從合規到競爭力：S-15 供應鏈資安攻防戰

作者：華宇企管-商研部

當 ESG 評鑑將資安列為「社會責任」，台灣企業正面臨一場無法迴避的供應鏈體檢。

一家工廠的警示

2024 年底，一家台灣中型電子零組件廠的採購主管收到一封來自大客戶的信。信中語氣平和，卻字字千金：「依據我方 115 年度 ESG 供應商管理新規，請貴司於 60 天內提交資安問卷及改善計畫，否則將重新評估合作關係。」

這家工廠沒有資安長，IT 人員只有兩位，平日負責維護 ERP 系統已是極限。面對密密麻麻的資安要求，負責人只說了一句話：「我們不知道從哪裡開始。」而這樣的場景，正在台灣數以千計的供應商中悄悄上演。

一個指標，引爆整條供應鏈

2025 年，台灣證券交易所正式將「公司治理評鑑」更名為「ESG 評鑑」，啟動第一屆全新指標體系。在所有新增項目中，S-15：強化供應商在資訊安全與隱私權保護的規範要求，成為業界討論最熱烈的一項。

這不只是名稱的更迭。它代表一個根本性的邏輯轉變：資安，不再是 IT 部門的技術課題，而是企業治理的永續責任。

S-15 的核心要求具備「穿透性」——受評企業不僅要自身合規，更要將防護網覆蓋至整個供應鏈。換言之，你的資安實力，取決於你最脆弱的那家供應商。這個邏輯，讓許多企業高層第一次感到坐立不安。

壓力，從兩個方向同時夾擊

S-15 製造了一個雙重壓力結構，上下游皆無法置身事外。對受評企業而言，挑戰在於規模與複雜度。一家中型製造業者，供應商名單動輒三、五百家，背景迥異、規模不一。如何對這些廠商進行有效稽核，同時不拖垮自身行政資源，是一道現實難題。

對供應商（尤其是中小企業）而言，這更像是一場生存考驗。資安合規能力，正快速成為進入供應鏈的「門票」。不達標者，面臨的不是罰款，而是直接被剔除出名單的市場風險。

「合規」，正在成為新的競爭門檻。

四道防線：從被動填表到主動治理

面對 S-15，簽署保密協議（NDA）只是起點，遠遠不夠。真正有競爭力的企業，正在建立一套系統性的供應鏈資安治理架構。

第一道防線：供應商風險分級 並非所有供應商的風險都相同。企業應根據廠商接觸敏感資料的程度（研發數據、客戶個資）與營運重要性，建立高、中、低風險分級制度，配以差異化的稽核頻率與要求。把資源集中在刀口上，才是務實之道。

第二道防線：標準化與數位化揭露 善用證交所 ESG 數位平台的架構，以標準化問卷取代各自為政的文件往來。積極推動供應商取得 ISO 27001 等國際認證，透過第三方驗證，一次性解決多客戶重複稽核的成本浪費。

第三道防線：隱私權融入產品設計 S-15 特別點名隱私權保護。企業應協助供應商將個資保護邏輯在開發階段就納入產品設計，而非事後補救。從資料傳輸、儲存到銷毀，每一個環節都需符合法規要求。這正是國際間盛行的「Privacy by Design」精神。

第四道防線：建立聯合防禦生態系 資安不應是懲罰，而是賦能。領先企業已開始舉辦「供應商資安日」、提供輔導資源，將資安能力視為整體供應鏈韌性的投資。當你的供應商更強，你也更安全。 這在評鑑中，也是最具說服力的加分敘事。

時間窗口：留給企業的只剩這些

115 年度評鑑的數據統計，涵蓋前一年度的實際作為。這意味著，布局必須從現在開始。

• 2025 上半年：盤點供應商清單，完成風險分級；檢視採購合約，補強資安與隱私保護條款。
• 2025 下半年：發布「供應商資安行為準則」；對高風險廠商啟動稽核，要求限期改善。
• 2026 年初：彙整全年管理成效（稽核完成率、改善達成率），納入永續報告書，具體回應 S-15 要求。
• 2026 年後：依評鑑回饋滾動優化，將供應鏈資安管理機制常態化、制度化。

留給企業的視窗，比想像中更窄。

資安，是這個時代最昂貴的信任

S-15 的真正意義，不在排行榜上的分數，而在於它迫使企業正視一個長期被忽略的事實：在數位供應鏈時代，信任是有邊界的，而邊界的維護需要成本與制度。提早建立這套制度的企業，將在客戶眼中成為「值得信賴的夥伴」；而那些仍在等待觀望的企業，終將在某一次資安事件後，付出遠比合規更高昂的代價。當資安成為進入國際供應鏈的標準配備，佈局的時間點，決定你是領跑者，還是追趕者。

本文涉及指標內容以臺灣證券交易所 ESG 評鑑公告為準，企業應隨時關注最新官方說明。