Cindy Liu / Marketing Specialist

隨著數位化與雲端服務快速發展，組織營運型態早已不再侷限於單一內部系統。企業普遍同時使用雲端服務、商業應用平台，並與各式外部系統串接。當企業與外部環境的連結日益緊密，「供應鏈」也成了企業資安邊界的一環，只要在任何一個節點出問題，都可能影響企業的營運與資訊安全。

淺談供應鏈穩定之重要性

供應鏈本身的穩定性對企業究竟有多重要？以近期實際案例來說，2025 年 11 月，某國際網路服務商因發生技術異常，而導致多國網路與線上服務暫時中斷，該事件雖非遭受資安攻擊所致，卻因其為供應鏈中的關鍵角色，影響迅速擴大。這顯示了供應鏈的任何失誤，都可能導致中下游企業的營運損失，更遑論更嚴重的供應鏈攻擊。

供應鏈攻擊（Supply Chain Attack）是什麼？

近年的資安威脅出現明顯轉變，所謂供應鏈攻擊（Supply Chain Attack），指的是攻擊者不再直接鎖定及攻擊目標企業，而是從企業信任的第三方來源切入，尤其是透過供應鏈中防護較薄弱的環節，間接滲透企業內部環境。例如，駭客可能入侵軟體的更新伺服器，或開發者常用的軟體平台，把惡意程式藏在看似正常的檔案中。企業人員按照平常流程下載、更新軟體時，往往不會察覺任何異狀，卻在不知不覺中將風險帶進系統。由於攻擊來源合法且隱蔽，供應鏈攻擊也成為近年最難察覺、最具威脅性的資安風險之一。

企業營運新挑戰及供應鏈安全指引

然而，爲維持營運效率與競爭力，企業本來就無法脫離供應鏈體系。從實務角度來看，供應鏈風險無法完全消除，只能透過制度化管理與持續監控加以降低。供應鏈安全的關鍵，不在於是否與外部合作，而在於企業自身與合作夥伴是否具備明確的資安治理與應變機制。因此，企業在選擇供應商時，需要仔細審查潛在合作對象的資安政策和認證，例如是否符合 ISO 27001 等國際標準。

以下提供降低供應鏈風險之選商指引^[i]：

• 釐清採購軟硬體的來源
• 將供應商的資安量能納入採購評估項目
• 供應商是否具有資安團隊
• 針對外部供應廠商進行完善的身份認證與授權
• 遵守最小權限原則
• 除企業本身，也須確認供應商是否有外洩帳密、文件之可能

^[i]參考來源：TWCERT/CC台灣電腦網路危機處理暨協調中心

供應鏈安全：企業進入關鍵合作的必要條件

承上所述，在供應鏈高度互賴的環境下，企業的資安治理能力，已逐漸成為合作關係中的一項基本門檻。當自身成為他人供應鏈的一環時，對方也會從資安治理與風險管理的角度，評估其是否具備合作基礎與長期信任之條件。對供應鏈中的企業而言，資安已不只是自身防護，更是：

• 進入大廠供應鏈的必要條件
• 維繫客戶信任的關鍵
• 爭取國際訂單的基礎
• 支撐企業長期發展與永續經營的核心競爭力

在本篇文章中，我們先從企業營運的角度，認識了供應鏈安全的重要性。無論企業規模大小，只要身處供應鏈體系中，資安治理能力便是企業「選擇」或「被選擇」的重要關鍵。

然而，資安部署並非一蹴可幾，而是需要長期投入與持續優化。下篇文章將聚焦企業在有限資源下，如何循序建立符合供應鏈要求的資安防護能力，並透過穩定的合作夥伴，讓資安真正落地並長期運作。

[i]參考來源：TWCERT/CC台灣電腦網路危機處理暨協調中心