荷蘭小孩堤防（Kinderdijk）風車群概述

一、歷史沿革

1. 起源背景

小孩堤防位於荷蘭南荷蘭省（Zuid-Holland），距鹿特丹東南約 15 公里，屬於低地水鄉地區。

荷蘭地勢低窪，經常面臨洪水威脅。13 世紀末與 14 世紀初，當地居民開始修築堤防以抵禦洪水。

CC BY-SA 4。0。
內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。

2. 傳說典故

名稱「Kinderdijk」（意即「孩子的堤防」）源自 1421 年「聖伊麗莎白洪災」（Sint-Elisabethsvloed）。相傳洪水後，人們在漂浮的搖籃裡發現一名倖存嬰兒與一隻保護牠的小貓，因此該地得名。

3. 風車建設（18 世紀）

為排除低地積水，1738–1740 年建造了 19 座風車，形成排水系統。

風車將水提升至更高的運河，再流向萊克河（Lek），確保農田與村落免於水患。

4. 技術演進

19 世紀末至 20 世紀，蒸汽泵站與電力抽水系統逐漸取代風車。

然而風車群並未拆除，而是保留作為備用設施與文化遺產。

5. 現代保護與世界遺產

1950 年代，風車群進入保護名錄。

1997 年，Kinderdijk 風車群被列入聯合國教科文組織世界文化遺產，成為荷蘭水利工程智慧與傳統的象徵。

二、特色與功能

完整的水管理系統：包含風車、堤防、水閘與蓄水池，展現荷蘭人「與水爭地」的傳統。

風車群排列：沿運河兩側分布，形成獨特景觀，為全球最具代表性的荷蘭風車地區之一。

仍可運轉：部分風車仍在節慶與示範時啟動，展現傳統技術。

三、周邊環境與市鎮特色

1. 小孩堤防村落

村落規模不大，以農業與觀光為主，保有傳統荷蘭鄉村氛圍。

設有遊客中心與博物館風車，可進入參觀內部構造。

2. 鄰近城市

距鹿特丹（Rotterdam）：僅 15 公里，為現代化港口大城，以伊拉斯謨橋、立方屋、馬克特大廳（Markthal）等地標聞名。

多德雷赫特（Dordrecht）：荷蘭最古老的城市之一，擁有中世紀港口、教堂與歷史博物館。

四、旅遊與景點

1. 風車參觀路線

遊客可沿運河步行或騎行，近距離欣賞 19 座風車。

設有遊船（whisper boat）行程，從水道觀賞全景。

2. 博物館風車（Museummolen）

開放參觀內部結構，展示風車工匠的生活方式。

3. 自然風光

周邊濕地生態豐富，適合賞鳥與攝影。

4. 節慶活動

每年九月舉行「風車日」（Molendag），所有風車同時轉動，場面壯觀。

五、總結

小孩堤防風車群象徵著荷蘭人數百年來與大自然抗衡的智慧：

功能上，它們曾是低地防洪的重要排水系統；

歷史上，承載著洪災傳說與人地互動的故事；

文化上，成為荷蘭最具代表性的世界遺產之一:今日，不僅是觀光勝地，也是人類水利工程與可持續生活智慧的典範。

(全文竟)

企業合規與反賄賂管理系統整合初輯（三之二）

（續前篇）

ISO 37001:2025 及 ISO 37301:2021

適合讀者：大學以上程度｜法規、合規、反賄賂、符合性、中小企業（100人以下）實務產業界從業人員 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢專業符合性、反賄賂顧問或相關驗證機構。文中提及資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱ISO官方網站和歐盟資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。

4. 組織環境與合規義務 (Context of the Organization)

「因地制宜」是中小企業構建系統的靈魂。ISO 37001 條款 4.1 要求組織確定與其宗旨相關的內外部議題。對於資源受限的組織，環境分析絕不能走形式主義，必須精準對焦。

4.1 內外部議題的深度分析

組織應識別影響其達成目標能力的因素：

• 外部因素： 包含營運所在地的政治穩定性、腐敗感知指數（CPI）、行業競爭的激烈程度（是否存在低價競爭壓力）、以及相關反貪腐法律（如 UK Bribery Act, FCPA）的長臂管轄要求。
• 內部因素： 包含企業的產權結構（如家族企業的透明度挑戰）、決策權限的分佈、以及員工對倫理標準的認知程度。

4.2 利益相關方的需求與期望 (條款 4.2)

針對 100 人以下的組織，常見的利益相關方包含：

1. 關鍵客戶： 尤其是跨國集團，往往將供應商通過 ISO 37001 認證列為招標門檻。
2. 員工： 期望透明的激勵機制與安全的舉報環境。
3. 金融機構： 越來越多的銀行在進行信貸評核時，會評估企業的 ESG 與合規管理水平。
4. 監管機構： 法律底線的維護者。

4.3 核心轉化：氣候變遷 (Climate Change) 與修正案 amd 1:2024 的影響

此為 2025 年新版標準的重大更新。Amendment 1:2024 要求所有管理系統標準必須考慮氣候變遷。對於中小企業（SME） 而言，這並非遙遠的口號。氣候變遷可能引發「賄賂風險」的質變：

• 緊急應變壓力： 極端氣候導致供應鏈中斷時，員工為了獲取緊缺物資或通關許可，面臨賄賂官員的誘惑將大幅增加。
• 監管合規壓力： 隨著綠色法規增加，企業可能面臨向監測人員行賄以篡改排放資料的風險。 企業必須在風險評鑑過程裡，明確將「氣候壓力引發的動機」納入考量。

連接語： 釐清了內外部環境後，系統的成敗將取決於領導層如何將這些要求轉化為組織的倫理 DNA。

5. 領導作用與合規文化構建 (Leadership & Culture)

在扁平化管理的中小企業中，「領導作用」是決定系統能否運轉的最核心動力。如果最高管理者僅僅將 ISO 認證視為「買證書」，那麼系統將毫無防禦力。

5.1 最高管理者與治理機構的職責重疊 (條款 5.1)

根據 ISO 37001 條款 5.1.1 與 5.1.2，治理機構與最高管理者需展現領導力。在 100 人以下的公司，董事長與總經理往往是同一人。即便如此，在管理記錄中必須區分這兩種職責：

• 治理職責： 批准反賄賂方針、確保資源分配。
• 管理職責： 將要求融入業務流程、推廣方針、支持各級經理展現合規領導力。

5.2 反賄賂文化：倫理 DNA 的塑造 (條款 5.1.3)

標準要求組織「開發、保持並推廣」反賄賂文化。對於小型組織，這可透過以下方式實現：

• 明確禁令： 領導層在全體會議中明確宣示對賄賂的「零容忍」。
• 示範效應： 領導層帶頭進行利益衝突申報。
• 開放溝通： 建立一個「即便犯錯也可以透明討論」的環境，而非一味懲罰。

5.3 建立「無需畏懼報復」的申訴文化 (條款 8.9)

這是系統中最困難的部分。在 50-100 人的公司，每個人都互相認識，匿名舉報極難維持。

• 實務建議： 小企業應考慮委託外部顧問或法務律師作為「外部監察員」（External Ombudsperson）。
• 無報復政策： 必須明確承諾，任何基於「誠實或合理信念」舉報的人員，不應受到降職、威脅或孤立。標準明確規定：即便該舉報最後未被查實，只要舉報者是出於誠意，其權益就應受保護。

連接語： 文化需要具體的崗位來執行，接下來探討如何透過職能優化來滿足標準對「反賄賂職能」的要求。

6. 權責管理、資質要求與人員訓練 (Roles, Qualifications & Training)

中小企業最常見的資源瓶頸在於無法聘請專職的「首席合規官」。然而，ISO 37001 條款 5.3.2 提供了一條實務路徑：透過職能交叉而非增加人手。

6.1反賄賂職能的資質與獨立性 (Annex A.6.2)

反賄賂職能人員（Anti-bribery Compliance Function）必須具備：

• 地位： 他必須有權「隨時」直接接觸治理機構。
• 權限： 具備調查權。
• 獨立性： 這是關鍵。例如：CFO 承擔符合法規的功能時，雖可以監督業務部的賄賂風險，但其個人差旅費與交際費應由總經理直接審核，以維持「交叉制衡」。

6.2 嚴格的人員聘用盡職調查 (條款 7.2.2.2)

符合法規應從招聘的第一天開始。對於高風險職位（銷售、採購、對外窗口），必須落實以下核對清單：

• 資格核實： 確認學歷與工作經歷的真實性（Annex A.8.1）。
• 背景調查： 聯繫前雇主，詢問該員是否有不誠信行為紀錄。
• 公職關聯： 調查該員及其家屬是否與業務相關的公職人員有利益關聯。
• 意圖評核： 在面試中評估其對於誠信價值的認同度。

6.3 針對性的訓練方案 (條款 7.3.2)

訓練應區分層級：

• 一般員工： 聚焦於方針意識、舉報渠道。
• 高風險崗位： 聚焦於「勒索支付」（Extortion）的處理技巧、紅旗信號（Red Flags）的識別、以及合宜禮品招待的限額。

連接語： 在人才與職能到位後，中小企業應善用數位化工具來彌補人力的不足。

6.4 增加「舉報機制」的合宜設計

- 外部監察員（External Ombudsperson）的委任方式

   - 匿名舉報渠道的技術實現（如第三方平台）

7. 合宜採用人工智慧（AI）工具的應用與適用符合法規的狀況 (AI Tools in Compliance)

數位化轉型是當代符合法規的必經之路。對於中小企業（SME）而言，人工智慧（AI）與資訊科技應用不再是遙不可及的奢侈品，而是提升管理系統精確度的利器。

7.1 三大關鍵應用場景

1. 自動化盡職調查： 利用人工智慧（AI）爬蟲工具結合CPI指數、全球負面新聞資料庫，在數秒內完成對潛在商業夥伴的初步掃描，效率遠超過人力手動搜索過程。
2. 財務異常交易監控（Clause 8.3）：人工智慧（AI）演算法可對大量報銷紀錄進行模式識別，偵測出如「金額拆分」（為規避審批權限）或「異常整數支付」等潛在賄賂跡象。
3. 符合法規顧問聊天機器人： 針對內部制度、禮品政策提供即時查詢，減少員工因不知情而產生的違規。

7.2 風險提示與版權保護 (Source Warning)

反賄賂諮詢或符合性顧問通常會給出兩項嚴肅警告：

• 資料隱私與安全性： 企業在使用公有雲人工智慧（AI）時，切勿上傳敏感的客戶名單或詳細財務明細。
• 版權與法律限制： 根據 ISO 37001:2025 前言 (Page V) 的規定，嚴禁將標準全文或其核心內容用於訓練大型語言模型 (LLM) 或生成式人工智慧（AI）。任何未經授權的商業利用均屬侵權，且可能導致法律行動。人工智慧（AI）的輸出僅供參考，決策權必須保留在「符合法規職能」的人類判斷手中。

連接語： 上列各項必備工具一旦就緒，必須進入實務營運控制階段，才是系統發揮效用的現場。

（未完，見續篇）

荷蘭卡爾弗林戴克(Kalverringdijk)沿線的老風車（De Kat風車）概述

卡爾弗林戴克（Kalverringdijk）位於荷蘭北荷蘭省贊丹市（Zaandam）的贊恩河畔（Zaan River），是贊恩沙恩斯（Zaanse Schans）開放式博物館的核心街道之一。這條街道以傳統荷蘭風車和木造房屋聞名，De Kat風車（意為「貓風車」）即位於卡爾弗林戴克29號，是世界上唯一仍在運作的顏料風車（verfmolen）。這座八角形罩式風車高約20公尺，配備四片大型葉片，用於研磨白堊和熱帶木材，生產藝術顏料和染料，象徵贊恩地區17世紀工業繁榮的遺產。贊恩沙恩斯自1960年起成為文化保存區，吸引全球遊客探索荷蘭黃金時代的風車文化。De Kat不僅是工業遺跡，更是活態博物館，體現從農業機械到現代旅遊景點的轉變。

CC BY-SA 4。0。
內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。

歷史發展：從過去到現在

De Kat風車的歷史可追溯至17世紀贊恩地區的風車熱潮，當時荷蘭擁有約700座風車，用於排水、鋸木和研磨。最早記錄顯示，1646年1月11日，阿德里安·格里茨·范·索梅倫（Adriaen Gerritsz. van Someren）獲得風力使用許可，在此地興建一座風車，最初作為油磨（用於壓榨油料）。至1689年7月13日保險合約顯示，它已轉為專門油磨。 1781年6月17日，一場大火摧毀了風車，次年（1782年）重建為顏料風車，專門研磨白堊和顏料原料，用於油漆和染料生產。這是其轉型的關鍵時刻，反映荷蘭黃金時代的藝術與工業需求，如為倫勃朗（Rembrandt）等畫家提供顏料。

從1772年起，風車由霍尼格家族（Honig family）擁有，直至1904年售予維斯公司（Vis Pz.），後拆除至走廊層級，用作白堊儲存和乾燥。20世紀初，隨著工業化與柴油引擎興起，風車使用率下降，贊恩地區風車數量從高峰期的數百座銳減至少數。1959年，鄰近的杜因賈格風車（Duinjager，建於1696年，原為鼻煙磨，後轉顏料磨，1947年停用風力）被拆除，其八角形上層移至De Kat基座上。1960年，De Kat經修復與部分重建，恢復顏料研磨功能，成為贊恩沙恩斯保存計劃的一部分。該計劃由當地協會推動，將風車遷至河畔，模擬原貌，以對抗都市化威脅。

如今，De Kat每日運作，使用傳統石磨研磨法生產顏料，供應梵谷博物館（Van Gogh Museum）和倫勃朗故居等機構，同時作為旅遊景點開放。2025年，它仍是贊恩沙恩斯的標誌，門票約7.5歐元，提供導覽與商店銷售手工顏料。從17世紀的工業工具，到20世紀的遺產保存，再到當代的活態博物館，De Kat見證荷蘭從農業社會向現代文化旅遊的演變，強調可持續保存與教育功能。

周邊特別之處及其特色

卡爾弗林戴克周邊環境以贊恩河谷的綠色牧場、傳統木屋和風車群為主，無中世紀老城，但街道宛如活化的17世紀村落，充滿綠色塗料房屋與運河景觀。以下為主要特別之處及其特色：

風車（Windmühle）

De Kat風車是街道焦點，內部有兩組石磨，一組研磨白堊（用於體育場線條和油地氈），另一組處理熱帶木材染料。旁邊的白堊倉庫（chalk barn）儲存從法國香檳區進口的原料。遊客可登上高腳手架，近距離觀察葉片轉動與研磨過程，體驗400年古法。鄰近風車包括De Huisman（油磨，建於1623年）和De Zoeker（穀物磨），共同形成風車村落，象徵贊恩工業遺產。

展望熱點（Ausblick Hot Spots）

卡爾弗林戴克沿岸提供壯觀河景，從De Kat腳手架可俯瞰贊恩河、牧場與遠方阿姆斯特丹天際線，為攝影熱點。 街道盡頭的河堤是另一展望點，冬季可見風車雪景，夏季則欣賞綠油油的低窪地（polder）。贊恩沙恩斯入口的觀景台融合多座風車，適合日落時分，成為Instagram熱門地標。

博物館（Museum）

De Kat內設小型博物館，展示顏料生產歷史、工具與藝術應用，提供英文導覽。鄰近的贊恩博物館（Zaans Museum）聚焦贊恩文化與維卡德巧克力體驗（Verkade Experience），展出19世紀工業遺物。風車博物館（Windmill Museum）位於De Kat附近，講述贊恩風車興衰史，包括互動展覽與兒童工作坊。這些博物館免費或低價入場，強調教育與保存。

其他觀光景點（Sehenswürdigkeiten）

- 卡塔琳娜農場（Catharina Hoeve Cheese Farm）：位於卡爾弗林戴克附近，展示傳統荷蘭起司製作，遊客可品嘗並觀看示範，是家庭熱門景點。

- 木鞋工坊（Clog Workshop）：免費參觀木屐雕刻過程，體現荷蘭民俗工藝，鄰近紀念品店。

- 歷史房屋群：如卡爾弗林戴克7號（建於1650年，雕刻木冠飾）和10號（「購物小姐小屋」，以古怪居民故事聞名），這些綠色木屋運河畔，適合散步探索。

- 贊恩時間博物館（Zaanse Tijd Museum）：收藏古鐘與時間測量器，補充風車時代的日常生活。

- 彼得大帝紀念碑（Czaar Peter Monument）：雖在贊丹市中心，但距離不遠，紀念1697年俄國沙皇訪荷，連結歐洲歷史。

卡爾弗林戴克周邊融合自然、工業與文化，De Kat風車為核心，吸引尋求荷蘭傳統的遊客，從歷史漫步到互動體驗，展現贊恩地區的永恆魅力。

(全文竟)

企業合規與反賄賂管理系統整合初輯（三之一）

ISO 37001:2025 及 ISO 37301:2021

適合讀者：大學以上程度｜法規、合規、反賄賂、符合性、中小企業（100人以下）實務產業界從業人員 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢專業符合性、反賄賂顧問或相關驗證機構。文中提及資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱ISO官方網站和歐盟資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。

1. 概述與戰略背景 (Overview & Strategic Context)

在當前全球商業環境中，誠信經營與合規管理已從企業的「倫理加分項」演變為進入國際供應鏈的「必要通行證」。隨著國際標準化組織（ISO）於 2025 年正式發布新版 ISO 37001 反賄賂管理系統（Anti-Bribery Management System）要求，企業面臨的合規要求已達到前所未有的高度。對於員工人數在 100 人以下的中小企業（SME）而言，資源稀缺與專業人才不足是普遍的痛點。然而，若能採取「整合化」路徑，將 ISO 37301（合規管理要求及指南）與 ISO 37001:2025 進行深度整合，不僅能消除管理冗餘，更能將單純的風險防範轉化為企業的長期競爭優勢。這種整合能將合規壓力轉化為「誠信溢價」，協助小企業在與跨國集團洽談合作時，展現出具備國際水準的治理能力。

本報告的目的，是為 100 人以下的組織提供一套結構化、可操作的實施路徑。我們必須釐清 ISO 37301 與 ISO 37001 之間的互補邏輯：前者提供了一個廣義的「合規行政架構」，定義了如何管理所有的法律與契約義務；後者則是一套「精準打擊武器」，針對賄賂這一特定且高風險的領域提供了細化的控制機制。作為合規顧問，我強調中小企業在實施過程中必須嚴格遵循「合理且相稱」（Reasonable and Proportionate）原則。這意味著系統不應追求繁文縟節，而應根據企業的具體風險狀況（如業務地點、交易性質）進行精準配置，確保每分合規成本都能產生實質的防護價值。

本報告不僅僅是標準條文的解讀，更是基於 2025 年最新修訂標準與國際認可論壇（IAF）轉換要求的實務指南。在 2025 年版標準中，對於「治理機構」的責任、以及將「氣候變遷」納入風險評鑑的要求，都展現了標準與當代全球議題的高度銜接。我們將引導企業主如何從「被動應付」轉向「主動治理」，透過制度設計驅動企業文化的轉型，建立一個基於誠信與透明度的「倫理 DNA」。

連接語： 在展開具體的條款解讀前，我們必須先確立整合系統的核心支柱，這將決定整個管理系統的骨幹架構是否穩固。

2. 整合系統核心要點整理 (Key Points Summary)

對於規模有限的中小企業，成功實施整合管理系統的關鍵在於「精準化」。2025 年新版標準正式引入了「調和結構」（Harmonized Structure, HS），這對資源有限的組織來說是重大利好。此等結構統一不同 ISO 管理系統標準的標題、術語與章節編號，讓企業能以一套統一的邏輯管理多重目標。

該標準的適用範圍如下示：

   - ISO 37301：廣義符合法規管理（所有法律、法規與自願性承諾），整體符合法規架構，強調識別企業各項合規義務，並建立良好的治理及合規文化。

   - ISO 37001：專注於反賄賂（可視為ISO 37301的特定領域深化），強調實施各類財務或非財務之具體方法以管理賄賂風險，例如商業夥伴盡職調查

整合管理系統可以歸納為五大核心支柱，這也是 ISO 37001:2025 與 ISO 37301 共同的成功因子：

• 領導承諾與高層基調（Tone at the Top）： 在扁平化的小型組織中，最高管理者的言行即是企業的法典。領導層必須不僅限於口頭宣示，更應體現於資源分配（如指定合規職能人員）與決策邏輯（如拒絕不合規的利益）中。
• 風險導向的精準防控： 管理系統不是要消除所有風險，而是要識別「合理可預見」的風險。基於 ISO 37001 條款 4.5，企業必須建立分級準則（低、中、高），確保將有限的資源集中於高風險交易與高風險商業夥伴。
• 支援機制與資源優化： 在不增加額外人手的前提下，透過職能交叉（Cross-functional）設計，確保合規職能（Compliance Function）具備必要的地位與獨立性。
• 營運控制與實務落地： 透過條款 8 的財務與非財務控制措施（例如：職能分離、三方比價、禮品登記），將合規要求嵌入日常業務流程。
• 持續改進與系統韌性： 透過內部稽核與管理評審，系統需具備自我修復功能。特別是面對 2025 年版新增的氣候變遷與利益衝突管理，系統必須保持動態更新。

深度分析：整合 HS 高階結構對中小企業的戰略影響 ISO 37001:2025 被定義為「Type A 管理系統標準」，這意味著它是可認證的「要求」標準。HS 結構的引入，使得中小企業可以建立一個通用的管理手冊，同時滿足 ISO 9001（品質）、ISO 37301（合規）與 ISO 37001（反賄賂）的要求。這種「一套手冊，多重合規」的模式，極大地簡化了文件的維護工作。對於 100 人以下的企業，這意味著管理成本可降低 30% 以上，且在面對外部審核時，能提供更具邏輯性與一致性的證據鏈。

連接語： 為了確保管理決策的準確性，理解標準中的法律與技術術語是所有工作的起點。

3. 重要字詞說明與標準引用 (Terminology & Normative References)

在反賄賂與合規管理中，語言的精確性直接決定了法律防禦的強度。ISO 37001:2025 在術語定義上與國際法律架構（如《聯合國反腐敗公約》）高度銜接。以下針對中小企業最常混淆的關鍵詞進行精確定義與實務解讀：

關鍵詞	ISO 標準定義	中小企業實務情境補充
賄賂 (Bribery)	ISO 37001:2025 條款 3.1：提供、承諾、給予、接受或索取任何價值的不當利益，直接或間接地違反適用法律，以此作為引誘或獎勵，促使個人就其職責績效採取或不採取行動。	不僅限於現金。包含「便利支付」（Facilitation Payments），如支付小額款項給官員以加快行政審核，在 ISO 標準下亦視為賄賂。
合規 (Compliance)	ISO 37301 條款 3.26：履行組織的所有合規義務。此處係包含「強制性要求」（法律法規）與「自願性承諾」（合約、準則）。	合規不等於「不犯法」。對於 中小企業（SME） 而言，遵守大客戶的「供應商行為準則」（CoC）即是關鍵的合規義務。
反賄賂文化 (anti-bribery Culture)	ISO 37001:2025 條款 3.30：整個組織中的價值觀、倫理觀、理念與行為，係與組織結構和控制系統相互作用，產生有利於反賄賂政策與管理的行為規範。	員工明瞭符合倫理的行為，即使獨自面對涉及賄賂的情況。
合規文化 (Compliance Culture)	ISO 37301:2021 條款 3.28：貫穿整個組織的價值觀、倫理規範、信仰和行為，係與組織結構和控制系統相互作用，產生有利於符合法規的行為規範。	價值觀是組織崇尚文化的核心，是組織行為的基本原則。在小公司，體現為從「老闆說了算」轉型為「誠信、透明、開放、合規」的共識。
治理機構 (Governing Body)	ISO 37001:2025 條款 3.7：對組織活動、治理和政策承擔最終責任並行使權力的個人或小組，高階管理者向其報告並對其負責。	在 100 人以下的企業，若無獨立董事會，最高管理者即履行治理機構職責，但其「決策」與「監督」功能仍需在記錄中區分。
反賄賂職能 (Anti-bribery Function)	ISO 37001:2025 條款 3.8：負責反賄賂管理系統運行的個人或群體。	小企業可由 CFO 或法務兼任，惟須考慮【獨立性】，且該員必須能「越過直線經理」直接向最高管理者匯報。
利益衝突（conflict of interest）	ISO 37001:2025 條款 3.28：相關方有著直接或間接的個人利益或組織利益，可能損及或干擾組織最佳利益為出發點公正地履行職責的能力。	個人利益類型如：商業、財務、家庭、專業、宗教或政治利益； 組織利益係涉及組織或其團隊的利益，而非個人利益。
盡職調查 (Due Diligence)	ISO 37001:2025 條款 3.29：進一步評估特定交易、專案、活動、商業夥伴或人員的賄賂風險性質與程度的動態過程，幫助組織做出決定。	這是企業的「法律護身符」。在與第三方合作前，透過背景調查證明企業已履行「合理審慎」之義務。

連接語： 術語的界定確立了溝通的基準，接下來我們必須分析企業所處的具體環境，這是「因地制宜」構建系統的起點。

（未完，見續篇）

荷蘭基特霍恩村（荷蘭語：Giethoorn,又名羊角村）概述

荷蘭基特霍恩村（荷蘭語：Giethoorn,又名羊角村），位於荷蘭奧弗伊瑟爾省（Overijssel），是史坦維克蘭德市（Steenwijkerland）轄下的一個小村莊，人口約2,795人（2020年數據）。該村以「北方威尼斯」之稱聞名全球，因其無道路設計、僅靠運河與步道連接，宛如童話世界。村內運河總長逾7公里，橫跨176座木橋，居民與遊客主要依賴船隻或腳踏車移動，周邊環繞沼澤與湖泊，融合自然與人文景觀，每年吸引數百萬遊客，成為荷蘭最受歡迎的觀光地之一。

CC BY-SA 4。0。
內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。

歷史闡釋與發展

基特霍恩的歷史可追溯至13世紀初，約1230年，由地中海地區的逃亡者（或受迫害的鞭笞派信徒）建立定居點。這些早期移民在沼澤地發現大量野山羊角（荷蘭語「Geytenhoren」，即村名來源），據傳這些羊角屬於1170年諸聖洪水（All Saints' Flood）中溺亡的動物遺骸，此傳說象徵村莊的起源與自然災難的遺跡。 14世紀起，居民從事泥炭開採（peat cutting），將沼澤地挖掘成運河與湖泊，泥炭作為燃料出口，帶來繁榮，但也造成地表脆弱。18世紀與19世紀，村莊擴張，興建茅草屋頂農舍，形成今日獨特景觀。1776年與1825年兩次大洪水摧毀堤壩，進一步塑造周邊湖泊，如基特霍恩湖（Giethoornsche Lake）。

20世紀初，基特霍恩仍為農業與泥炭村落，1958年荷蘭導演貝爾特·哈恩斯特拉（Bert Haanstra）在此拍攝喜劇電影《軍樂隊》（Fanfare），將村莊推向國際，開啟觀光時代。 戰後，村內無汽車道路的傳統得以保留，運河成為交通核心。當前，基特霍恩面臨過度觀光挑戰，2020年代起，當局實施遊客配額與電動船規定，以保護環境與寧靜。經濟轉型為旅遊業，結合周邊韋爾里本-維登國家公園（De Weerribben-Wieden National Park），村莊從泥炭村蛻變為生態文化目的地，2025年訪客人數預計恢復疫情前高峰，強調永續發展。

運河的特點

基特霍恩的核心是手掘運河系統，總長約7公里，源自14世紀泥炭開採，村內無現代道路，僅有運河與小徑貫穿。這些運河寬窄不一，蜿蜒穿梭於島嶼間，連接176座拱形木橋（多為私人建造，風格古樸），橋下高度僅容單人船通過，營造親密氛圍。運河水質清澈，夏季綠意盎然，冬季偶結薄冰，遊客可租借獨木舟或電動船探索，感受「水上村莊」的獨特魅力。洪水歷史使運河邊緣易受侵蝕，但現代堤壩強化了防洪功能。

湖泊的特點

基特霍恩湖（Giethoornsche Lake）是村莊周邊主要湖泊，由泥炭挖掘與18-19世紀洪水形成，面積約數平方公里，位於韋爾里本國家公園邊緣。水域豐富魚類與水生植物，如蘆葦與浮萍，支持生態多樣性。湖畔景觀包括濕地與沙丘，適合划船或觀鳥，冬季偶有冰上活動。湖泊不僅是自然屏障，還提供休閒空間，傳說中羊角遺跡即藏於湖底泥炭層，增添神秘色彩。

古老房屋的特點

村內古老房屋多為18-19世紀農舍，特色為茅草屋頂（thatch roofs，高聳如船帆，防雨耐用）與磚石牆壁，顏色鮮豔（如紅、白、綠），隱藏於柳樹與花園間，無統一規劃卻和諧統一。這些房屋原為泥炭工人居所，內部寬敞，配備傳統家具與壁爐。許多保留原貌，如「舊屋」（Old Houses）區，遊客可遠眺或參觀博物館內復原品。房屋周邊小園種植花卉與蔬菜，體現荷蘭鄉村生活，部分農舍現改為民宿或餐廳，延續歷史風貌。

船隻的特點與傳說

基特霍恩交通依賴傳統船隻，主要為平底駁船（punter boats），源自泥炭時代，用長桿推動，適合淺水運河，無引擎噪音，稱為「靜音船」（whisper boats），現多改裝電動以環保。另一類為小型漁船與遊艇，村內碼頭林立，居民用船運貨或通勤。傳說與羊角起源相連：據說早期移民在洪水後掘泥炭時發現羊角，視為神蹟，象徵村莊的幸運與堅韌，此傳說融入當地民間故事，船上導遊常講述以增添趣味。船隻文化也見於年度船賽與燈光遊船，融合歷史與現代娛樂。

觀光景點的特點

基特霍恩景點以水上探索為主，融合自然、文化與休閒，適合一日遊。

- 運河船遊：租借電動船或參加導覽團，穿越橋下農舍，時長1-2小時，欣賞全村景觀。

- 「舊鄰居之家」博物館（'t Olde Maat Uus Museum）：19世紀農舍改建，展示傳統生活、泥炭工具與服飾，內有茶室品嘗荷蘭點心。

- 古老大地博物館（De Oude Aarde）：展示寶石、礦物與花園，園內奇石景觀與溫室植物，提供互動體驗。

- 木橋與步道：漫步176座橋，拍攝經典畫面，或租腳踏車環湖，探索周邊濕地。

- 韋爾里本國家公園：鄰近景點，擁有最大沼澤區，適合健行觀野生動物如鳥類與魚鯉。

其他活動包括野餐、咖啡館用餐與季節節慶，如夏季音樂會，村莊全年開放，春夏最佳，強調寧靜與生態保護。

(全文竟)

歐盟網路資訊安全條例初探（七之七）

（續前篇）

EU Regulation 2019/881 (Cybersecurity Act)

適合讀者：大學以上程度｜法規、資訊、資安、工程、產業界從業人員 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢歐盟專業法律顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱ENISA官方網站和EUR-Lex資料庫。 CC BY-SA 4。0。

十九、立法指引——產品排除與特別規定

19.1 產品排除的完整清單

以下ICT產品或系統類別依據現行EU法規，全部或部分排除於ECCF範疇之外：

排除領域	說明
民用航空（EU 2018/1139）	航空器、引擎、螺旋槳、飛行操控系統、ATM/ANS系統的ICT元件。驗證由EASA負責，採用DO-326A等航空安全標準而非ECCF。
船舶（EU 2016/1629）	船舶及其設備的ICT系統由EMSA（歐洲海事安全局）架構處理，但2019/881不明確排除，存在灰色地帶。
軌道（EU 2016/797）	鐵路系統的ICT驗證由ERA（歐盟鐵路局）架構主導，TSI CCS包含部分安全要求，與ECCF存在潛在整合空間。
醫療器材（MDR 2017/745, IVDR 2017/746）	醫療器材的ICT/軟體元件主要依MDR附件I第17條（網路資訊安全要求），以及MDCG 2019-16指引。ECCF驗證可作為補充但非取代。
汽車（UN ECE WP.29/UNECE R155）	聯網汽車網路資訊安全依UNECE R155（2022年強制適用），ISO/SAE 21434:2021為技術基礎。ECCF的汽車ICT驗證方案尚未建立。
國防/情報（TFEU第346條）	涉及國家安全的軍事及情報ICT系統，成員國可依條約規定豁免，自行驗證。
核能（Euratom條約）	核電廠ICS/SCADA系統依IAEA指引及成員國核能監管機構規定，ECCF不強制適用。

19.2 無人機（UAS）的特別分析

無人機的ICT安全監管是多重法規交叉的典型案例，涉及EU 2018/1139（基該CSA條例）、EU 2019/945（UAS設計製造）、EU 2019/947（UAS運行規則）等：

無人機ICT安全的監管分層

C類無人機（C0-C6）： 機身設計安全（含ICT安全）依EU 2019/945及EASA授權規範，而非ECCF

U-space（UTM）系統： U-space服務提供商的ICT安全依EU 2021/664，ENISA正評估是否納入ECCF

地面控制站（GCS）： 若GCS為民用消費性電子產品，可能落入ECCF適用範圍（灰色地帶）

遙控識別（Remote ID）： EU 2019/945要求的遙控識別功能具有ICT安全含義，正討論是否需要ECCF驗證

現況：EASA與ENISA已就無人機ICT安全建立合作機制，但監管管轄權劃分尚未最終確定

二十、文獻參考

20.1 主要法規文件

●     Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on information and communications technology cybersecurity certification, OJ L 151, 7.6.2019

●     Commission Implementing Regulation (EU) 2024/482 on the European Common Criteria-based Cybersecurity Certification Scheme (EUCC), OJ L, 2024

●     Directive (EU) 2022/2555 (NIS 2), OJ L 333, 27.12.2022

●     Regulation (EU) 2016/679 (GDPR), OJ L 119, 4.5.2016

●     Regulation (EU) 2024/1689 (EU AI Act), OJ L, 2024

●     Regulation (EU) 2018/1139 on common rules in the field of civil aviation, OJ L 212, 22.8.2018

●     Regulation (EU) 2019/945 on unmanned aircraft systems, OJ L 152, 11.6.2019

●     Regulation (EU) 2022/2554 (DORA – Digital Operational Resilience Act), OJ L 333, 27.12.2022 

20.2 ENISA官方文件

●     ENISA. (2023). ENISA Threat Landscape 2023. European Union Agency for Cybersecurity.

●     ENISA. (2021). ENISA Cybersecurity Certification Framework Overview.

●     ENISA. (2022). Cloud Cybersecurity Market Analysis (EUCS).

●     ENISA. (2023). Guidelines for Securing the Internet of Things.

●     ENISA. (2021). Guidelines on ICT Supply Chain Security.

●     ENISA. (2023). European Vulnerability Database (EUVD) Launch Report. 

20.3 標準文件

●     ISO/IEC 15408 (Common Criteria), Parts 1-3, International Organization for Standardization.

●     ISO/IEC TS 27103:2018, Information technology — Security techniques — Cybersecurity and ISO and IEC Standards.

●     ISO/IEC TS 27110:2021, Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines.

●     ISO/IEC 27404:2022, Information security, cybersecurity and privacy protection — Guidelines for IoT security.

●     IEC 62443 series, Industrial automation and control systems security.

●     ETSI EN 303 645, Cyber Security for Consumer Internet of Things: Baseline Requirements.

●     ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering. 

20.4 學術文獻

●     Timmers, P. (2020). Ethics of AI and Cybersecurity When Sovereignty is at Stake. Minds and Machines, 29(4), 635-645.

●     Bendiek, A., & Römer, M. (2019). Externalizing Europe: The Global Effects of European Data Protection Regulation. Digital Policy, Regulation and Governance, 21(1), 32-43.

●     Veiga, A. da. (2022). EU Cybersecurity Act: Analysis and Implications for IoT. Journal of Cyber Policy, 7(2), 145-162.

●     Skierka, I. (2020). The Governance of Safety and Security Risks in Connected Healthcare. Computers & Security, 92, 101732. 

20.5 政府與智庫報告

●     European Commission. (2023). Cybersecurity Certification: Questions and Answers. DG CONNECT.

●     Gartner. (2024). Forecast: Information Security and Risk Management, Worldwide, 2021-2028.

●     McKinsey & Company. (2022). New Survey Reveals $2 Trillion Market Opportunity for Cybersecurity Technology and Service Providers.

●     EURACTIV. (2024). EUCS sovereign cloud requirement delays certification scheme. EURACTIV Media Network.

（本篇完）