始於2019年。當年歐盟與北約組織國家在布拉格召開會議，表面討論5G網路部署，實際目的是建立排除華為設備的國際共識。陳志明表示，這場會議催生了美國的Clean Network計畫，要求從手機、基地臺、交換機到線路的整個5G網路生態系統，都不得包含「不可信賴」的中資設備。這標誌著供應鏈管理從商業決策演變為國家安全考量。

川普2.0關稅政策加速了這個趨勢。安永聯合會計師事務所稅務服務部執業會計師吳雅君指出，美國新對等關稅政策自今年8月正式生效後，企業已感受到實質衝擊。她建議企業應積極打造韌性供應鏈，包括運用人工智慧優化關務貿易系統、建立多國生產基地，以及善用首次銷售原則降低關稅成本。

從國家戰略到企業合規壓力

地緣政治競爭迅速轉化為具體的法規要求。美國針對軍工產業推出的網路安全成熟度模型認證計畫(CMMC)，已從川普1.0時期的構想發展至2.0版本正式實施。陳志明透露，該計畫的聯邦採購法規四八條款已於今年7月公布並在60天後生效，要求所有美軍供應鏈廠商必須符合美國國家標準暨技術研究院標準。臺灣已有漢翔航空與中科院取得該認證，顯示本地企業正面臨實質合規壓力。

歐盟方面，網路韌性法案(CRA)、數位營運韌性法案(DORA)等法規陸續上路，要求在歐盟銷售產品或服務的企業遵循供應鏈資安規範。臺灣政府也不落人後，從2019年要求公務機關禁用危害國家資通安全產品，到今年初針對DeepSeek等人工智慧服務發出限用公文，顯示供應鏈資安管理已成為跨國企業必須面對的多重合規挑戰。

企業面臨的三大供應鏈盲點

陳志明在論壇中分享企業常見的供應鏈資安盲點。首先，許多企業僅關注系統開發商，卻忽略2018年臺積電因產線設備異常損失80億元的教訓，顯示營運技術設備供應商同樣是關鍵風險來源。其次，物流、帳單印製等委外服務商的資安事件，如日本無印良品因物流廠商遭勒索軟體攻擊而無法正常接單，證明非資訊類供應商也可能成為破口。第三個盲點是跨部門協作困境。陳志明指出，供應鏈資安強化絕非只是資訊與資安部門的責任，而需要採購、法務、總務等單位共同參與。然而實務上，採購部門常認為資安不是其職責，法務部門則對技術要求缺乏理解，造成供應商評估與合約管理流於形式。

建構供應鏈韌性的實務路徑

面對複雜的風險情境，安永提出系統化的供應鏈資安管理框架。陳志明建議企業首先應全面盤點第三方風險來源，不僅涵蓋資訊服務供應商，也包括雲端服務、社群媒體平臺等所有可能接觸企業資料的第三方。他舉例指出，許多企業透過Line或Facebook與客戶互動，但這些平臺能配合企業資安要求嗎？金融機構正積極與這些重要合作夥伴溝通解決方案。

在合約管理層面，企業應將資安要求明確納入採購合約，定義雙方在資料保護、事件通報、稽核配合等面向的權責。針對證券交易所要求上市櫃公司揭露重大資安事件的規定，陳志明特別提醒，若核心資通系統因供應商服務異常而中斷，企業是否需要發布重大訊息？這類責任歸屬問題必須在合約中預先釐清。

技術控管方面，安永企業管理諮詢服務股份有限公司總經理黃昶勳強調，企業必須突破資訊孤島，提升計畫能力並善用人工智慧，才能打造自主化供應鏈管理。陳志明則建議利用自動化、可視化平臺掌握風險全貌，管理數百家供應商與數千家合格供應商候選名單。同時，企業應積極導入零信任架構與FIDO身分認證機制，這也是美臺在2021年高階資安會議中確立的合作重點。

從被動合規到主動韌性

安永聯合會計師事務所所長傅文芳在論壇中表示，隨著永續發展目標規範、歐盟供應鏈法案及碳關稅加速實施，供應鏈已成為連結營運穩定、風險控制與國際信任的關鍵。企業不應只是被動回應法規要求，而應從地緣政治、政策法規、數位治理、科技應用四個面向，打造橫跨供應商、製造、運輸與資訊系統的整合治理策略。

在人工智慧驅動需求暴增、地緣政治與能源轉型加劇不確定性的當下，供應鏈韌性已不是選項而是企業生存的必要條件。陳志明總結指出，企業應培養敏捷度與預警能力，建立完善的供應鏈資安風險管理框架，並落實供應鏈資安控管措施，強化整體韌性與即時應變能力，方能在充滿變局的全球市場中持續競爭。