接到歐系車廠的詢價,對方附件裡夾了一份「請提供貴司 TISAX Participant-ID」;或是想切進無人機、航太電子的國防供應鏈,卻在投標資格欄看到「CMMC Level 2」。對許多台灣外銷製造業者而言,這是第一次發現:資安認證已經不是加分項,而是接單的入場券。 沒有它,連報價的資格都沒有。
更急迫的是時程。CMMC 的 48 CFR 最終規則已於 2025-11-10 生效,目前正處於以自評為主的 Phase 1,但 Phase 2 將於 2026-11-10 啟動——涉及受控非機密資訊(CUI)的新國防合約,屆時將強制第三方 C3PAO 認證。 以本文撰稿的 2026 年 6 月底計算,距離「第三方認證成為剛性門檻」只剩幾個月,而 110 項控制的落地往往要數月到一年。這篇文章把 TISAX 與 CMMC 兩條供應鏈資安路徑放在同一張地圖上,幫你判斷該追哪一張、現在該做什麼。
一、為什麼資安認證會變成「接單資格」
供應鏈資安的本質,是買方把風險往上游推。當一家車廠或國防主承包商把設計圖、CUI、客戶資料交給下游供應商,下游一旦外洩,受害的是整條鏈。於是買方(OEM 或美國國防部)乾脆把資安要求綁進採購合約,並要求逐層往下傳遞(flow-down)——你要接我的單,先證明你守得住。
這套邏輯在兩個出口戰場上分別長成了 TISAX 與 CMMC:
- 車用(TISAX):歐系車廠強制要求供應鏈取得 TISAX 標章與 Participant-ID,才能交換資料與接單。台灣是全球車用零組件供應鏈的重鎮,承接歐系訂單的 Tier-1/Tier-2 車電與零組件廠,幾乎都會被觸發。
- 國防(CMMC):想進入美國國防工業基礎(DIB)、處理 FCI/CUI 的台灣廠商(無人機、軍工、航太電子),會被 CMMC 觸發。這不是抽象的政策——漢翔(AIDC)已於 2025-05-29 成為全台首家取得 CMMC Level 2 的廠商,中科院(CSIST)緊接著於 2025-11-05 獲頒 Level 2。
兩條路徑都把資安從「IT 部門的內務」變成「業務部門的成敗」。這也是為什麼,合規不能只當成一次性的稽核專案,而要當成可被治理、可被維運的長期架構——這正是和供應鏈攻擊防禦同一套思維。
二、TISAX:歐系車用供應鏈的通行證
TISAX(Trusted Information Security Assessment Exchange)由 ENX Association 代表德國汽車工業協會(VDA)營運,建立在 VDA ISA 問卷之上。VDA ISA 以 ISO/IEC 27001 為基礎,但額外加上汽車業專屬的兩塊:原型保護(prototype protection) 與資料保護(GDPR) 要求。
三個評估等級(Assessment Level)
| 等級 | 稽核方式 | 對應保護需求 | 適用情境 |
|---|---|---|---|
| AL1 | 純自評 | normal | OEM 通常不接受 |
| AL2 | 遠端稽核 | high | 多數供應商採用 |
| AL3 | 現場稽核 | very high | 最高保護需求/原型保護 |
歐系車廠多要求 AL2 起跳;一旦涉及設計圖、未上市車款等原型機密,往往拉到 AL3。
版本與效期的兩個關鍵
- 現行強制版本是 VDA ISA 6.0.3。 v6.0 於 2023-10-16 發布,自 2024-04-01 起對所有新委託的評估強制(取代 v5.1,過渡期至 2024-09-30 結束),最新修訂 6.0.3 為 2024 年釋出、截至 2026 年 6 月仍是現行版本。若你手上的顧問資料還在引用 VDA ISA 5,那份資料已經過期。 v6 系列特別強化了事件管理、危機管理、營運持續(BCM)、備份還原,並全面改寫資料保護目錄。
- TISAX 標章效期 3 年,且沒有 ISO 27001 那種年度監督稽核。 這是與 ISO 27001 的一大差異——拿到後三年內不需要每年被稽核,但也意味著你得靠自己的維運紀律,撐住這三年的控制有效性。
已經有 ISO 27001 怎麼辦?好消息是 VDA ISA 本就以 ISO/IEC 27001 為基礎,已具 ISO 27001 者能大幅縮短 TISAX 準備期;壞消息是兩者制度上並無相互承認、不能合併稽核,因為 ISO 27001 著重公司整體風險管理,TISAX 著重供應鏈與原型保護視角。把 ISO 27001 當地基、TISAX 當加蓋,是最務實的做法——若你正要從頭建立資安管理體系,可先參考 ISO 27001:2022 導入實務。
三、CMMC:美國國防供應鏈的倒數計時
CMMC(Cybersecurity Maturity Model Certification)是美國國防部用來確保 DIB 供應鏈守得住 FCI/CUI 的認證制度。它的最終規則時程,是本文時效性最強的部分。
法規時程:已經上路,不是草案
CMMC 的 48 CFR 最終規則於 2025-09-10 刊登聯邦公報、2025-11-10 正式生效,並透過 DFARS 條款 252.204-7021 把 CMMC 納入合約。導入採四階段推進,每階段約一年:
| 階段 | 起算 | 重點 |
|---|---|---|
| Phase 1 | 2025-11-10 至 2026-11-09 | Level 1/2 自評,估涵蓋約 65% 的 DIB 廠商 |
| Phase 2 | 2026-11-10 起 | Level 2 第三方 C3PAO 認證強制 |
| Phase 3 | 2027-11-10 起 | 納入 Level 3 DIBCAC 評估 |
| Phase 4 | 2028-11-10 起 | 全面適用 |
承包商須在 SPRS(供應商績效風險系統)提交分數並做年度肯認,並向分包商逐層 flow-down。
倒數提醒(asOf 2026 年 6 月):Phase 1 已 live,合約官在招標出現時就會於 SPRS 驗證承包商的 CMMC 狀態,狀態不符即喪失得標資格。而 Phase 2 自 2026-11-10 起,涉及 CUI 的新合約強制 Level 2 第三方 C3PAO 認證——距今只剩幾個月。任何還在說「CMMC 尚在規劃/草案階段」的舊內容,都已經過時。
三個等級與對應控制
- Level 1(自評,15 項):聯邦合約資訊(FCI)的基本防護。
- Level 2(CUI,110 項控制):對應 NIST SP 800-171,可自評或由 C3PAO 認證——Phase 2 後涉 CUI 者強制走 C3PAO。
- Level 3(高敏感 CUI):對應 NIST SP 800-172,由政府 DIBCAC 評估。
多數想接國防單的台廠,目標會落在 Level 2 的 110 項 NIST SP 800-171 控制。中科院在取得 Level 2 的過程中,正是導入 NIST SP 800-171、逐項審視 110 項控制措施,並從愛國者飛彈系統雷達次天線專案啟動驗證、再擴及無人載具專案。
四、TISAX vs CMMC:一張對照表看懂差異
| 面向 | TISAX | CMMC |
|---|---|---|
| 主導方 | ENX Association/德國 VDA | 美國國防部(DoD) |
| 買方 | 歐系車廠(OEM) | 美國國防部/DIB 供應鏈 |
| 適用產業 | 車用零組件、車電 | 航太、軍工、無人機 |
| 框架基礎 | VDA ISA(以 ISO 27001 為底) | NIST SP 800-171/800-172 |
| 等級 | AL1/AL2/AL3 | Level 1/2/3 |
| 第三方認證 | AL2/AL3 須稽核機構 | Level 2(Phase 2 後)須 C3PAO |
| 標章/效期 | 標章效期 3 年、無年度監督稽核 | SPRS 提交+年度肯認 |
| 強制時點 | VDA ISA 6.0.3 現行(v6 自 2024-04-01 起強制) | 48 CFR 2025-11-10 生效、Phase 2 於 2026-11-10 強制 C3PAO |
| 觸發本質 | 接歐系車廠訂單 | 進美國國防供應鏈 |
兩者形式不同,但底層的安全控制高度重疊——身分與存取管理、端點防護、事件偵測與回應、營運持續與備份還原,幾乎是兩套框架的共同骨幹。這意味著一旦把這些控制建好,無論面對哪一張認證,你都已經贏在地基。
五、把控制項落地:從「過稽核」到「真的守得住」
合規最常見的失敗,是把它做成一份「為了過稽核」的文件,稽核當天演一場,平時架構照舊空著。真正的供應鏈資安,是把控制項變成每天在運轉的架構。以下把 NIST SP 800-171 的控制族群與 VDA ISA 6 的高保護需求,對應到可實際交付與維運的技術。
| 控制需求(NIST 800-171/VDA ISA 6 共通) | 落地技術 |
|---|---|
| 存取控制、最小權限、識別與鑑別 | 零信任(ZTNA/SASE)、MFA、特權存取管理(PAM) |
| 端點與惡意程式防護 | EDR/XDR |
| 稽核與可問責、事件偵測與回應 | SIEM/SOC、集中日誌 |
| 系統與通訊保護、網路分段 | 高可用網路、分段、SASE |
| 營運持續、備份還原(VDA ISA 6 強化、CMMC 媒體保護) | 企業儲存備份、異地 DR、BCP |
| 維護、組態管理、系統完整性 | IT 維運監控、年度維運 SLA |
換句話說,TISAX 與 CMMC 要求的,正好是現代企業資安該有的樣子:零信任架構管住「誰能存取什麼」,EDR/XDR 與 SIEM 守住「出事能不能及早發現」,備份 DR 確保「真的被攻破也能還原」。製造業還有一塊不能漏——OT/生產現場的資安。產線設備、PLC、SCADA 往往不在傳統 IT 的監控視野內,卻是供應鏈攻擊的軟肋,這部分可延伸參考製造業 OT/ICS 資安。
值得一提的是,漢翔在取得 CMMC Level 2 後,進一步建立「供應鏈資訊安全評級系統」,要求其供應商符合一套控制要求、依合作深度分級——這正是 flow-down 的具體展現。今天你是被車廠或主承包商要求的下游,明天你可能就是要求自己供應商的上游。 把控制建成可治理的架構,而非一次性專案,才撐得起這種雙向要求。
六、決策框架:四步判斷你該怎麼走
面對 TISAX/CMMC,建議用以下四步收斂行動,而不是一頭栽進顧問報價單:
- 判斷觸發路徑——你的買方是誰?
- 訂單來自歐系車廠 → 走 TISAX,先問對方要求 AL2 還是 AL3。
- 要進美國國防供應鏈、會碰 FCI/CUI → 走 CMMC,先確認目標是 Level 1 還是 Level 2。
- 兩邊都接 → 兩張都要,但先盤點重疊控制,一次把共通骨幹建好。
- 盤點現況落差(gap assessment)。 對照 110 項 NIST SP 800-171 控制或 VDA ISA 問卷,逐項標出「已有/部分/缺」。已有 ISO 27001 者可大幅折抵。
- 排技術落地與補強。 把缺口對應到上一節的技術表——零信任、EDR/XDR、SIEM/SOC、PAM、備份 DR——排出導入順序與預算。優先補「存取控制」與「事件偵測」這兩個最常被稽核打回票的族群。
- 準備認證與長期維運。 找驗證機構(TISAX 稽核機構/CMMC C3PAO)走認證;同時把控制交給可維運的團隊,撐住 TISAX 三年效期與 CMMC 年度肯認。
三個避雷重點:(1)沒有任何單位能「保證發證」——發證是獨立驗證機構的權責,宣稱包過的要特別小心。(2)別只做文件、不做架構,稽核會看實際的控制運作,演一天撐不過 Phase 2 的 C3PAO。(3)把效期當起點不是終點——TISAX 三年無年度監督稽核,反而更需要自己的維運紀律維持控制有效。
七、凱茂能幫上什麼——以及不能做什麼
先把界線講清楚:凱茂資訊不是 TISAX 稽核機構,也不是 CMMC 的 C3PAO,無法為您發證。 發證請找獨立驗證機構。
凱茂的角色,是協助客戶達到控制項要求的技術導入與維運夥伴。從落差盤點開始,把 NIST SP 800-171 的 110 項控制、TISAX 的高保護需求,落地成真正在運轉的架構:零信任(ZTNA/SASE/EDR/XDR/SIEM/SOC/PAM)、企業儲存備份與異地 DR、高可用網路、機房建置與年度維運 SLA、IT 維運監控。我們協助客戶導入 ISO 27001/ISO 42001(為協助客戶導入,非凱茂自身持有認證),這套體系正好是 TISAX 的共同地基。整合 Trend Micro、Nutanix、Acronis、WatchGuard 等原廠技術,把合規要求變成你天天守得住的防線。
對台中與中部的精密機械、車用、航太電子聚落,凱茂提供在地、可現場拜訪的服務——這也是台中製造業 IT 維運長期經營的客群。若你的合規門檻同時牽動算力與 AI 基礎建設,也可一併參考製造業 AI 基礎建設的規劃。
如果你剛收到客戶的 TISAX/CMMC 要求、或正在評估該不該投入,先別急著簽顧問合約。歡迎與我們聊聊現況——從一次落差盤點開始,把「為了過稽核」變成「真的守得住」的可治理架構,趕在 Phase 2 的倒數結束前站穩接單資格。