前言:供應鏈管理是 ISO 27001 的核心要求

許多企業在導入 ISO 27001 資訊安全管理系統時,往往將焦點放在防火牆、加密技術等內部控管措施。然而實務上,ISO 27001:2022 Annex A.5.19「供應商關係中的資訊安全」 (舊版 2013 為 A.15.1)明確要求企業必須對供應商進行有效的資安管理。
特別是掌握企業核心財會資料、人事薪資、客戶資訊的 ERP 系統供應商,一旦發生資料外洩或系統安全漏洞,影響層面遠超過一般供應商。要求 ERP 廠商簽署正式的資安承諾書或保密協定(NDA),不僅是維持 ISO 27001 認證有效性的必要條件,更是企業資料保護的最後防線。

事件背景:一個被低估的合規風險

我司在導入 ISO 27001 的過程中,依據驗證機構的稽核要求,必須請所有接觸敏感資料的供應商簽署「供應商資訊安全承諾書」。
這份文件涵蓋了:

• 詳盡的機密資料定義
• 嚴格的保密義務與善良管理人責任
• 廠區規範與資產保護承諾
• 違約賠償與合約終止權利
  然而,當我司依序向各供應商發送文件時,卻在 ERP 廠商 這裡遇到了意想不到的阻礙。
  這家合作多年的「台灣某老牌 ERP 廠商」,其公司總經理對於簽署客戶提供的資安文件,態度極為消極，這在現代供應鏈資安治理中顯得極為罕見。
  這讓我司陷入了一個兩難:該ERP廠商沒簽署資訊安全承諾書，該事件已經在我司的ISO27001初次驗證時被列為觀察事項，需要改善，但ERP廠商又堅持不配合。

溝通實錄:歷時12個月的拉鋸戰

第一階段:單方拒絕(第 1-7 個月)

我司在初次驗證稽核前兩個月,多次發mail給 ERP 廠商,並附上標準版的「供應商承諾書」。然而ERP 廠商維運主管冷處理不回應，或是以拖待變；
初次驗證後，ERP 廠商未簽署承諾書一事被列為 ISO 27001 觀察事項。
我司隨即展開多次 Email 與電話溝通，但始終未獲實質回應。

第二階段:發出商業函文告知(第 8-9 個月)

面對ERP 廠商總經理拒簽，我司原先考慮發出強烈的存證信函。
但在專業諮詢後，考量到 ERP 系統是營運命脈之一，為避免關係破裂導致服務中斷，我司改採專業的「正式商業函文」進行溝通。這項決策讓管理軌跡保留，而非直接升級成單純的法律對抗。

第三階段:制式版本的落差(第 10 個月)

但正式函文後給ERP 廠商總經理後，仍如石沉大海，最後經過與ERP 廠商維運主管多次溝通,ERP 廠商終於願意提供他們的「標準保密協定」。
但當我司收到文件時,卻發現了幾個重大問題:

1. 有效期限僅一年:對於需要長期維護的 ERP 系統,一年期的保密協定形同虛設
2. 缺乏資安技術承諾:完全沒有提及加密、存取控管、備份機制等具體措施
3. 沒有事件通報條款:萬一發生資安事件,廠商沒有任何通報義務
4. 違約責任不明確:僅有象徵性的「應負法律責任」字眼
   這樣的文件,根本無法滿足 ISO 27001 的稽核要求。

第四階段:對等協議的嘗試(第 11個月)

為了展現合作誠意,我司退讓一步,由法務與資安團隊共同擬定了一份「保密暨資訊安全增補協議」。
這份協議的特色是:

• 雙向對等的保密責任:本協議明確基於「平等互惠原則」訂立 。在定義機密資料與規範保密義務時，均採用「任一方（揭露方）」與「他方（收受方）」的對等寫法 。
• 明確的技術措施:協議要求雙方採取適當且合理之技術及組織安全措施，並列舉了「存取控制、加密、系統監控、漏洞修補」作為範例 。
• 合理的通報機制:協議第五條規定，若發生或懷疑資安事件，應在可行範圍內儘速（不應晚於發現事件後 72 小時）通知對方 。
• 適度的違約條款:協議第八條規定，違約方應賠償守約方因此所致之「一切損失及損害賠償」。
  我司透過 Email與電話，向ERP 廠商說明這份協議的合理性。

第五階段:最終的妥協與廠商的沉默(第12個月至今)

然而,即使我司已經將條款修改到如此對等且合理,該ERP 廠商仍然採取「已讀不回」的策略:
最後，我司妥協願簽立該ERP 廠商的標準保密協定版本，雖然該版本在法律眼光中極為空泛，且保密期限竟僅有一年。雖我司法務認為保障不足，但資安顧問建議「為求先結案，先簽再說」。
令人無奈的是，我司發信表達同意簽署其版本後，至今已過三週，ERP 廠商仍毫無回應，甚至連基本的簽約進度都未主動告知。
截至目前,這個案子已經拖延超過12個月,仍然沒有任何進展。
這場長達一年的溝通，暴露了部分本土傳統軟體業在資安合規意識上的落後，也反映出甲方企業在系統綁定（Lock-in）下的談判弱勢。

稽核風險:懸而未決的「待補正事項」

在初次驗證稽核時,驗證機構已將「ERP 廠商未簽署資安承諾」列為 「觀察事項」(Observation)。
這意味著:

• 第一次監督稽核時(約 6 個月後),若仍無進展,可能被開立缺失
• 若被判定為供應商管理失效,可能構成「主要不符合事項」(Major NC)
• 最壞情況:證書可能被暫停,必須重新整改後才能恢復
  更現實的問題是:如果因為 ERP 廠商不配合而導致驗證失效,我司是否要換掉使用多年的系統?
  這將是一個牽涉數百萬成本與數個月轉換期的重大決策。

給同業的五個實戰建議

經過這次慘痛經驗,我整理了以下建議給正在導入 ISO 27001 或即將面臨覆核的夥伴:

1. 合約簽署前就要談資安條款

這是最重要的一課。
當初我司與 ERP 廠商簽約時,其技術服務合約書與軟體授權使用合約書中，僅有智慧財產權、適用法律與訴訟管轄的約定，並沒有資訊安全與保密的相關規範。等到導入 ISO 27001 才想補件,已經完全失去談判籌碼。
建議作法:

• 在 RFP(需求建議書)階段就將「資安承諾書簽署」列為必要條件
• 合約中明訂「資安增補協議為主約一部分」
• 年度續約時,將資安條款的更新列為續約前提
  根據我司的教訓：合約簽署後才要求補件,廠商配合機率從 80% 驟降至不到 30%。

2. 保留完整的溝通軌跡

當供應商不配合時,需要向稽核員證明「我們已經盡力」。以下文件務必妥善保存:

• Email 往來記錄(包含已讀回執)
• 正式公文與掛號回執(證明已送達)
• 電話溝通日誌(日期、通話對象、討論內容)
• 會議紀錄(若有實體會議)
• 修改後的協議版本(證明我們已讓步)
  這些「盡職管理」(Due Diligence)的證據,是稽核時重要的免責依據。稽核員會理解「廠商不配合非我方過失」,但前提是必須證明自己確實努力過。

3. 建立內部補償控制措施

當外部供應商無法提供書面承諾時,企業應該加強內部控管,並將這些措施記錄在「風險評估報告」中:
技術面補償控制:

• 限制 ERP 廠商遠端連線的 IP 範圍(白名單機制)
• 要求所有遠端維護必須由我方 IT 人員陪同監督
• 定期審核 ERP 系統的存取日誌(Log)
• 關閉非必要的資料匯出功能
• 敏感資料欄位進行遮罩處理(Data Masking)
  管理面補償控制:
• 每季與 ERP 廠商召開資安會議,會議記錄留存
• 要求廠商提供其公司的 ISO 27001 證書(若有)
• 在合約中加註「若發生資安事件,廠商應配合調查」條款
  向稽核員的說明方式:「雖然 ERP 廠商未簽署獨立的資安承諾書,但我們已透過技術與管理手段降低風險,並持續追蹤改善。相關補償控制已記錄於風險評估表中。」

4. 考慮供應商的「資安成熟度」作為選商指標

這次事件讓我深刻體會:ERP 廠商的資安意識,應該與系統功能、價格並列為選商的關鍵指標。
未來評選 ERP 時,建議加入以下評分項目:

• 是否願意簽署客戶提供的資安承諾書?(20 分)
• 是否取得 ISO 27001 或其他資安認證?(15 分)
• 是否有專職的資安團隊?(10 分)
• 過去是否有資安事件紀錄?(10 分,有扣分)
• 合約中資安條款的完整度?(15 分)
  如果一家ERP廠商在「資安配合度」項目得分過低,即使功能再強大,也應該審慎考慮。

5. 善用稽核員的專業建議

不要把稽核員當成「找碴的人」,他們其實是最了解實務困境的專家。
我們的經驗:

• 主動向稽核員說明「供應商不配合」的狀況
• 請教稽核員「還有哪些替代方案可以接受」
• 展示我們的補償控制措施,詢問「這樣是否足夠」
  建議:如果廠商真的不配合,你們至少要在下次覆核前完成三件事:
  (1)正式發函要求並保留證據;
  (2)實施技術補償控制;
  (3)啟動更換廠商的評估程序,即使最後沒換也要有評估報告。

這些作法的核心精神只有一個：即使ERP廠商不配合，企業仍必須證明自己「已盡合理管理義務」。

結語:資安合規需要供應鏈的共同承擔

這次與老牌 ERP 廠商的交手經驗,讓我深刻體會到:資訊安全不應該只是甲方(企業)單方面的責任,核心系統供應商的合規意識與配合度,直接決定了企業資安防護網的強度。
更令人擔憂的是,如果連老牌、具市佔率的 ERP 廠商都對資安承諾如此消極,那麼台灣還有多少企業正面臨同樣的困境?又有多少公司因為供應商不配合,而無法順利取得或維持 ISO 27001 認證?

我想對 ERP 產業界說:
當你們的客戶要求簽署資安承諾書時,這不是刁難,而是企業在履行法遵義務。一份對等、合理的資安協議,不僅保護客戶,也保護你們自己。拒絕簽署,只會讓客戶在下一次選商時,將你們排除在外。
在資安攻擊頻傳的今日，合規不再是成本，而是競爭力。 拒絕配合客戶資安要求的廠商，最終將失去市場的信任。

我想對同業夥伴說:
如果你們也遇到類似情況,不要氣餒。保留證據、加強內控、持續溝通,這些努力都會成為稽核時的加分項。更重要的是,在下一次選商時,把「資安配合度」列為關鍵指標,用採購決策告訴市場:資安合規不是選配,是必備。
期待台灣的 ERP 產業能正視資安合規的重要性,與客戶共同建立更健全的供應鏈資安體系。

P.S. 本文為實務經驗分享,旨在交流資安管理心得,所有敏感資訊已經過適當處理。若您有類似經驗或更好的解決方案,歡迎交流討論。