【輔導遴選申請】115年零信任物聯網資安防護推動計畫企業輔導遴選申請

首頁

最新消息

2026-04-02

115年零信任物聯網資安防護推動計畫
企業輔導遴選辦法暨申請須知

一、目的

美國國防部為提升國防工業供應鏈的資通安全防護能力，制定「網路安全成熟度模型驗證」(Cybersecurity Maturity Model Certification, CMMC)制度，以確保供應鏈符合相關資安合規標準。

因應國際資安規範趨勢，並強化我國產業資安防護能力與國際競爭力，本年度「零信任物聯網資安防護推動計畫」，協助具備合規需求的臺灣供應鏈業者導入資安管理機制，逐步提升其資安治理能力與合規成熟度。

為有效運用計畫資源並提升整體輔導效益，特訂定本遴選辦法，依據申請企業的參與意願及遴選標準進行審查，以遴選適合的企業納入本計畫輔導。

二、申請對象及資格

本計畫受理符合下列條件之企業申請：

(一)美國國防供應鏈之供應商

指已為美國國防產業（Defense Industrial Base, DIB）體系成員，實際參與美國國防部（Department of Defense, DoD）相關產品或服務供應，並承接依據《聯邦採購條例》（FAR）或《國防聯邦採購條例補充文件》（DFARS）辦理之合約者。申請時須提供美國商業與政府實體識別碼（CAGE Code）等相關佐證資料。

(二)有意進入美國國防產業之企業

係指尚未加入美國國防產業（Defense Industrial Base, DIB）供應鏈體系，但有意成為潛在供應商，並規劃導入網路安全成熟度模型驗證（Cybersecurity Maturity Model Certification, CMMC），以符合美國國防部(DoD)資安規範之業者。

三、申請資格

(一) 申請企業應為依中華民國法律設立，並於本國依法辦理公司登記或商業登記，具備合法營業登記及稅籍之公司或法人組織。其負責人及主要股東應為中華民國國民。

(二) 申請企業不得為中國大陸地區（包括香港及澳門）投資人直接或間接投資、控制、持有股份或參與經營之企業，且不得受其資金、技術、管理或其他實質影響。企業股權結構應符合我國相關投資審查法規之規定，不得涉及陸資成分，並應配合提供相關佐證資料，以供審查。

(三) 曾接受本計畫輔導資源之企業，如需再次申請，不得重複申請同一等級之輔導。

四、申請辦法

(一) 申請企業透過資策會iEvent線上系統完成報名申請，並填寫相關申請資料。(線上申請網址：https://ievents.iii.org.tw/EventS.aspx?t=0&id=3153 。

(二) 企業於申請時，應勾選欲申請之輔導類別「Level 1 或 Level 2」，僅限單一選擇，不得複選。

(三) 企業完成報名並收到通知信後，應於報名截止日前（4月23日下午5點前）以電子郵件方式提供下列資料。

1. 申請簡報（PDF檔）

2. 相關佐證資料（如資安相關認證、國際合作或供應鏈證明文件等）

(四) 申請簡報內容應包含以下項目：

1. 公司基本介紹（含主要業務、產品或服務概況）

2. 與美國市場或美國國防部(DoD)供應鏈之關聯性（如合作對象、供應鏈角色或潛在業務機會等）

3. 導入 CMMC 的需求與動機說明

4. 擬輔導CMMC之產品及其範圍(從接單至出貨之完整流程)

5. 預計投入的資源（如人力、組織單位或相關配合機制）

6. 目前企業資安管理現況與相關制度說明

(五) 申請企業於申請資料中如標註「提供佐證文件」，可檢附相關資安認證資料（例如ISO/IEC 27001）、國防部列管軍品企業資格，或其他與供應鏈相關之證明文件等，計畫執行單位將於收件後進行文件確認作業，並於評選會議前提供委員參考，作為酌予加分之依據。

五、遴選流程

(一) 申請受理：申請企業應於公告期間完成申請程序，並依規定填具申請表及檢附相關申請資料。

(二) 資格審查：由計畫執行單位就申請資料之『完整性』及『申請資格』條件進行審查，經審查資料不完整者或不符合資格，將不另行通知後續相關事宜。

(三) 企業簡報：

1. 計畫執行單位將通知申請資料完整且符合資格之企業參與簡報審查，並依企業簡報內容及所提供之相關佐證資料，進行綜合評估。

2. 每家業者簡報時間為10分鐘，最後 2 分鐘（例如 8 分鐘時）會有短鈴提示結束。

3. 問答時間：簡報後進行委員提問及企業回答應於10分鐘內。

(四) 遴選會議：

1. 預計邀請具資訊安全、資安治理及產業供應鏈管理等領域之專家學者約5人，擔任本計畫遴選委員。

2. 會議審查：由本計畫執行單位召開遴選會議，依申請企業所提之書面資料及簡報內容進行審查（採現場評比方式，由企業進行現場或線上簡報）。

3. 遴選會議將依企業申請之CMMC 等級（Level 1 或 Level 2）進行分組審查。

4. 遴選決議：由遴選委員依據評分標準進行評審，並經會議共識決議，遴選符合本計畫輔導目標之企業，預計選出Level 1正取7家、備取5家；Level 2正取2家、備取3家。

5. 結果通知：經遴選會議決議後，提報數位產業署核定審查結果，並以正式公文及電子郵件通知各申請企業。

六、執行階段

(一) 申請企業應於接獲核准之正式公文或電子郵件通知後，回復參與本計畫之輔導意願。

(二) 本輔導計畫原則上不得申請展延或變更；如因故需中止執行，申請企業應以書面來函提出申請，並檢附停止報告及受輔導現況說明文件。

序	評分構面	評分項目	說明	權重
1	產業與業務關聯性	與美國市場/DoD供應鏈關聯程度	是否具備美國市場客戶、已有或明確規劃進入DIB供應鏈（實際訂單、合作、潛在機會）在產業供應鏈發展機會	20%
2	導入必要性與動機	導入CMMC之需求強度	是否具備實際合規壓力或明確策略需求（非僅概念性）	15%
3	輔導範圍合理性	CMMC輔導範圍與流程完整性	輔導CMMC之產品或業務範圍之可行性，是否明確界定產品/系統範圍，並描述從接單至出貨流程	20%
4	組織與資源投入	人力與組織支持程度	是否有專責單位、管理層支持與跨部門配合機制	15%
5	資安成熟度現況	現有資安制度與管理能力	包含既有資安管理制度、是否已有制度基礎（如ISO 27001、資安政策、帳號管理等）	20%
6	簡報完整性與可行性	資料品質與執行可行性	簡報內容清楚、邏輯完整，具體可執行性高	10%

七、遴選標準

序評分構面評分項目說明權重

1 產業與業務關聯性與美國市場/DoD供應鏈關聯程度是否具備美國市場客戶、已有或明確規劃進入DIB供應鏈（實際訂單、合作、潛在機會）在產業供應鏈發展機會 20%

2 導入必要性與動機導入CMMC之需求強度是否具備實際合規壓力或明確策略需求（非僅概念性） 15%

3 輔導範圍合理性 CMMC輔導範圍與流程完整性輔導CMMC之產品或業務範圍之可行性，是否明確界定產品/系統範圍，並描述從接單至出貨流程 20%

4 組織與資源投入人力與組織支持程度是否有專責單位、管理層支持與跨部門配合機制 15%

5 資安成熟度現況現有資安制度與管理能力包含既有資安管理制度、是否已有制度基礎（如ISO 27001、資安政策、帳號管理等） 20%

6 簡報完整性與可行性資料品質與執行可行性簡報內容清楚、邏輯完整，具體可執行性高 10%

八、入選企業獲得輔導資源

入選Level 1或Level 2輔導計畫之企業，將依其申請類別獲得本計畫提供之輔導資源如下：

(一) CMMC Level 1受輔導企業

1. 提供FAR clause 52.204-21之15項資安控制措施輔導諮詢與輔導。

2. 提供計畫合規課程（包含輔導準備要領等）。

3. 提供輔導報告(含專案會議紀錄摘要、自評表控制措施完成度分析及改善建議等)。

4. 於提交輔導報告後，提供2次後續執行諮詢服務。

(二) CMMC Level 2受輔導企業

1. 提供NIST SP 800-171之110項控制措施輔導諮詢與輔導。

2. 提供計畫合規課程（包含輔導準備要領等）。

3. 協助系統安全計畫（SSP）的改善建議。

4. 提供輔導報告(含業者狀態評估標準、輔導前後之狀態差異分析、改善建議等)。

5. 於提交輔導報告後，提供2次後續執行諮詢服務。

九、受輔導企業須配合事項

進入CMMC Level 1或Level 2輔導之企業，應配合本計畫執行相關作業事項如下：

(一) 建立資安推動機制：企業應設置專責資安推動小組，並指派資安權責主管負責資安管理、決策及計畫推動。

(二) 指派專責聯絡窗口：企業應指定專責聯絡窗口及參與人員，參與人員應包含與輔導範圍內相關之單位，如專案部門、資訊部門、人力資源部門、生產部門、營運部門或其他相關單位。

(三) 配合提供輔導所需資料：輔導期間內，企業須配合並提供自評表、網路拓樸圖、軟硬體資產清冊、系統安全計畫（SSP）（Level 2必備），相關資安程序文件及佐證資料。

(四) 配合計畫成果分享：為促進產業資安經驗交流，受輔導企業須協助配合出席本計畫成果分享活動，並協助分享輔導經驗或成果案例；相關分享內容以不涉及機密資訊為原則。

(五) 配合國際交流或示範案例推動：本計畫因應國際交流及產業推動需求，受輔導企業若有意願參與美方現場交流或評鑑作業，應配合提供必要之評鑑資料與相關表單文件。提供單位包含美國相關單位、本計畫主管機關、本計畫執行單位，且應配合提供必要之評鑑資料與相關文件，並於必要時提供評鑑場域，以利相關作業之執行。

(六) 企業同意自投件申請日起，不得將本申請行為與其他商業行為進行不當宣傳或誤導之情事。

(七) 於本輔導計畫核定前，申請企業不得與遴選委員進行程序外接觸；如經查證屬實，將以退件處理。

(八) 如遴選委員之行為足使申請人認為審查有不客觀或不公正之虞，申請人應以書面敘明具體理由向數位產業署提出申請，並由數位產業署決定該成員是否應行迴避。

十、計畫執行期間

(一) 本計畫輔導期間將自受輔導企業正式入選後啟動，實際執行期間將依計畫作業時程及雙方確認之輔導規劃辦理。

(二) 受輔導企業應依本計畫執行單位所規劃之時程配合辦理相關輔導作業，如因特殊情形需調整執行進度，應與計畫執行單位協商辦理。

(三) 若受輔導企業未依計畫規定配合相關輔導作業，或經評估無法持續配合計畫執行者，計畫執行單位得視情況調整或終止其受輔導資格。

十一、其他規範

(一) 申請企業應確保所提供之申請資料及相關文件內容之真實性與完整性，且與實際現況相符，並不得侵害他人之專利權、著作權、商標權或營業秘密等智慧財產權；如經查證有不實或違法情形，應由申請企業自行負一切法律責任，計畫執行單位並得取消其申請或受輔導資格。

(二) 本計畫輔導內容係協助企業提升資安管理能力及輔導相關制度，並不保證企業必然通過 CMMC 或其他相關資安驗證。

(三) 本辦法如有未盡事宜，得由計畫執行單位依計畫相關規定辦理，並保留最終解釋及調整之權利。

(四) 利益衝突迴避：為確保遴選作業之公正性，遴選委員應簽署利益衝突聲明書，如與申請企業具有利害關係，應主動迴避相關審查作業。

(五) 資料保密：遴選過程中所涉及之企業申請資料、審查內容及企業內部相關資訊，相關人員均善盡保密義務，不得對外揭露或不當使用。

回上頁回首頁