數發部推動CMMC第三方驗證 助打入美國防供應鏈

美國國防部為強化國防供應鏈資安，推行網路安全成熟度模型驗證（CMMC）計畫，6月正式上路。數發部數產署今天表示，輔導漢翔與其6家供應鏈符合CMMC規範，也推動台灣成立CMMC第三方驗證機構（C3PAO），預計今、明年向美國申請，盼助業者打入美國的國防供應鏈。

數位發展部數位產業署今天舉行「台灣資安產業推動策略」記者會，包括數發部政務次長林宜敬、數產署長林俊秀等出席說明。

林俊秀指出，美中貿易戰帶給台灣資安產業的機會，如今，企業資安成熟度是進入美國國防產業鏈的敲門磚。為確保跟美國國防部簽約的承包商跟分包商都有足夠的資安措施，CMMC（Cybersecurity Maturity Model Certification）規範預計今年6月正式上路，意味業者未來若為採購商、直接跟美國國防部做生意，CMMC合規將是重要門檻。

數產署官員表示，直接第一線要跟美國國防部做生意的廠商須符合CMMC，但對於後端層層供應鏈廠商的規範程度，可能不用到100%。如果台灣廠商可取得CMMC合規，對於打入第一線大廠供應鏈還是有所幫助。

數產署從2023年起，連續2年邀請美方來台辦理CMMC合規訓練營與實地評估作業。林俊秀指出，除了協助台灣培育160名CMMC專業人才外，也輔導漢翔與其6家供應鏈廠商符合CMMC規範，成為台灣國防產業供應鏈合規示範案例。

此外，根據美國分階段規定，明年6月起廠商除了要CMMC合規外，更要進一步取得CMMC第三方驗證。

林俊秀表示，美國目前只有一家在做CMMC第三方驗證，需求量很大。數產署持續跟美國合作，推動台灣成立CMMC第三方驗證機構，預計今、明年會向美國申請，若能成立驗證機構，有助於在地驗證國內廠商，節省廠商所花費時間與成本。

數產署官員指出，台灣籌備單位資策會已經著手推動2到3年，包括稽核人員陸續考取證照、機構技術等都要準備好，台灣若能成立CMMC第三方驗證機構，未來東南亞也有合作機會。不過，後續時程還是要看美方流程與回應。

林宜敬表示，CMMC規範對於資安產業來說，包括認證、輔導、提供資安產品服務都是可能的潛在商機，透過爭取在台灣設立CMMC第三方驗證，希望讓驗證也能成為產業生意。